Journal spam

Posté par  (site web personnel) .
Étiquettes : aucune
0
4
déc.
2005
eh bien, les spammeurs sont de plus en plus perspicaces:
voici que j'ai reçu aujourd'hui un spam de chez gnu.org !
heureusement, le fichier attaché est un executable windows, donc je ne serait pas infecté.
pour info, voici le sujet:

De: info@gnu.org
À: zfreemailer@tuxfamily.org
Sujet: Registration Confirmation

le sender est :
Received: from 12-217-117-33.client.mchsi.com ([12.217.117.33])

un petit nmap -P0 sur 12-217-117-33.client.mchsi.com me dit:
PORT STATE SERVICE
22/tcp open ssh
113/tcp closed auth
443/tcp open https

un ptit coup de navigateur en https://12-217-117-33.client.mchsi.com me redirige sur:
http://www.thinformation.com/
bof, pas cool.

un ptit scanssh sur cet ip:
SSH-2.0-OpenSSH_3.8.1p1 Debian-8.sarge.4

J'en déduis que ce gars a un double boot avec windows, vu le spam.

je voudrais juste envoyer un mail au pauvre gars pour lui dire de laver sa partition windows.
  • # Et pourquoi pas ...

    Posté par  (site web personnel) . Évalué à 5.

    Un nat plutôt ?

    J'en déduis que ce gars a un double boot avec windows, vu le spam.


    Uptime 15.780 days (since Fri Nov 18 13:53:58 2005)

    Il semble que se machine n'ait pas rebootée depuis deux semaines. Donc je pencherais plutôt pour un nat avec des ports ouverts uniquement pour le serveur... sous Debian only donc.
    • [^] # Re: Et pourquoi pas ...

      Posté par  . Évalué à 3.

      Ou bien une machine piratée, Même un GNu/linux est vulnérable...
      D'ailleurs il suffit de lire securityfocus...

      Il faut se reveiller les gars, il n'y'a plus que windows qui peut devenir passoir

      Ce que je pense !!!
  • # champ from falsifié

    Posté par  . Évalué à 3.

    Pour le ptit mail, tu peux toujours, mais tu as de fortes chances pour que ça ne serve à rien.

    Les virus modifient les champs from de mail.

    Une machine infectée reçoit un mail "blagues pour bien commencer la journée", le virus prends tous les destinataires (dont ta propre adresse) et s'en sert pour remplir le from, pour mieux passer à trav et encourager les destinataires qui connaissent l'emetteur à ouvrir le fichier joint.
    • [^] # evidemment (Re: champ from falsifié)

      Posté par  (site web personnel) . Évalué à 2.

      Pour le ptit mail, tu peux toujours, mais tu as de fortes chances pour que ça ne serve à rien.
      Les virus modifient les champs from de mail.

      C'est bien parceque le champ from est falsifié que je parle du sender réel, id est la machine qui a fait le HELO, à savoir 12.217.117.33.
      or s'agissant d'une machine unix (vu le scanssh) je pourrais donc à la limite envoyer un mail vers root@12.217.117.33 mais le problème c'est que cette machine peut relayer un client mail d'un autre pc dans son réseau local, ce qui fait que même root@12.217.117.33 ne saura qui est le réel spammeur.

      Tout homme qui dirige, qui fait quelque chose, a contre lui ceux qui voudraient faire la même chose, ceux qui font précisément le contraire, et surtout la grande armée des gens d'autant plus sévères qu'ils ne font rien du tout. -- Jules Claretie

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.