Il est conseillé aux administrateurs systèmes/réseaux de filtrer les messages contenant ce ver (assez facile à détecter grace à son texte).
Note du modérateur: il est possible de régler définitivement tous ces problèmes en configurant postfix de la manière suivante. Editez main.cf et rajoutez:
body_checks = regexp:/etc/postfix/body_checks
Enfin éditez body_checks et rajoutez:
/^Content-(Disposition|Type): application\/mixed/ REJECT
/^Content-(Disposition|Type):.*name="?.*\.(bat|com|pif|vb|exe|lnk|scr|reg|chm|wsh|js|inf|shs|job|ini|shb|scp|scf|wsc|sct|dll)/ REJECT
Ainsi, tout attachement type executable windows sera refusé systèmatiquement. Il est certainement possible de faire la même manipulation pour les autres daemon smtp.
Aller plus loin
- La news Journal du net (2 clics)
- Description de la bête (3 clics)
- Procmail (3 clics)
# oui
Posté par Anonyme . Évalué à -1.
:o)
# Euh, t'es sur ?
Posté par Anonyme . Évalué à 0.
De plus, faut etre fou pour faire des check sur le body avec postfix (ou alors etre riche), c'est bcp trop couteux en temps CPU/memoire. Imagines ta regex en train d'etre testes sur des mails de plus d'1 Mo ....
[^] # Re: Euh, t'es sur ?
Posté par Etienne Roulland . Évalué à 1.
Et ca marche bien meme .....
[^] # Re: Euh, t'es sur ?
Posté par Etienne Roulland . Évalué à 1.
mettre
/^Content-Disposition: Multipart message/i REJECT
dans /etc/postfix/header_check
et header_checks = regexp:/etc/postfix/header_check
dans main.cf
Pis un postfix reload ;-)
[^] # Re: Euh, t'es sur ?
Posté par Anonyme . Évalué à 0.
Je dis pas ca pour etre chiant, mais je recois ts les jours les MAJ de mes machines par email en piece jointe...
bref, je tenterais pas ta manip.
[^] # Re: Euh, t'es sur ?
Posté par Etienne Roulland . Évalué à 1.
[^] # Re: Euh, t'es sur ?
Posté par Anonyme . Évalué à 0.
Donc aucun risque de ce côté là
[^] # Re: Euh, t'es sur ?
Posté par Anonyme . Évalué à 0.
Cependant on peut faire un filtre sur les en-têtes, comme signalé dans fr.comp.mail :
pour postfix, dans le header_checks ajouter
/^Content-disposition: Multipart message/ REJECT
le filtrage se fait alors sur les en-têtes et c'est effectivement nettement moins couteux.
# Oui mais...
Posté par Anonyme . Évalué à 0.
2°) qu'est-ce que ce genre de chose fout sur linuxfr ? si on commence a parler des virus windows, on a pas fini....
[^] # Re: Oui mais...
Posté par Orphée . Évalué à 1.
D'où présence légitime d'une telle info ici.
J'ai du mal à comprendre qu'il faille t'expliquer ça...
[^] # Re: Oui mais...
Posté par Anonyme . Évalué à 0.
1°) Da linux french page n'est pas un site destiné a apprendre leur boulot aux admins. On présume qu'ils le connaissent, et si ce n'est pas le cas tant pis, linuxfr est un site de news (qui a dit de Troll ?), pas d'explication de comment faire son boulot d'admin.
2°) L'explication est quand même radicale : on bloque tout sans se soucier de savoir si ca n'apporte pas plus d'ennuis qu'autre chose.
[^] # Re: Oui mais...
Posté par François B. . Évalué à 1.
Et que personne me dise que ce n'est pas possible, que les utilisateurs n'y arriveront jamais, je connais une boîte de graphisme qui utilise cette méthode tous les jours : ils copient le fichier à envoyer dans un répertoire partagé puis vont sur une page de l'intranet qui leur renvoie l'URL FTP vers le fichier (le serveur crée automatiquement un répertoire de nom aléatoire qui n'est pas retourné par un "ls" pour permettre un accès anonyme avec un minimum de sécurité). Pour recevoir un fichier, ils vont sur l'intranet et font une demande de création de répertoire dont ils donnent l'adresse au client.
Tout ça se fait en trois scripts ... (un d'envoi, un de réception et un de nettoyage dans la crontab).
En plus, ils ont bien moins de problèmes à cause des limitations en tailles de certaines boîtes. Jusqu'à maintenant, aucun client n'a fait d'objection. Ils sont d'abord surpris la plupart du temps, mais ils trouvent que finalement c'est plus facile (sic).
[^] # Re: Oui mais...
Posté par Yann Bloch . Évalué à 1.
Je sais, c'est stupide, mais c'est comme ca.
[^] # Re: Oui mais...
Posté par Anonyme . Évalué à 0.
si un besoin le demande, hop on fait ouvrir un port bien ciblé
[^] # Re: Oui mais...
Posté par Yann Bloch . Évalué à 1.
[^] # Re: Oui mais...
Posté par Anonyme . Évalué à 0.
yk
[^] # Re: Oui mais...
Posté par Anonyme . Évalué à 0.
T'as déjà étudié la doc du ftp ?
il change régulièrement de port.
Il faut un firewall qui suive pour faire passer du ftp en tout sécurité.
Sinon, je suis d'accord que :
1) on installe pas un firewall de daube (donc un qui suit le ftp)
2) on fait pas passer les fichiers par mail (même pas les vidéos de loana dans la picine !)
nraynaud, va vraiment falloir que je m'authentifie un jour !
[^] # Re: Oui mais...
Posté par Anonyme . Évalué à 0.
Si tu connais un moyen plus répandu que le mail de communiquer avec tous tes clients, dis moi lequel j'avoue que ca m'interresse.
[^] # Re: Oui mais...
Posté par Dugland Bob . Évalué à 1.
[^] # Re: Oui mais...
Posté par Anonyme . Évalué à 1.
Pouvoir envoyer un fichier par courrier à quelqu'un qui bosse dans une boite, c'est sympa _aussi_.
Après, c'est aux entreprises d'expliquer de ne pas ouvrir n'importe quoi et aux administrateurs de filtrer ce qu'ils peuvent filtrer.
Proposer une solution ftp ou, mieux, SSH, pour le transfert de fichier, ok. Mais empecher l'envoi d'un amical tar.bz2 par courriel, c'est franchement idiot.
Proposer des solutions plus efficace, oui, bloquer les éléments corrompus, oui. Supprimer des moyens simples et universels, non.
[^] # Re: Oui mais...
Posté par Anonyme . Évalué à 0.
Tu sais il existe aussi des gens qui n'ont pas d'intranet, pas de connexion permanente, qui ne savent pas faire des scripts et encore moins mettre en place un serveur ftp.
On fait comment ? Il faut sans doute que les gens changent leur habitudes - d'accord, mais il faut d'abord commencer par reflechir un peu en profondeur au pourquoi de ces habitudes
Le "y-a-qu'a" sevit toujours je vois
Ronan
[^] # Reflechissons...
Posté par Anonyme . Évalué à 0.
Beaucoup de logiciel ( dont outlook ), fournit avec un os ( windows ) installé d'office sur la plupart des machines. ( au fait outlook n'est pas fournit avec les mac aussi maintenant ? ). Bref, un monopole.
Parcequ'"on" fait croire aux gens que c'est compliqué . Qu'"on" se charge de tout, que c'est une affaire de "professionnel".
Parcequ'"on" leur fait croire que si une machine plante ce n'est pas de la faute du système d'exploitation ou de l'application mais, soit du fabricant du materiel, soit une erreur/negligence de l'utisateur.
Voilà donc des gens qui
* ont l'impression d'etre des abrutis donc qui ferment leur gueules
* pense que c'est tellement compliqué qu'il ne vont pas se documenter ( ou etre informés )
* pense que quand ca marche pas c'est pas de la faute du soft
* qui ne connaissent pas d'alternative.
J'ai bien repondu M'sieur ?
Maintenant on peut reflechir à des solutions ?
[^] # Re: Reflechissons...
Posté par Anonyme . Évalué à 0.
Le fait d'utiliser la fonction joindre un fichier a son e-mail ne date pas de Windows que je sache.
Je parle de la difficulte de la mise en place du systeme que tu preconises chez de tres nombreuses personnes qui utilisent deja l'informatique.
Le probleme, c'est essentiellement Outlook et les fichiers executables.Point
Et le passage par ftp ne resoudra par le pb des virus
(cf post plus bas)
Ronan
[^] # Re: Reflechissons...
Posté par Gloo . Évalué à 1.
"d'accord, mais il faut d'abord commencer par reflechir un peu en profondeur au pourquoi de ces habitudes"
Je n'ai proposé aucune solution. ( le problème d'avoir été anonyme ). Je pense en revanche qu'il y a differentes solutions toutes avec des avantages et des inconvenients en fonctions des contextes, et que c'est un problème complexe actuellement.
Le problème c'est surtout de pouvoir identifier un expediteur et l'integrité de son mail.
Par exemple:
1) je prepare un mail,
2) j'attache mon fichier
3) je le signe
4) je l'envoie
5) tu le reçois
6) tu verifies mon identité et l'integrité du mail.
7) tu lances l'executable si c'est ok.
Chouette comme système non ? non :
1) que faire des mails de personnes non identifiés ( pas forcement inconnues ): les ignorer, les supprimer, enlever le fichier joint, les avertir (automatiquement) ?
2) que se passe t'il dans le cas d'une machine deja infectéé ( le système, le client mail... ) mais dont le user est dejà identifié ?
3) est ce que tout le monde souhaite etre ficher chez un tiers de confiance ?
Ce qui est certain c'est qu'un système comme ca limiterait enormement la diffusion, et donnerait beaucoup de fil à retordre à ces plaisantins. En fait ca limiterait beaucoup la casse.
Bref, le problème ne se limite pas "essentiellement à Outlook" ( enfin si, actuellement ) et nous n'allons pas être épargnés encore longtemps non plus. Parceque le problème c'est l'identité de l'emetteur et l'integrité du fichier executable. Le marché des tiers de confiance promet d'etre juteux. Dire qu'il y a un pays qui pense "confier" tout ça ( standards/tiers de confiance ) à des boites privée...
[^] # Re: Oui mais...
Posté par Anonyme . Évalué à 0.
Oui si les deux parties ont un serveur ftp accessible. Or ce n'est pas vraiment le cas. Et ne me parle pas de demander a l'admin d'installer un serveur ftp pour tout le monde : dans une grosse boite, si on ne te jette pas des pierres le temps que ca soit fait, tu auras plus vite fait d'envoyer le fichier par la poste.
En plus dans le cas d'un virus ca laisse un probleme : si ton fichier est virusé que tu l'envoie par mail ou par ftp, tu risques d'infecter l'autre.
Le plus utile est de mettre un antivirus a jour sur le serveur de messagerie et sur les postes client. Comme ca tu peux continuer a bosser.
[^] # Re: Oui mais...
Posté par Anonyme . Évalué à 0.
[^] # Re: Oui mais...
Posté par Eddy . Évalué à 1.
Et brulons:
-les lignes blanches, car ca fait perdre 1/2 des voies sur une route quand il n'y a personne en face,
-les feux rouges, car ils me ralentissent,
-les limitations de vitesse, ca m'empeche de montrer a tous que je conduis aussi bien que Shumacher, sauf que lui, le debutant, fait ca sur un circuit, alors que moi, je le fais sur le periph a l'heure de pointe.
Rigolo, va.
[^] # Re: Oui mais...
Posté par Lu (site web personnel) . Évalué à 1.
ha, c'est donc toi sur la vidéo ?
http://fazer.bikepics.com/video/Speed-Pascal-ParisRingRoad-381sec.m(...)
(:
[^] # Re: Oui mais...
Posté par Eddy . Évalué à 1.
[^] # Re: Oui mais...
Posté par Étienne . Évalué à 1.
[^] # Re: Oui mais...
Posté par Anonyme . Évalué à 0.
Personne aurait un lien pour l'avoir en VO francaise non doublée ni sous titré ?
[^] # Re: Oui mais...
Posté par gwenn cumunel (site web personnel) . Évalué à 1.
Faudrait aussi une regexp qui vire tout les mails au "format html" !
Deuxièmement, cette news est intéressante car elle donne une solution pour "protéger un peu" un réseau composé de poste de "travail" sous windows, mais dont le serveur de mail est sous Linux.
[^] # Re: Oui mais...
Posté par Jak . Évalué à 1.
Ca me fait penser au coup de gueule d'un Linuxien envers les Windowsiens justement à cause de tous les mails vérolés reçus, qui est passé sur la tribune hier soir, mais je n'ai pas le lien de l'article sous la main.
# Rhalala...
Posté par Serge Rossi (site web personnel) . Évalué à 1.
Alors pour le principe, je rale :-)
[^] # Idées pour Dacode.
Posté par schyzomarijks . Évalué à -1.
A chaque nouvelle
* L'ajout automatique d'un commentaire:
HORS SUJET : Cette news n'a rien a faire sur DLFP.
* Réponse automatique au commentaire automatique.
Mais si. Le lien est subtile mais il existe.
* L'ajout automatique d'un commentaire:
DE TOUTE FACON : Suse Su><, Debian rulaize.
[^] # Re: Rhalala...
Posté par Mokona . Évalué à 1.
Ok je ne suis pas infecté, mais je suis quand même touché par le virus.
Donc prévenir afin que l'on puisse filtrer ici me semble complètement on topic.
[^] # Re: Rhalala...
Posté par Ludovic Boisseau . Évalué à 1.
[^] # MX
Posté par Anonyme . Évalué à 0.
IL FAUT LAISSER LES VIROLO TOUT PETER!
s'ils existent c'est bien parce qu'il y a des cibles, aka les systemes pourris
si tous les systemes s'en prennent un, puis 10 puis 100, je ne donne pas cher de leur survie dans l'entreprise (ou alors dans un vmware ;) )
La charge des mx sera en forme de gauss, apres le pic: le calme, la performance et la disparition de tout ce qui actuellement nous pourri la vie:
les systemes pourris.
ps: un admin qui fait une bourde sous ROOT et bein c'est bien fait! on l'avait prevenu !
:)
[^] # Re: MX
Posté par Anonyme . Évalué à 0.
# C'est quand-meme lamentable, tout ca
Posté par Yann Bloch . Évalué à 1.
Ce serait tellement facile pour le client mail d'executer les programmes attaches sous un nom d'utilisateur special, qui n'a pratiquement aucun droit. Ah, oui, c'est vrai, win95/98/me ne gere pas les utilisateurs... pfff...
Voila, c'etait mon coup de gueule de la journee, un pave dans la mare...
[^] # Re: C'est quand-meme lamentable, tout ca
Posté par gwenn cumunel (site web personnel) . Évalué à 1.
Ce serait plus facile si le client n'essayait pas du tout d'exécuter quoi que ce soit de manière automatisée !!!
[^] # Re: C'est quand-meme lamentable, tout ca
Posté par Anonyme . Évalué à 0.
# Règle Procmail
Posté par Pierre Tramal (site web personnel) . Évalué à 1.
:0 B
*Hi! How are you ?
*I send you this file in order to have your advice
*See you later. Thanks
/dev/null
:0 B
*Hola como estas ?
*Te mando este archivo para que me des tu punto de vista
*Nos vemos pronto, gracias.
/dev/null
Pour ceux que ca intéresse....
[^] # Re: Règle Procmail
Posté par Mokona . Évalué à 1.
[^] # Re: Règle Procmail
Posté par FRLinux (site web personnel) . Évalué à 1.
[^] # Re: Règle Procmail
Posté par Anonyme . Évalué à 0.
JLL
[^] # Re: mailfilter
Posté par Jean-Paul Chiron (site web personnel) . Évalué à 1.
Or mailfilter filtre uniquement sur les entetes...
[^] # Re: Règle Procmail
Posté par Pierre Tramal (site web personnel) . Évalué à 1.
[^] # Re: Règle Procmail
Posté par Anonyme . Évalué à 0.
*I send you this file in order to have your advice
*daeLRCQEM9KJEIN8JAwAdBmLRCQEi1QkCIkQi0QkDCtEJAiLVCQEiUIEg8QUXV9eW8NTVldV
|(formail -rtb -I "Precedence: junk"
-I "Subject: SirCam Virus Spam Worm";
echo "Your computer is infected with the SirCam worm. Please see";
echo "http://www.wired.com/news/technology/0,1282,45427,00.html(...) for more information.")
|/usr/sbin/sendmail -t
# Une meilleure solution!
Posté par Anonyme . Évalué à 0.
[^] # Re: Une meilleure solution! --> BOF
Posté par Foxy (site web personnel) . Évalué à 1.
C'est quand même beaucoup plus efficace et rapide (et surtout beaucoup moins consommateur de CPU) de filtrer via des règles sur le Body ou les Headers du message, comme expliqué dans cette news. En plus, ce tri s'effectue plus tôt dans la chaine d'un MTA que l'analyse via AmaVis.
Amavis, c'est bon pour les virus que tu n'arrives pas à éliminer via une analyse des Headers SMTP (donc inutile pour les Worm Outlook qui ont des signatures SMTP reconnaissables)
[^] # je trouve ca bien que linuxfr donne des conseils de config mail ! c-est cool :)
Posté par Anonyme . Évalué à 0.
[^] # Re: Une meilleure solution! --> BOF --> Si si, j'te l'jure!
Posté par Anonyme . Évalué à 0.
veroles. Ma boitimel a ete une cible de ce
virus, et il s'est fait squize par le serveur.
Maintenant il est enregistre sur le serveur. :)
Mais c'est certain que ca consomme des ressources.
[^] # Re: Une meilleure solution! --> BOF --> Si si, j'te l'jure!
Posté par Anonyme . Évalué à 0.
patché Outlook.
Je crois que Ms a sorti un patch depuis
"I love you".
# Dangereux ???
Posté par Ramón Perez (site web personnel) . Évalué à 1.
Tous petits, écrits en assembleur, ils se planquaient dans les secteurs de boot des disquettes, à la fin des fichiers... Il s'incrustait sur ton ordi sans un bruit, se répandait un peu partout, et tout d'un coup Boum ! il te détruisait tout !
Maintenant on a un gros machin hyper pas discret "Bonjour, je suis un gros virus, cliquez sur moi pour m'installer", c'est à l'utilisateur de le lancer, c'est vraiment ridicule.
Les virus, c'était mieux avant.
[^] # Re: Dangereux ???
Posté par François B. . Évalué à 1.
[^] # Re: Dangereux ???
Posté par Lefuneste . Évalué à 1.
[^] # Re: Dangereux ???
Posté par ufoot (site web personnel) . Évalué à 1.
Hein, je vous le demande?
Wouarf wouarf wouarf...
# la liste n'est pas complete
Posté par Anonyme . Évalué à 5.
http://www.trendmicro-fr.com/infoproduits/neatsuite/extensions.htm(...)
Amusez vous bien ...
[^] # Re: la liste n'est pas complete
Posté par Fabien Penso (site web personnel, Mastodon) . Évalué à 1.
[^] # Re: la liste n'est pas complete
Posté par Anonyme . Évalué à 0.
.tgz .rar .tar.gz ... Pourtant tous les autres fichiers peuvent avoir pris cette forme compressée ;-)
Bannir certaines extensions sert pas a grand chose. Un anti-virus scanant ces fichiers est une meilleure solution pour moi bien que plus gourmande. Mais combien moins ennuyante pour l'utilisateur...
[^] # Re: la liste n'est pas complete
Posté par Étienne . Évalué à 1.
--
Join the ascii ribbon campaign against html email and
() Microsoft attachments
/\ Joingnez-vous à la campagne du ruban ascii contre les
courriels html et les pièces jointes Microsoft
# Dur de vous lire ?
Posté par kangs . Évalué à 1.
[^] # Re: Dur de vous lire ?
Posté par shbrol . Évalué à -1.
(désolé, hop -1)
[^] # Re: Dur de vous lire ?
Posté par C2RIK . Évalué à -1.
-1 s'il vous plaît !
# PasBillPasGates, rend toi utile !
Posté par Anonyme . Évalué à 0.
Peut on automatiser la tache de configuration d'Outlook ( pour un reseau d'entreprise ) ?
Sinon, comment empecher l'installation d'outlook à partir de l'automatisation, il doit bien y avoir une clef dans la base de registre pour ça, non ?
[^] # Re: PasBillPasGates, rend toi utile !
Posté par Pierre Tramal (site web personnel) . Évalué à -1.
[^] # il est meme pas au courant...
Posté par Anonyme . Évalué à -1.
[^] # Outlook : responsable, pas coupable !
Posté par Anonyme . Évalué à 0.
Interdire l'exécution de scripts n'arrange rien. Seule une stratégie-serveur de filtrage peut l'arrêter. Bien sûr on peut aussi se dispenser de cliquer dessus, mais je crois que là, ballepot !
Bref : http://www.antivirus.com(...)
Il y a un patch. (fix_ ...)
Un serveur FTP n'aurait rien changé non plus.
FORMAT C:/U
Beaucoup plus.
ADAM, qui ne peut pas se loguer.
Mais il s'en fout, il est caché, il vit heureux :-)
# et les .PPS
Posté par Brunus . Évalué à 1.
.pps je crois.
Mais bon, si les outlook users ne desactivent pas l'exécution des vb scripts contenu DANS le corp du mail et non pas en liens, ils peuvent êtres activés non ?
# le ptit vicieux :)
Posté par Mickaël MASQUELIN . Évalué à 1.
Il est capable d'usurper l'identité d'une personne de confiance et de transmettre des pièces qui peuvent être confidentielles. En plus, elles sont lisibles aussi super facilement (j'ai un de mes utilisateurs qui a réussi à le faire avec 2 documents Word).
G plus qu'à mettre des règles de filtrage pour ce type de mél j'crois... sinon surprises rulezzzz =)
[^] # Re: le ptit vicieux :) ... TROP ?
Posté par Dugland Bob . Évalué à 1.
Je vois pas pourquoi tu aurais confiance sur un mail non signé.
[^] # Re: le ptit vicieux :) ... TROP ?
Posté par Anonyme . Évalué à 0.
Avec OpenSSL, t'as vite fait de te monter ton autorité de certification custom, donc des certificats custom :o)
Dans la mesure où, en France, t'as pas vraiment d'organisme capable de gérer/réglementer/contrôler les certificats numériques, je vois pas quel crédit tu peux accorder à un mail signé alors...
Il reste le problème du pass pour le virii à choper... là, c quand même plus chaud pour lui :)))))
[^] # Re: le ptit vicieux :) ... TROP ?
Posté par Dugland Bob . Évalué à 1.
Je ne crois pas vraiment aux organismes de certification, ça va devenir le maillon faible trop rapidement. J'en ai vucertains qui certifiaient des clefs reçues par mail ! Y'a même au moins une clef certifiée de MS qui se trimballe dans la nature (y compris la clef privée).
Perso, dans la boîte où je travaille, les ports de gestion des clefs ne sont pas ouverts, on a pas accès aux bases de données de révocation.
# Le virus à éradiquer
Posté par Annah C. Hue (site web personnel) . Évalué à 1.
Comment pouvez-vous pardonner à un système qui vient de vous faire perdre 1 an de boulot parce que word a merdé ? Si c'est un virus vous n'êtes pas content, si c'est windows ou une autre de ces saloperies redmondiennes vous vous dites "ah c'est nul l'informatique".
Aidons l'humanité.
Mettons un suppositoire atomique dans [SNIP] de chaque commercial/marketeux/dirigeant de microsoft.
# Body_checks
Posté par Anonyme . Évalué à 0.
Qqu'un peut-il eclairer ma lanterne ?
# urgent !!!
Posté par Mickaël MASQUELIN . Évalué à 1.
mon mél perso : oooparnooo@aol.com
merci d'avance !
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.