Il y a une semaine, j'ai recu des mails bouncés ressemblant à du spam,
mais ce qui est etrange c'est:
qu'il y en a eu ... 600 ! (manifestement partis en meme temps)
qu'ils provenaient tous de serveur smtp differents (.ru, .jp, .cn,
.com, ...),
que ces serveurs smtp les ont eux meme recus d'IP toutes *differentes*
Qu'il y avait parfois du "binaire" dedans (mais cela pourrait etre du
Kanjii)
J'ai des raisons de penser que "quelqu'un" est pret à mettre de gros
moyens financiers pour savoir ce qu'il y a (en fait y avait) dans mon pc
perso. j'ai donc surveillé secunia, et ce matin j'y ai vu ceci:
http://secunia.com/advisories/30915/
Comment savoir s'il y avait du code malveillant dans ces mails et
surtout si ce code a fonctionné ? (j'ai helas "popé" ces mails sur ce
present pc portable sous XP home SP2 et sans FW :-(
Savez vous si je pourrais facilement "rejouer" le telechargement de ces
600 mails , avec, cette fois ci un fw ou tcpdump ou autre chose qui
loggerait ce qui se passe ?
Un specialiste pourrait il investiguer, si je lui envoie un fichier
"Thunderbird.txt" contenant tous ces mails ?
Y aurait il un moyen de remonter celui qui a lancé ceci ?
Et surtout, comment est il possible d'envoyer simultanément 600 mails de
600 IP apparemment *differentes* ?
Merci de vos lumieres.
fait suivre a fr.comp.securité
Amitiées à Stephane avec qui j'avais eu des discussions un peu "animées"
à propos de la modération de fcs il y a quelques années !
Et surtout, comment est il possible d'envoyer simultanément 600 mails de 600 IP apparemment *differentes* ?
Il suffit de passer la commande qui-va-bien à un nombre suffisant de Windows zombifiés. Merci le monde, merci Redmond.
-- D'un côté, les appels au bios et de l'autre, ceux au noyau Linux. Si une application a été mal portée dans Linux, il se peut qu'il reste des appels au bios, quoique ce ne soit pas très habituel sans doute. --{ DB, in fcol.configuration }--
--{ didier a plopé ceci: }--
Et surtout, comment est il possible d'envoyer simultanément 600 mails de
600 IP apparemment *differentes* ?
Il suffit de passer la commande qui-va-bien à un nombre suffisant
de Windows zombifiés. Merci le monde, merci Redmond.
--
D'un côté, les appels au bios et de l'autre, ceux au noyau Linux.
Si une application a été mal portée dans Linux, il se peut qu'il reste des
appels au bios, quoique ce ne soit pas très habituel sans doute.
--{ DB, in fcol.configuration }--
Et surtout, comment est il possible d'envoyer simultanément 600 mails de 600 IP apparemment *differentes* ?
Il suffit de passer la commande qui-va-bien à un nombre suffisant de Windows zombifiés. Merci le monde, merci Redmond.
-- D'un côté, les appels au bios et de l'autre, ceux au noyau Linux. Si une application a été mal portée dans Linux, il se peut qu'il reste des appels au bios, quoique ce ne soit pas très habituel sans doute. --{ DB, in fcol.configuration }--
Thierry
"Thierry B." a écrit dans le message de news:
Et surtout, comment est il possible d'envoyer simultanément 600 mails de 600 IP apparemment *differentes* ?
Il suffit de passer la commande qui-va-bien à un nombre suffisant de postfix ou sendmail troués...
C'est bien vrai, ça.
"Thierry B." <tth@prout.stex.invalid> a écrit dans le message de news:
76b1k5-r8e.ln1@prout.stex...
Et surtout, comment est il possible d'envoyer simultanément 600 mails de
600 IP apparemment *differentes* ?
Il suffit de passer la commande qui-va-bien à un nombre suffisant
de postfix ou sendmail troués...
Et surtout, comment est il possible d'envoyer simultanément 600 mails de 600 IP apparemment *differentes* ?
Il suffit de passer la commande qui-va-bien à un nombre suffisant de postfix ou sendmail troués...
C'est bien vrai, ça.
Thierry B\.
--{ Thierry a plopé ceci: }--
Et surtout, comment est il possible d'envoyer simultanément 600 mails de 600 IP apparemment *differentes* ?
Il suffit de passer la commande qui-va-bien à un nombre suffisant de postfix ou sendmail troués...
C'est bien vrai, ça.
Je n'ai jamais écrit ça.
Foutou de délestage.
-- # find / -type f -uid 0 -perm -u=sx -exec chmod u-s {} ; Après ça plein de choses vont très très mal marcher... Mais comme ton système a déjà de gros problèmes entre son clavier et sa chaise, ce n'est pas trop grave. --{ YBM, répondant à Ptilou dans fcol.configuration }--
--{ Thierry a plopé ceci: }--
Et surtout, comment est il possible d'envoyer simultanément 600 mails de
600 IP apparemment *differentes* ?
Il suffit de passer la commande qui-va-bien à un nombre suffisant
de postfix ou sendmail troués...
C'est bien vrai, ça.
Je n'ai jamais écrit ça.
Foutou de délestage.
--
# find / -type f -uid 0 -perm -u=sx -exec chmod u-s {} ;
Après ça plein de choses vont très très mal marcher... Mais comme ton système
a déjà de gros problèmes entre son clavier et sa chaise, ce n'est pas trop
grave. --{ YBM, répondant à Ptilou dans fcol.configuration }--
Et surtout, comment est il possible d'envoyer simultanément 600 mails de 600 IP apparemment *differentes* ?
Il suffit de passer la commande qui-va-bien à un nombre suffisant de postfix ou sendmail troués...
C'est bien vrai, ça.
Je n'ai jamais écrit ça.
Foutou de délestage.
-- # find / -type f -uid 0 -perm -u=sx -exec chmod u-s {} ; Après ça plein de choses vont très très mal marcher... Mais comme ton système a déjà de gros problèmes entre son clavier et sa chaise, ce n'est pas trop grave. --{ YBM, répondant à Ptilou dans fcol.configuration }--
Jean-Marc Desperrier
didier wrote:
[...] J'ai des raisons de penser que "quelqu'un" est pret à mettre de gros moyens financiers pour savoir ce qu'il y a (en fait y avait) dans mon pc perso. j'ai donc surveillé secunia, et ce matin j'y ai vu ceci:
http://secunia.com/advisories/30915/
Il faudrait que le javascript soit autorisé dans Thunderbird pour que ces failles te concernent. Ca n'est pas le cas par défaut, et il est peu probable que tu ais changé cette option fortement déconseillée.
didier wrote:
[...]
J'ai des raisons de penser que "quelqu'un" est pret à mettre de gros
moyens financiers pour savoir ce qu'il y a (en fait y avait) dans mon pc
perso. j'ai donc surveillé secunia, et ce matin j'y ai vu ceci:
http://secunia.com/advisories/30915/
Il faudrait que le javascript soit autorisé dans Thunderbird pour que
ces failles te concernent.
Ca n'est pas le cas par défaut, et il est peu probable que tu ais changé
cette option fortement déconseillée.
[...] J'ai des raisons de penser que "quelqu'un" est pret à mettre de gros moyens financiers pour savoir ce qu'il y a (en fait y avait) dans mon pc perso. j'ai donc surveillé secunia, et ce matin j'y ai vu ceci:
http://secunia.com/advisories/30915/
Il faudrait que le javascript soit autorisé dans Thunderbird pour que ces failles te concernent. Ca n'est pas le cas par défaut, et il est peu probable que tu ais changé cette option fortement déconseillée.
Olivier Croquette
didier wrote, On 4/07/08 12:18:
Comment savoir s'il y avait du code malveillant dans ces mails et surtout si ce code a fonctionné ? (j'ai helas "popé" ces mails sur ce present pc portable sous XP home SP2 et sans FW :-(
Un firewall n'aurait pas changé grand chose à une infection...
Y aurait il un moyen de remonter celui qui a lancé ceci ?
Sur les éléments que tu nous as donnés, rien n'est moins sûr que ce soit une attaque personnelle. Et je crois que personne ne sera trop motivé pour analyser ce qui parait comme un spasme de robot à spam...
didier wrote, On 4/07/08 12:18:
Comment savoir s'il y avait du code malveillant dans ces mails et
surtout si ce code a fonctionné ? (j'ai helas "popé" ces mails sur ce
present pc portable sous XP home SP2 et sans FW :-(
Un firewall n'aurait pas changé grand chose à une infection...
Y aurait il un moyen de remonter celui qui a lancé ceci ?
Sur les éléments que tu nous as donnés, rien n'est moins sûr que ce soit
une attaque personnelle. Et je crois que personne ne sera trop motivé
pour analyser ce qui parait comme un spasme de robot à spam...
Comment savoir s'il y avait du code malveillant dans ces mails et surtout si ce code a fonctionné ? (j'ai helas "popé" ces mails sur ce present pc portable sous XP home SP2 et sans FW :-(
Un firewall n'aurait pas changé grand chose à une infection...
Y aurait il un moyen de remonter celui qui a lancé ceci ?
Sur les éléments que tu nous as donnés, rien n'est moins sûr que ce soit une attaque personnelle. Et je crois que personne ne sera trop motivé pour analyser ce qui parait comme un spasme de robot à spam...
Didier
Jean-Marc Desperrier a écrit :
didier wrote:
[...] J'ai des raisons de penser que "quelqu'un" est pret à mettre de gros moyens financiers pour savoir ce qu'il y a (en fait y avait) dans mon pc perso. j'ai donc surveillé secunia, et ce matin j'y ai vu ceci:
http://secunia.com/advisories/30915/
Il faudrait que le javascript soit autorisé dans Thunderbird pour que ces failles te concernent. Ca n'est pas le cas par défaut, et il est peu probable que tu ais changé cette option fortement déconseillée.
A se sujet, il y a quelque chose qui m'échappe: dans mon Thunderbird / "outils" / "editeur de configuration" il y a:
javascript.allow.mailnews par défaut booléen false javascript.enabled par défaut booléen true
C'est normal ce "true" par default ? Cela ne serait il pas mieux de le "définir par l'utilisateur" en false ?
D'un autre coté, j'avais mis: "Affichage" / "corps du message en" / "texte seul". Cela désactive il d'office le javascript ?
Merci
Didier
Jean-Marc Desperrier a écrit :
didier wrote:
[...]
J'ai des raisons de penser que "quelqu'un" est pret à mettre de gros
moyens financiers pour savoir ce qu'il y a (en fait y avait) dans mon pc
perso. j'ai donc surveillé secunia, et ce matin j'y ai vu ceci:
http://secunia.com/advisories/30915/
Il faudrait que le javascript soit autorisé dans Thunderbird pour que
ces failles te concernent.
Ca n'est pas le cas par défaut, et il est peu probable que tu ais changé
cette option fortement déconseillée.
A se sujet, il y a quelque chose qui m'échappe:
dans mon Thunderbird / "outils" / "editeur de configuration" il y a:
javascript.allow.mailnews par défaut booléen false
javascript.enabled par défaut booléen true
C'est normal ce "true" par default ?
Cela ne serait il pas mieux de le "définir par l'utilisateur" en false ?
D'un autre coté, j'avais mis:
"Affichage" / "corps du message en" / "texte seul".
Cela désactive il d'office le javascript ?
[...] J'ai des raisons de penser que "quelqu'un" est pret à mettre de gros moyens financiers pour savoir ce qu'il y a (en fait y avait) dans mon pc perso. j'ai donc surveillé secunia, et ce matin j'y ai vu ceci:
http://secunia.com/advisories/30915/
Il faudrait que le javascript soit autorisé dans Thunderbird pour que ces failles te concernent. Ca n'est pas le cas par défaut, et il est peu probable que tu ais changé cette option fortement déconseillée.
A se sujet, il y a quelque chose qui m'échappe: dans mon Thunderbird / "outils" / "editeur de configuration" il y a:
javascript.allow.mailnews par défaut booléen false javascript.enabled par défaut booléen true
C'est normal ce "true" par default ? Cela ne serait il pas mieux de le "définir par l'utilisateur" en false ?
D'un autre coté, j'avais mis: "Affichage" / "corps du message en" / "texte seul". Cela désactive il d'office le javascript ?
Merci
Didier
Didier
Olivier Croquette a écrit :
Un firewall n'aurait pas changé grand chose à une infection...
Sur mon autre pc, le fw ne laisse Thunderbird ne faire que du 110 vers mon pop.isp et loggue le 25 vers mon smtp.isp. J'imagine donc que s'il était sorti des données de mon pc, je l'aurais au moins vu.
Y aurait il un moyen de remonter celui qui a lancé ceci ?
Sur les éléments que tu nous as donnés, rien n'est moins sûr que ce soit une attaque personnelle. Et je crois que personne ne sera trop motivé pour analyser ce qui parait comme un spasme de robot à spam...
Cela me rassure (un peu) de savoir que les robots à spam ont aussi des spasmes. :-)
Mais les robots a spams envoient ils chaque mail par une IP différente ?
Merci
Didier
Olivier Croquette a écrit :
Un firewall n'aurait pas changé grand chose à une infection...
Sur mon autre pc, le fw ne laisse Thunderbird ne faire que du 110 vers
mon pop.isp et loggue le 25 vers mon smtp.isp. J'imagine donc que s'il
était sorti des données de mon pc, je l'aurais au moins vu.
Y aurait il un moyen de remonter celui qui a lancé ceci ?
Sur les éléments que tu nous as donnés, rien n'est moins sûr que ce soit
une attaque personnelle. Et je crois que personne ne sera trop motivé
pour analyser ce qui parait comme un spasme de robot à spam...
Cela me rassure (un peu) de savoir que les robots à spam ont aussi des
spasmes. :-)
Mais les robots a spams envoient ils chaque mail par une IP différente ?
Un firewall n'aurait pas changé grand chose à une infection...
Sur mon autre pc, le fw ne laisse Thunderbird ne faire que du 110 vers mon pop.isp et loggue le 25 vers mon smtp.isp. J'imagine donc que s'il était sorti des données de mon pc, je l'aurais au moins vu.
Y aurait il un moyen de remonter celui qui a lancé ceci ?
Sur les éléments que tu nous as donnés, rien n'est moins sûr que ce soit une attaque personnelle. Et je crois que personne ne sera trop motivé pour analyser ce qui parait comme un spasme de robot à spam...
Cela me rassure (un peu) de savoir que les robots à spam ont aussi des spasmes. :-)
Mais les robots a spams envoient ils chaque mail par une IP différente ?
Merci
Didier
Didier
Thierry B. a écrit :
Il suffit de passer la commande qui-va-bien à un nombre suffisant de Windows zombifiés. Merci le monde, merci Redmond.
Effectivement. Mais quel est l'intéret d'utiliser 600 zombies ? Un seul (ou un seul remailer) ne suffirait il pas ?
Merci
Didier
Thierry B. a écrit :
Il suffit de passer la commande qui-va-bien à un nombre suffisant
de Windows zombifiés. Merci le monde, merci Redmond.
Effectivement. Mais quel est l'intéret d'utiliser 600 zombies ? Un seul
(ou un seul remailer) ne suffirait il pas ?
Ca n'est pas le cas par défaut, et il est peu probable que tu ais changé cette option fortement déconseillée.
javascript.enabled par défaut booléen true
Comme chez Didier, le mien est activé... Jean-Marc, tu es sûr qu'il est désactivé par défaut!?
Olivier Croquette
Didier wrote, On 4/07/08 18:23:
Un firewall n'aurait pas changé grand chose à une infection...
Sur mon autre pc, le fw ne laisse Thunderbird ne faire que du 110 vers mon pop.isp et loggue le 25 vers mon smtp.isp. J'imagine donc que s'il était sorti des données de mon pc, je l'aurais au moins vu.
C'est bien ce que je dis: un firewall n'aurait pas aidé pour une infection. Pour une éventuelle fuite de données, peut-être, et encore: si le compte sous lequel tourne Thunberbird a aussi moyen de faire un trou dans le firewall, c'est foutu aussi.
Mais les robots a spams envoient ils chaque mail par une IP différente ?
Les réseaux de zombies servent entre autre à l'envoie de spam, oui.
Didier wrote, On 4/07/08 18:23:
Un firewall n'aurait pas changé grand chose à une infection...
Sur mon autre pc, le fw ne laisse Thunderbird ne faire que du 110 vers
mon pop.isp et loggue le 25 vers mon smtp.isp. J'imagine donc que s'il
était sorti des données de mon pc, je l'aurais au moins vu.
C'est bien ce que je dis: un firewall n'aurait pas aidé pour une
infection. Pour une éventuelle fuite de données, peut-être, et encore:
si le compte sous lequel tourne Thunberbird a aussi moyen de faire un
trou dans le firewall, c'est foutu aussi.
Mais les robots a spams envoient ils chaque mail par une IP différente ?
Les réseaux de zombies servent entre autre à l'envoie de spam, oui.
Un firewall n'aurait pas changé grand chose à une infection...
Sur mon autre pc, le fw ne laisse Thunderbird ne faire que du 110 vers mon pop.isp et loggue le 25 vers mon smtp.isp. J'imagine donc que s'il était sorti des données de mon pc, je l'aurais au moins vu.
C'est bien ce que je dis: un firewall n'aurait pas aidé pour une infection. Pour une éventuelle fuite de données, peut-être, et encore: si le compte sous lequel tourne Thunberbird a aussi moyen de faire un trou dans le firewall, c'est foutu aussi.
Mais les robots a spams envoient ils chaque mail par une IP différente ?
Les réseaux de zombies servent entre autre à l'envoie de spam, oui.
