Spam mail a cause de Worm.Mytob.BR

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

Spam mail a cause de Worm.Mytob.BR

Messagepar leso » 30 Août 2005 13:19

Bonjour , juste que ma sme 6.01 tourne correctement avec clamd, depuis deux jours je recois des mails de Register@leso.ath.cx , Staff@leso.ath.cx, Info@leso.ath.cx , Administrator@leso.ath.cx, webmaster@leso.ath.cx et autres compte inexistants sur ma machine. Ces mails sont en destinations de net@leso.ath.cx, julie@leso.ath.cx, serg@leso.ath.cx enfin que d'autres utilisateurs inexistants aussi. Clamd m'envoi un rapport a chaque fois et mets les mails en quarantaine...

Un message type de clamd est :
Code: Tout sélectionner
The virus checker has found potentially malicious code in a mail by
Staff@leso.ath.cx. Delivery has been stopped.

The recipient(s) for this message were:

serg@leso.ath.cx

The message has been quarantined as
4314387e-6c12.msg.

The corresponding logfile has been written to
4314387e-6c12.log.

CLAMD found:
Worm.Mytob.BR

------------------------------------------------------------------------
Message headers follow:
Received: from unknown (HELO leso.ath.cx) (81.255.152.25)
  by sme.leso.ath.cx (10.0.0.3) with ESMTP; 30 Aug 2005 10:44:10 -0000
From: Staff@leso.ath.cx
To: serg@leso.ath.cx
Subject: Your email account access is restricted
Date: Tue, 30 Aug 2005 12:43:40 +0200
MIME-Version: 1.0
Content-Type: multipart/mixed;
   boundary="----=_NextPart_000_0013_A36BB569.9F2BA975"
X-Priority: 3
X-MSMail-Priority: Normal





Surement une machine infectée, je banne son ip ou une autre solution?
MCITP Windows Server 2008, Enterprise Administrator
MCITP Windows Server 2008, Server Administrator
MCITP Exchange 2007 Enterprise Messaging Administrator
Avatar de l’utilisateur
leso
Vice-Amiral
Vice-Amiral
 
Messages: 648
Inscrit le: 03 Avr 2003 00:00
Localisation: Paris

Messagepar sibsib » 30 Août 2005 21:59

Salut,

L'adresse IP du From est toujours la même ?

Effectivement, tu peux la blacklister, mais ceci est un des nombreux outils de spam qui tournent sur le Net. Cà génère des adresses From et To de ton domaine, les utilisateurs ayant plus tendance à ouvrir les mails internes.

Heureusement, la plupart de ces scripts sont basés sur des prénons anglo-saxons, çà limite la casse ;-)

Ceci dit, j'en vois transiter (ou plutôt partir à la poubelle) un bon nombre chaque jour, et çà ne me stresse pas plus que çà !

A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
Avatar de l’utilisateur
sibsib
Amiral
Amiral
 
Messages: 2368
Inscrit le: 11 Mai 2002 00:00
Localisation: France - région parisienne

Messagepar leso » 31 Août 2005 14:55

oui l'ip est toujours la même , je sens que ca va être blacklistage tout simplement
MCITP Windows Server 2008, Enterprise Administrator
MCITP Windows Server 2008, Server Administrator
MCITP Exchange 2007 Enterprise Messaging Administrator
Avatar de l’utilisateur
leso
Vice-Amiral
Vice-Amiral
 
Messages: 648
Inscrit le: 03 Avr 2003 00:00
Localisation: Paris

Messagepar leso » 04 Sep 2005 14:06

par contre on blacklist comment avec clamav?
MCITP Windows Server 2008, Enterprise Administrator
MCITP Windows Server 2008, Server Administrator
MCITP Exchange 2007 Enterprise Messaging Administrator
Avatar de l’utilisateur
leso
Vice-Amiral
Vice-Amiral
 
Messages: 648
Inscrit le: 03 Avr 2003 00:00
Localisation: Paris

Messagepar sibsib » 04 Sep 2005 21:15

Salut,

Dans clamav, j'ai pas essayé (c'est pas le bon endroit). Par contre, dans le panel de spamassassin, tu peux créer une white list et une black list.

Pourquoi plutôt spamassassin que clamav ?

Clamav traite le mail déjà reçu par ta machine. Donc, même si'l droppe à ce moment, ta machine a fait le boulot.
Spamassassin s'intercale au niveau de la réception du mail, et si l'IP source est blacklistée, le message est refusé dès le HELO.

(C'est trop top :-) )

A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
Avatar de l’utilisateur
sibsib
Amiral
Amiral
 
Messages: 2368
Inscrit le: 11 Mai 2002 00:00
Localisation: France - région parisienne


Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité