0day dans Thunderbird ?

Le
didier
Bonjour,

Il y a une semaine, j'ai recu des mails bouncés ressemblant à du spam,
mais ce qui est etrange c'est:

qu'il y en a eu 600 ! (manifestement partis en meme temps)

qu'ils provenaient tous de serveur smtp differents (.ru, .jp, .cn,
.com, ),

que ces serveurs smtp les ont eux meme recus d'IP toutes *differentes*

Qu'il y avait parfois du "binaire" dedans (mais cela pourrait etre du
Kanjii)



J'ai des raisons de penser que "quelqu'un" est pret à mettre de gros
moyens financiers pour savoir ce qu'il y a (en fait y avait) dans mon pc
perso. j'ai donc surveillé secunia, et ce matin j'y ai vu ceci:

http://secunia.com/advisories/30915/


Comment savoir s'il y avait du code malveillant dans ces mails et
surtout si ce code a fonctionné ? (j'ai helas "popé" ces mails sur ce
present pc portable sous XP home SP2 et sans FW :-(

Savez vous si je pourrais facilement "rejouer" le telechargement de ces
600 mails , avec, cette fois ci un fw ou tcpdump ou autre chose qui
loggerait ce qui se passe ?

Un specialiste pourrait il investiguer, si je lui envoie un fichier
"Thunderbird.txt" contenant tous ces mails ?

Y aurait il un moyen de remonter celui qui a lancé ceci ?

Et surtout, comment est il possible d'envoyer simultanément 600 mails de
600 IP apparemment *differentes* ?



Merci de vos lumieres.

fait suivre a fr.comp.securité

Amitiées à Stephane avec qui j'avais eu des discussions un peu "animées"
à propos de la modération de fcs il y a quelques années !

Didier (ex :Sylviane Kancel)
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Thierry B\.
Le #11187671
--{ didier a plopé ceci: }--

Et surtout, comment est il possible d'envoyer simultanément 600 mails de
600 IP apparemment *differentes* ?



Il suffit de passer la commande qui-va-bien à un nombre suffisant
de Windows zombifiés. Merci le monde, merci Redmond.

--
D'un côté, les appels au bios et de l'autre, ceux au noyau Linux.
Si une application a été mal portée dans Linux, il se peut qu'il reste des
appels au bios, quoique ce ne soit pas très habituel sans doute.
--{ DB, in fcol.configuration }--
Thierry
Le #11187661
"Thierry B."

Et surtout, comment est il possible d'envoyer simultanément 600 mails de
600 IP apparemment *differentes* ?



Il suffit de passer la commande qui-va-bien à un nombre suffisant
de postfix ou sendmail troués...



C'est bien vrai, ça.
Thierry B\.
Le #11188031
--{ Thierry a plopé ceci: }--

Et surtout, comment est il possible d'envoyer simultanément 600 mails de
600 IP apparemment *differentes* ?



Il suffit de passer la commande qui-va-bien à un nombre suffisant
de postfix ou sendmail troués...



C'est bien vrai, ça.



Je n'ai jamais écrit ça.


Foutou de délestage.


--
# find / -type f -uid 0 -perm -u=sx -exec chmod u-s {} ;
Après ça plein de choses vont très très mal marcher... Mais comme ton système
a déjà de gros problèmes entre son clavier et sa chaise, ce n'est pas trop
grave. --{ YBM, répondant à Ptilou dans fcol.configuration }--
Jean-Marc Desperrier
Le #11188711
didier wrote:
[...]
J'ai des raisons de penser que "quelqu'un" est pret à mettre de gros
moyens financiers pour savoir ce qu'il y a (en fait y avait) dans mon pc
perso. j'ai donc surveillé secunia, et ce matin j'y ai vu ceci:

http://secunia.com/advisories/30915/



Il faudrait que le javascript soit autorisé dans Thunderbird pour que
ces failles te concernent.
Ca n'est pas le cas par défaut, et il est peu probable que tu ais changé
cette option fortement déconseillée.
Olivier Croquette
Le #11189001
didier wrote, On 4/07/08 12:18:
Comment savoir s'il y avait du code malveillant dans ces mails et
surtout si ce code a fonctionné ? (j'ai helas "popé" ces mails sur ce
present pc portable sous XP home SP2 et sans FW :-(



Un firewall n'aurait pas changé grand chose à une infection...

Y aurait il un moyen de remonter celui qui a lancé ceci ?



Sur les éléments que tu nous as donnés, rien n'est moins sûr que ce soit
une attaque personnelle. Et je crois que personne ne sera trop motivé
pour analyser ce qui parait comme un spasme de robot à spam...
Didier
Le #11189241
Jean-Marc Desperrier a écrit :
didier wrote:
[...]
J'ai des raisons de penser que "quelqu'un" est pret à mettre de gros
moyens financiers pour savoir ce qu'il y a (en fait y avait) dans mon pc
perso. j'ai donc surveillé secunia, et ce matin j'y ai vu ceci:

http://secunia.com/advisories/30915/



Il faudrait que le javascript soit autorisé dans Thunderbird pour que
ces failles te concernent.
Ca n'est pas le cas par défaut, et il est peu probable que tu ais changé
cette option fortement déconseillée.




A se sujet, il y a quelque chose qui m'échappe:
dans mon Thunderbird / "outils" / "editeur de configuration" il y a:

javascript.allow.mailnews par défaut booléen false
javascript.enabled par défaut booléen true

C'est normal ce "true" par default ?
Cela ne serait il pas mieux de le "définir par l'utilisateur" en false ?


D'un autre coté, j'avais mis:
"Affichage" / "corps du message en" / "texte seul".
Cela désactive il d'office le javascript ?

Merci

Didier
Didier
Le #11189441
Olivier Croquette a écrit :


Un firewall n'aurait pas changé grand chose à une infection...



Sur mon autre pc, le fw ne laisse Thunderbird ne faire que du 110 vers
mon pop.isp et loggue le 25 vers mon smtp.isp. J'imagine donc que s'il
était sorti des données de mon pc, je l'aurais au moins vu.



Y aurait il un moyen de remonter celui qui a lancé ceci ?



Sur les éléments que tu nous as donnés, rien n'est moins sûr que ce soit
une attaque personnelle. Et je crois que personne ne sera trop motivé
pour analyser ce qui parait comme un spasme de robot à spam...



Cela me rassure (un peu) de savoir que les robots à spam ont aussi des
spasmes. :-)

Mais les robots a spams envoient ils chaque mail par une IP différente ?

Merci

Didier
Didier
Le #11189531
Thierry B. a écrit :


Il suffit de passer la commande qui-va-bien à un nombre suffisant
de Windows zombifiés. Merci le monde, merci Redmond.




Effectivement. Mais quel est l'intéret d'utiliser 600 zombies ? Un seul
(ou un seul remailer) ne suffirait il pas ?


Merci

Didier
Olivier Croquette
Le #11190731
Didier wrote, On 4/07/08 17:49:
Jean-Marc Desperrier a écrit :
Ca n'est pas le cas par défaut, et il est peu probable que tu ais
changé cette option fortement déconseillée.



javascript.enabled par défaut booléen true



Comme chez Didier, le mien est activé... Jean-Marc, tu es sûr qu'il est
désactivé par défaut!?
Olivier Croquette
Le #11190721
Didier wrote, On 4/07/08 18:23:
Un firewall n'aurait pas changé grand chose à une infection...



Sur mon autre pc, le fw ne laisse Thunderbird ne faire que du 110 vers
mon pop.isp et loggue le 25 vers mon smtp.isp. J'imagine donc que s'il
était sorti des données de mon pc, je l'aurais au moins vu.



C'est bien ce que je dis: un firewall n'aurait pas aidé pour une
infection. Pour une éventuelle fuite de données, peut-être, et encore:
si le compte sous lequel tourne Thunberbird a aussi moyen de faire un
trou dans le firewall, c'est foutu aussi.

Mais les robots a spams envoient ils chaque mail par une IP différente ?



Les réseaux de zombies servent entre autre à l'envoie de spam, oui.
Publicité
Poster une réponse
Anonyme