Il y a une semaine, j'ai recu des mails bouncés ressemblant à du spam,
mais ce qui est etrange c'est:
qu'il y en a eu ... 600 ! (manifestement partis en meme temps)
qu'ils provenaient tous de serveur smtp differents (.ru, .jp, .cn,
.com, ...),
que ces serveurs smtp les ont eux meme recus d'IP toutes *differentes*
Qu'il y avait parfois du "binaire" dedans (mais cela pourrait etre du
Kanjii)
J'ai des raisons de penser que "quelqu'un" est pret à mettre de gros
moyens financiers pour savoir ce qu'il y a (en fait y avait) dans mon pc
perso. j'ai donc surveillé secunia, et ce matin j'y ai vu ceci:
http://secunia.com/advisories/30915/
Comment savoir s'il y avait du code malveillant dans ces mails et
surtout si ce code a fonctionné ? (j'ai helas "popé" ces mails sur ce
present pc portable sous XP home SP2 et sans FW :-(
Savez vous si je pourrais facilement "rejouer" le telechargement de ces
600 mails , avec, cette fois ci un fw ou tcpdump ou autre chose qui
loggerait ce qui se passe ?
Un specialiste pourrait il investiguer, si je lui envoie un fichier
"Thunderbird.txt" contenant tous ces mails ?
Y aurait il un moyen de remonter celui qui a lancé ceci ?
Et surtout, comment est il possible d'envoyer simultanément 600 mails de
600 IP apparemment *differentes* ?
Merci de vos lumieres.
fait suivre a fr.comp.securité
Amitiées à Stephane avec qui j'avais eu des discussions un peu "animées"
à propos de la modération de fcs il y a quelques années !
Il suffit de passer la commande qui-va-bien à un nombre suffisant de Windows zombifiés. Merci le monde, merci Redmond.
Effectivement. Mais quel est l'intéret d'utiliser 600 zombies ? Un seul (ou un seul remailer) ne suffirait il pas ?
Plus tu as de zombies, plus tu peux arroser. Les tempêtes de bounces montrent bien que c'est à une très très grande echelle que ça se passe. Pourquoi essayer de passer par un seul remailer alors que la planête entiere te propose des machines consentantes, avec une liaison broad-band sur le grand Ternet.
-- Dès Noël où un zéphyr haï me vêt de glaçons würmiens
--{ Didier a plopé ceci: }--
Il suffit de passer la commande qui-va-bien à un nombre suffisant
de Windows zombifiés. Merci le monde, merci Redmond.
Effectivement. Mais quel est l'intéret d'utiliser 600 zombies ? Un seul
(ou un seul remailer) ne suffirait il pas ?
Plus tu as de zombies, plus tu peux arroser. Les tempêtes de bounces
montrent bien que c'est à une très très grande echelle que ça se
passe. Pourquoi essayer de passer par un seul remailer alors que
la planête entiere te propose des machines consentantes, avec une
liaison broad-band sur le grand Ternet.
--
Dès Noël où un zéphyr haï me vêt de glaçons würmiens
Il suffit de passer la commande qui-va-bien à un nombre suffisant de Windows zombifiés. Merci le monde, merci Redmond.
Effectivement. Mais quel est l'intéret d'utiliser 600 zombies ? Un seul (ou un seul remailer) ne suffirait il pas ?
Plus tu as de zombies, plus tu peux arroser. Les tempêtes de bounces montrent bien que c'est à une très très grande echelle que ça se passe. Pourquoi essayer de passer par un seul remailer alors que la planête entiere te propose des machines consentantes, avec une liaison broad-band sur le grand Ternet.
-- Dès Noël où un zéphyr haï me vêt de glaçons würmiens
Didier
Olivier Croquette a écrit :
Didier wrote, On 4/07/08 17:49:
Jean-Marc Desperrier a écrit :
Ca n'est pas le cas par défaut, et il est peu probable que tu ais changé cette option fortement déconseillée.
javascript.enabled par défaut booléen true
Comme chez Didier, le mien est activé... Jean-Marc, tu es sûr qu'il est désactivé par défaut!?
Pas de souci, c'est bien le mailnews = false qui est est le bon:
l'autre n'est pas pris en compte dans Thunderbird:
http://kb.mozillazine.org/Javascript.enabled
Didier
Rakotomandimby mihamina
Didier wrote:
Thierry B. a écrit :
Il suffit de passer la commande qui-va-bien à un nombre suffisant de Windows zombifiés. Merci le monde, merci Redmond.
Effectivement. Mais quel est l'intéret d'utiliser 600 zombies ? Un seul (ou un seul remailer) ne suffirait il pas ?
C'est facile de blackilister 1 adresse IP. Et une fois blacklistée, une IP n'est plus utile (au spameur). Quand il y en a 600, elles sont utiles (toujours au spammeur) jusqu'à ce qu'elles se fassent recenser _et_ blacklister: Un administrateur réseau ne (devrait pas?) blackliste pas autant d'adresses aveuglément sans_ analyse préalable sous peine de s'isoler lui-même.
Didier wrote:
Thierry B. a écrit :
Il suffit de passer la commande qui-va-bien à un nombre suffisant
de Windows zombifiés. Merci le monde, merci Redmond.
Effectivement. Mais quel est l'intéret d'utiliser 600 zombies ? Un seul
(ou un seul remailer) ne suffirait il pas ?
C'est facile de blackilister 1 adresse IP. Et une fois blacklistée, une
IP n'est plus utile (au spameur). Quand il y en a 600, elles sont utiles
(toujours au spammeur) jusqu'à ce qu'elles se fassent recenser _et_
blacklister: Un administrateur réseau ne (devrait pas?) blackliste pas
autant d'adresses aveuglément sans_ analyse préalable sous peine de
s'isoler lui-même.
Il suffit de passer la commande qui-va-bien à un nombre suffisant de Windows zombifiés. Merci le monde, merci Redmond.
Effectivement. Mais quel est l'intéret d'utiliser 600 zombies ? Un seul (ou un seul remailer) ne suffirait il pas ?
C'est facile de blackilister 1 adresse IP. Et une fois blacklistée, une IP n'est plus utile (au spameur). Quand il y en a 600, elles sont utiles (toujours au spammeur) jusqu'à ce qu'elles se fassent recenser _et_ blacklister: Un administrateur réseau ne (devrait pas?) blackliste pas autant d'adresses aveuglément sans_ analyse préalable sous peine de s'isoler lui-même.
