Journal spam

Posté par Ben (site web personnel) le 04 décembre 2005 à 05:09.

Étiquettes : aucune

déc.

2005

eh bien, les spammeurs sont de plus en plus perspicaces:
voici que j'ai reçu aujourd'hui un spam de chez gnu.org !
heureusement, le fichier attaché est un executable windows, donc je ne serait pas infecté.
pour info, voici le sujet:

De: info@gnu.org
À: zfreemailer@tuxfamily.org
Sujet: Registration Confirmation

le sender est :
Received: from 12-217-117-33.client.mchsi.com ([12.217.117.33])

un petit nmap -P0 sur 12-217-117-33.client.mchsi.com me dit:
PORT STATE SERVICE
22/tcp open ssh
113/tcp closed auth
443/tcp open https

un ptit coup de navigateur en https://12-217-117-33.client.mchsi.com me redirige sur:
http://www.thinformation.com/
bof, pas cool.

un ptit scanssh sur cet ip:
SSH-2.0-OpenSSH_3.8.1p1 Debian-8.sarge.4

J'en déduis que ce gars a un double boot avec windows, vu le spam.

je voudrais juste envoyer un mail au pauvre gars pour lui dire de laver sa partition windows.

# Et pourquoi pas ...

Posté par theocrite (site web personnel) le 04 décembre 2005 à 08:43. Évalué à 5.

Un nat plutôt ?

J'en déduis que ce gars a un double boot avec windows, vu le spam.

Uptime 15.780 days (since Fri Nov 18 13:53:58 2005)

Il semble que se machine n'ait pas rebootée depuis deux semaines. Donc je pencherais plutôt pour un nat avec des ports ouverts uniquement pour le serveur... sous Debian only donc.
- [^] # Re: Et pourquoi pas ...
  
  Posté par pwetoun le 04 décembre 2005 à 12:18. Évalué à 3.
  
  Ou bien une machine piratée, Même un GNu/linux est vulnérable...
  D'ailleurs il suffit de lire securityfocus...
  
  Il faut se reveiller les gars, il n'y'a plus que windows qui peut devenir passoir
  
  Ce que je pense !!!
  - [^] # Re: Et pourquoi pas ...
    
    Posté par cortex62 le 04 décembre 2005 à 14:00. Évalué à 3.
    
    Pour la première phrase , à priori c' est exact.
    Mais tu peux nous refaire ça en français s' il te plait ?
    - [^] # Re: Et pourquoi pas ...
      
      Posté par fourmi le 06 décembre 2005 à 16:19. Évalué à 6.
      
      oui
# champ from falsifié

Posté par SubBass le 05 décembre 2005 à 03:32. Évalué à 3.

Pour le ptit mail, tu peux toujours, mais tu as de fortes chances pour que ça ne serve à rien.

Les virus modifient les champs from de mail.

Une machine infectée reçoit un mail "blagues pour bien commencer la journée", le virus prends tous les destinataires (dont ta propre adresse) et s'en sert pour remplir le from, pour mieux passer à trav et encourager les destinataires qui connaissent l'emetteur à ouvrir le fichier joint.
- [^] # evidemment (Re: champ from falsifié)
  
  Posté par Ben (site web personnel) le 05 décembre 2005 à 11:50. Évalué à 2.
  
  Pour le ptit mail, tu peux toujours, mais tu as de fortes chances pour que ça ne serve à rien.
  Les virus modifient les champs from de mail.
  
  C'est bien parceque le champ from est falsifié que je parle du sender réel, id est la machine qui a fait le HELO, à savoir 12.217.117.33.
  or s'agissant d'une machine unix (vu le scanssh) je pourrais donc à la limite envoyer un mail vers root@12.217.117.33 mais le problème c'est que cette machine peut relayer un client mail d'un autre pc dans son réseau local, ce qui fait que même root@12.217.117.33 ne saura qui est le réel spammeur.
  Tout homme qui dirige, qui fait quelque chose, a contre lui ceux qui voudraient faire la même chose, ceux qui font précisément le contraire, et surtout la grande armée des gens d'autant plus sévères qu'ils ne font rien du tout. -- Jules Claretie

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.