0day dans Thunderbird ?
Le
didier
Bonjour,
Il y a une semaine, j'ai recu des mails bouncés ressemblant à du spam,
mais ce qui est etrange c'est:
qu'il y en a eu 600 ! (manifestement partis en meme temps)
qu'ils provenaient tous de serveur smtp differents (.ru, .jp, .cn,
.com, ),
que ces serveurs smtp les ont eux meme recus d'IP toutes *differentes*
Qu'il y avait parfois du "binaire" dedans (mais cela pourrait etre du
Kanjii)
J'ai des raisons de penser que "quelqu'un" est pret à mettre de gros
moyens financiers pour savoir ce qu'il y a (en fait y avait) dans mon pc
perso. j'ai donc surveillé secunia, et ce matin j'y ai vu ceci:
http://secunia.com/advisories/30915/
Comment savoir s'il y avait du code malveillant dans ces mails et
surtout si ce code a fonctionné ? (j'ai helas "popé" ces mails sur ce
present pc portable sous XP home SP2 et sans FW :-(
Savez vous si je pourrais facilement "rejouer" le telechargement de ces
600 mails , avec, cette fois ci un fw ou tcpdump ou autre chose qui
loggerait ce qui se passe ?
Un specialiste pourrait il investiguer, si je lui envoie un fichier
"Thunderbird.txt" contenant tous ces mails ?
Y aurait il un moyen de remonter celui qui a lancé ceci ?
Et surtout, comment est il possible d'envoyer simultanément 600 mails de
600 IP apparemment *differentes* ?
Merci de vos lumieres.
fait suivre a fr.comp.securité
Amitiées à Stephane avec qui j'avais eu des discussions un peu "animées"
à propos de la modération de fcs il y a quelques années !
Didier (ex :Sylviane Kancel)
Il y a une semaine, j'ai recu des mails bouncés ressemblant à du spam,
mais ce qui est etrange c'est:
qu'il y en a eu 600 ! (manifestement partis en meme temps)
qu'ils provenaient tous de serveur smtp differents (.ru, .jp, .cn,
.com, ),
que ces serveurs smtp les ont eux meme recus d'IP toutes *differentes*
Qu'il y avait parfois du "binaire" dedans (mais cela pourrait etre du
Kanjii)
J'ai des raisons de penser que "quelqu'un" est pret à mettre de gros
moyens financiers pour savoir ce qu'il y a (en fait y avait) dans mon pc
perso. j'ai donc surveillé secunia, et ce matin j'y ai vu ceci:
http://secunia.com/advisories/30915/
Comment savoir s'il y avait du code malveillant dans ces mails et
surtout si ce code a fonctionné ? (j'ai helas "popé" ces mails sur ce
present pc portable sous XP home SP2 et sans FW :-(
Savez vous si je pourrais facilement "rejouer" le telechargement de ces
600 mails , avec, cette fois ci un fw ou tcpdump ou autre chose qui
loggerait ce qui se passe ?
Un specialiste pourrait il investiguer, si je lui envoie un fichier
"Thunderbird.txt" contenant tous ces mails ?
Y aurait il un moyen de remonter celui qui a lancé ceci ?
Et surtout, comment est il possible d'envoyer simultanément 600 mails de
600 IP apparemment *differentes* ?
Merci de vos lumieres.
fait suivre a fr.comp.securité
Amitiées à Stephane avec qui j'avais eu des discussions un peu "animées"
à propos de la modération de fcs il y a quelques années !
Didier (ex :Sylviane Kancel)
Poser une question
Il suffit de passer la commande qui-va-bien à un nombre suffisant
de Windows zombifiés. Merci le monde, merci Redmond.
--
D'un côté, les appels au bios et de l'autre, ceux au noyau Linux.
Si une application a été mal portée dans Linux, il se peut qu'il reste des
appels au bios, quoique ce ne soit pas très habituel sans doute.
--{ DB, in fcol.configuration }--
C'est bien vrai, ça.
Je n'ai jamais écrit ça.
Foutou de délestage.
--
# find / -type f -uid 0 -perm -u=sx -exec chmod u-s {} ;
Après ça plein de choses vont très très mal marcher... Mais comme ton système
a déjà de gros problèmes entre son clavier et sa chaise, ce n'est pas trop
grave. --{ YBM, répondant à Ptilou dans fcol.configuration }--
Il faudrait que le javascript soit autorisé dans Thunderbird pour que
ces failles te concernent.
Ca n'est pas le cas par défaut, et il est peu probable que tu ais changé
cette option fortement déconseillée.
Un firewall n'aurait pas changé grand chose à une infection...
Sur les éléments que tu nous as donnés, rien n'est moins sûr que ce soit
une attaque personnelle. Et je crois que personne ne sera trop motivé
pour analyser ce qui parait comme un spasme de robot à spam...