Du spam j'en prend des masses depuis des années, surtout quand on a des adresses qui commencent a avoir plus d'une décennie d'existence.
Mais depuis peu, je fais les frais d'organisations que je ne soupçonnais même pas. (d'ailleurs ils font comment pour choper les adresses ? On est pourtant rodé depuis à ne plus les publier)
Je savais que des champions existaient, mais pas à ce point:
Des milliers de windows au garde à vous qui vous spamment et s'automatisent.
Cf l'analyse:
http://www.fortiguardcenter.com/analysis/canadianpharmacy.ht(...)
J'ai déjà vu ce type de schéma (100-200 machines et dns tournant) par moi même concernant un site de phishing, qui au final a fini par être démantelé (il s'agissait de personnes aussi sur paris). Mais de cette ampleur, le problème devient insoluble (là on parle de millers), car ces ******* sont en activité depuis qq années maintenant. Ca risque de ne pas s'arrêter de si tôt donc.
Ca se concrétise au quotiden par des mails toutes les heures ou deux heures, dans un Francais incohérent, pointant sur de nouveaux domaines. Ca va deux jours, deux semaines ça devient l'enfer, surtout quand on compte sur le reporting des mails aux sites antispams.
Or les DNSBL ne sont absolument plus efficaces contre ces botnets, car les messages sont envoyés bien avant qu'il ne soient mentionnés dans les BL. Le greylisting n'ayant qu'un impact limité, la seule solution que j'ai trouvé est désormais de briser la conformité de mes serveurs mails avec la RFC (plus de bounce, ...) et de bloquer moi même les ip selon plusieurs règles. Spamdyke intègre par ailleurs très bien cela et remplace pas mal de solutions.
Je remercie grandement Microsoft pour ses produits de qualité qui permettent toutes ces activités illégales, et m'en font payer les frais alors que je ne suis pas client. Car on ne parle pas ici de relais mal configurés, mais uniquement de Botnets de machines windows... Le principe de précaution devrait-il s'appliquer à la vente ce ces produits ?
Journal Le spam et les BotNets MS
12
juin
2008
# Plus grave encore
Posté par libre Cuauhtémoc . Évalué à 4.
Je trouve ceci de la faute de MS, qui a laissé perdurer les virus et qui ne porte pas plainte...
un exemple de ce genre de site:
http://securityscannersite.com/2008/3/_freescan.php?aid=8802(...)
# Bouc-émissaire...
Posté par Zenitram (site web personnel) . Évalué à 10.
Le maillon faible est l'interface chaise-clavier.
Si Linux avait le même pourcentage de pénétration sur le marché, les zombies seraient des Linux, car l'utilisateur aurait laissé entrer la bête chez lui aussi (pas besoin d'avoir les droits root pour envoyer des mails, un simple accès normal suffit).
MS a bon dos... Alors certes MS a des pratiques "en dessous de la ceinture", mais l'accuser de chose qu'il ne peut pas changer, c'est se voiler la face, on appelle ça un bouc-émissaire.
Si tu veux appliquer le principe de précaution, va falloir interdire aux êtres humains d'exister (ou alors interdire Linux, MacOS, tous les OS, car tous permettent à l'utilisateur d'exécuter quelque chose, tous permettent d'envoyer des spams)
[^] # Re: Bouc-émissaire...
Posté par Gniarf . Évalué à -2.
[^] # Re: Bouc-émissaire...
Posté par Adrien . Évalué à 5.
ça éviterais à Mme Michu et son mari de télécharger des logiciels de source non sûre...
[^] # Re: Bouc-émissaire...
Posté par libre Cuauhtémoc . Évalué à 1.
Des soft genre skijump, il doit en avoir plusieurs centaines
Les navigateurs sont plus nombreux
Et la majorité des logiciels GPL sont porté sous windows
De plus chaque projet veut il que leur soft existe sur un dépot de microsoft ? (je pense aux softs apple, adobe, ibm, veritas)
[^] # Re: Bouc-émissaire...
Posté par nyquist . Évalué à 3.
techniquement c'est possible. Seulement je crois pas que ce soit envisageable commercialement... mais c'est bien dommage.
[^] # Re: Bouc-émissaire...
Posté par libre Cuauhtémoc . Évalué à 1.
[^] # Re: Bouc-émissaire...
Posté par fcartegnie . Évalué à -2.
Je connais des presonnes qui recoivent des courriers pour mettre à jour vers windows vista, mais jamais pour leur dire que leur version livrée est pleine de failles.
[^] # Re: Bouc-émissaire...
Posté par fcartegnie . Évalué à 3.
Si demain les fabricants de voitures (électriques, alimentaires, ...) se dégageaient du rappel de leurs produits par simple clause de licence délèguant cette tache uniquement à la vigilance de l'utilisateur, je suis pas sur qu'on soit aussi peu regardants.
[^] # Re: Bouc-émissaire...
Posté par pasBill pasGates . Évalué à 1.
Sachant qu'on depense bcp plus que n'importe quelle autre editeur dans ce domaine, tu me permettras de rigoler un grand coup.
Je connais des presonnes qui recoivent des courriers pour mettre à jour vers windows vista, mais jamais pour leur dire que leur version livrée est pleine de failles.
Et tu recois des courriers te disant que ta distrib Linux est pleine de failles ?
[^] # Re: Bouc-émissaire...
Posté par Gniarf . Évalué à 3.
# PF passive OS fingerprinting ?
Posté par Laurent Cligny (site web personnel) . Évalué à 1.
Etant donné que les botnets sont presque exclusivement composés de machines sous Windows XP, tu peux essayer d'utiliser de la "détection passive de système d'exploitation" comme le fait le parefeu PFhttp://www.openbsd.org/faq/pf/filter.html#osfp pour filtrer toute machine Windows XP qui essaierait de se connecter sur ton serveur.
Hélas je ne sais pas s'il existe un équivalent sous Linux.
Tu parles aussi de spams toutes les heures ou toutes les deux heures, et bien j'ai une mauvaise nouvelle pour toi. La tendance actuelle est le "backscatter delivery report". Les spammeurs essaient toujours des adresses mail au hasard, mais pour essayer de gagner en légitimité il forgent le champ "From:" avec une adresse mail qu'ils savent valide.
Tu peux imaginer le nombre de rapports de non-distribution que la personne dans le champ 'From:" recoit en retour, quelques centaines par minutes....
Note: je n'ai pas encore testé la détection passive de systèmes d'exploitations, mais pour le "backscatter" queqlques règles bien senties dans un regex-milter et ça décante pas mal.
[^] # Re: PF passive OS fingerprinting ?
Posté par fcartegnie . Évalué à 3.
De plus, pour le peu que le serveur distant soit légitime et sous NT...
[^] # Re: PF passive OS fingerprinting ?
Posté par Laurent Cligny (site web personnel) . Évalué à 1.
Pour la lenteur dont tu parles, tu as déjà testé ? Car moi non, mais je me dis que ça ne doit pas être plus long qu'un "milter" ou un "content_filter" dans postfix, ou pire un scan des mails avec clamav.
[^] # Re: PF passive OS fingerprinting ?
Posté par fcartegnie . Évalué à 2.
# greylisting
Posté par nyquist . Évalué à 2.
De ma (maigre) expérience avec le greylisting je ne dirais pas que cela a un impact limité (en fait je dirais même le contraire, au moins 50% du spam ne pas plus). A moins que les machines zombies utilise un vrai serveur SMTP, je ne les vois pas (ou mal) gérer la ré-émission.
Je n'ai peut être pas très bien saisi comment le botnet envoi ses mails.
[^] # Re: greylisting
Posté par fcartegnie . Évalué à 3.
En applicant des règles strictes en plus des RBL pour eviter tout ce qui ne ressemble pas à un MX légitime (reverse obligatoire, reverse identique, reverse sans ip et sans mot clé de type ppp, adsl, customer, etc...) on en filtre 80%, ce sans délai de réception.
[^] # Re: greylisting
Posté par nyquist . Évalué à 2.
Mes excuses pour ma confusion.
Délai de réception pour le premier échange seulement puisque a partir du 2eme on passe en whitelist. Et on libère de la charge processeur pour tous ce qui est traitement de mail (spamassin, antivirus, etc...)
De plus le greylisting peut se rajouter au RBL etc... (c'est pas la panacée mais c'est un des outils a déployer).
# Blocage du port 25
Posté par Thierry Thomas (site web personnel, Mastodon) . Évalué à 3.
émission par défaut, tout en permettant de l'ouvrir aux personnes qui en
ont besoin et qui savent ce qu'elles font, va dans le bon sens.
Est-ce que d'autres FAI ont mis en place ce genre de mesures ?
[^] # Re: Blocage du port 25
Posté par fcartegnie . Évalué à 3.
Proxad jette au niveau de ses MX (après acceptation) les mails qui n'ont pas un minimum d'entetes, silencieusement.
[^] # Re: Blocage du port 25
Posté par Joris Dedieu (site web personnel) . Évalué à 1.
# Aaah les botnets
Posté par Victor STINNER (site web personnel) . Évalué à 3.
http://actes.sstic.org/SSTIC08/Autopsie_Observations_Banker/
En quelques : un troyan (Windows) s'installe la machine de la victime, le troyan se connecte en Peer to Peer au réseaux de robots (botnet), lorsque la victime va sur le site de sa banque, la page de login est remplacée par celle du troyan...
Le pire est que dans la conclusion, il est dit que le site est toujours en activité ! Ils sont vraiment très bien organisé et vu les frais de fonctionnement, je pense que leur arnaque marche très bien.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.