logo

NPDS : Gestion de contenu et de communauté

Content & Community Management System (CCMS) robuste, sécurisé, complet, performant, parlant vraiment français, libre (Open-Source) et gratuit.
37 visiteur(s) et 0 membre(s) en ligne.
Plus de contenu
Autres infos
Anciens articles
Activité du Site

Pages vues depuis 25/05/2001 : 108 406 256

  • Nb. de membres 8 693
  • Nb. d'articles 1 695
  • Nb. de forums 26
  • Nb. de sujets 8
  • Nb. de critiques 92

Top 10  Statistiques

Mémoire d'outre Web

Index du forum »»  Sécurité »» [Résolu] - Comment ils font... help :(

[Résolu] - Comment ils font... help :(#16923

8Contributeur(s)
arnodu59developpeururbainJonathanAnonymeGiamDocStalinecolonelwog
3 Modérateur(s)
developpeurjpbJireck
arnodu59 arnodu59icon_post
Bonsoir all :)

Voilà, je viens de recevoir un mail... Et il est, comment dire... bizarre :-?
Le voici en détail :


Objet:       Email Account Suspension
De:       support@servlycee.com
Date:       Jeu 16 juin 2005 19:38
À:       servlan@servlycee.com

Dear user servlan,

It has come to our attention that your Servlycee User Profile ( x ) records are out
of date. For further details see the attached document.

Thank you for using Servlycee!
The Servlycee Support Team

+++ Attachment: No Virus (Clean)

+++ Servlycee Antivirus - www.servlycee.com



Et voici l'en-tête



Return-Path: <support@servlycee.com>
X-Original-To: servlan@servlycee.com
Delivered-To: webmaster_servlycee.com@control.servlycee.com
Received: from servlycee.com (ip-248.net-81-220-195.roubaix.rev.numericable.fr [81.220.195.248])
     by control.servlycee.com (Postfix) with ESMTP id 373DF416C
     for <servlan@servlycee.com>; Thu, 16 Jun 2005 22:42:22 +0200 (CEST)
!from:! support@servlycee.com
To: servlan@servlycee.com
!subject:! Email Account Suspension
Date: Thu, 16 Jun 2005 19:38:12 +0200
!mime-version:! 1.0
!content-type:! multipart/mixed;
     boundary="----=_NextPart_000_0006_871DD97E.E887BF7D"
X-Priority: 3
X-MSMail-Priority: Normal
Message-Id: <20050616204222.373DF416C@control.servlycee.com>



Tout en sachant bien sûr qu'un virus ce trouver dans ce mail :-D
Ma question est donc la suivante... Comment arrive t-il à envoyer un mail de mon propre serveur :-? :-?
17/06/2005 00:14
urbain urbainicon_post
serveur nux//win ?

niveau sécu t'en es où ?
etc
17/06/2005 09:07
Jonathan Jonathanicon_post
c'est peut etre toi qui est infecté.


Sinon, il faut savoir que le protocole smtp utilisé pour les mails n'est pas du tout sécurisé. On peut faire presque ce qu'on veut...
17/06/2005 13:54
arnodu59 arnodu59icon_post
Citation : urbain
serveur nux//win ?


Serveur Debian

Citation : urbain
niveau sécu t'en es où ?

Deux firwall, le premier sous RedHat, et le second sur la debian

Citation : Jonathan
c'est peut etre toi qui est infecté.


?? Le serveur ? aucun trojan dessus, j'ai vérifié, quand à mon PC personnel, il ne peux pas envoyer de mail (il faut obligatoirement passer par le webmail, postfix interdit l'envoie de mail si il n'est pas effectué par lui même)

Message édité par : arnodu59

17/06/2005 16:51
Anonyme Anonymeicon_post
Usurpation d'identité SMTP ... c'est assez facile et TRES à la mode ;-)
17/06/2005 17:21
arnodu59 arnodu59icon_post
Citation : Anonyme
Usurpation d'identité SMTP??


Sept nouveau mail rien que dans l'après midi :-(
17/06/2005 21:50
developpeur developpeuricon_post
tu n'imagine pas combine je recoit d email en provenance de npds.org .... :-P
17/06/2005 22:11
arnodu59 arnodu59icon_post
lol, je n'en doute pas...
Mais sont-ils envoyer du serveur même (sachant qu'il requière une authentification SASL :-? )
17/06/2005 23:01
urbain urbainicon_post
Citation : Jonathan

c'est peut etre toi qui est infecté.


Sinon, il faut savoir que le protocole smtp utilisé pour les mails n'est pas du tout sécurisé. On peut faire presque ce qu'on veut...


serveur linux c fortement compromis :)
c'est pas M$ :-D

même si on est jamais a l'abri d'un oubli ou d'une faille !
18/06/2005 00:05
developpeur developpeuricon_post
Bien sur que non ils ne sont pas encoyer de npods.org ... mais de machine qui se font passer (au niveau SMTP) pour npds.org ...
18/06/2005 12:39
arnodu59 arnodu59icon_post
Citation : developpeur

Bien sur que non ils ne sont pas encoyer de npods.org ... mais de machine qui se font passer (au niveau SMTP) pour npds.org ...


Et il y a un moyen de les identifier ?
18/06/2005 15:12
developpeur developpeuricon_post
adresse IP différente de celle du vraie serveur
18/06/2005 22:33
arnodu59 arnodu59icon_post
Certes, mais voilà mon problème...



Received: from servlycee.com (ip-248.net-81-220-195.roubaix.rev.numericable.fr [81.220.195.248])
     by control.servlycee.com (Postfix) with ESMTP id 373DF416C
     for <servlan@servlycee.com>; Thu, 16 Jun 2005 22:42:22 +0200 (CEST)



Et du côté des logs... ce mail n'existe pas :#
18/06/2005 22:51
arnodu59 arnodu59icon_post
:paf

Non, mais est ce que quelqu'un sais ou je pourrais savoir d'ou il vient ?

Dernier en date :


Return-Path:
X-Original-To: servlan@servlycee.com
Delivered-To: webmaster_servlycee.com@control.servlycee.com
Received: from servlycee.com (ip-248.net-81-220-195.roubaix.rev.numericable.fr [81.220.195.248])
by control.servlycee.com (Postfix) with ESMTP id 8C3844103
for ; Wed, 22 Jun 2005 23:48:36 +0200 (CEST)
!!from:!! mail@servlycee.com
To: servlan@servlycee.com
!!subject:!! Important Notification
Date: Mon, 6 Jan 2003 12:48:26 +0100
!!mime-version:!! 1.0
!!content-type:!! multipart/mixed;
boundary="----=_NextPart_000_0013_8E58BC0D.CA7F3C6D"
X-Priority: 3
X-MSMail-Priority: Normal
Message-Id: <20050622214836.8C3844103@control.servlycee.com>
X-Antivirus: Inbound message
X-Antivirus-Status: Infected
Attachment: \important-details.zip#3578248032 Virus: Win32:Mytob-FI [Wrm]



Merci d'avance à tous pour votre aide :=! :-D

Message édité par : arnodu59

23/06/2005 00:39
developpeur developpeuricon_post
de là je dirais : ip-248.net-81-220-195.roubaix.rev.numericable.fr [81.220.195.248])
23/06/2005 13:48
GiamDoc GiamDocicon_post
Citation : arnodu59 

Citation : urbain
serveur nux//win ?


Serveur Debian

Citation : urbain
niveau sécu t'en es où ?

Deux firwall, le premier sous RedHat, et le second sur la debian

Citation : Jonathan
c'est peut etre toi qui est infecté.


?? Le serveur ? aucun trojan dessus, j'ai vérifié, quand à mon PC personnel, il ne peux pas envoyer de mail (il faut obligatoirement passer par le webmail, postfix interdit l'envoie de mail si il n'est pas effectué par lui même)
pas sur !

Description

Win32.Mytob.FI is a worm that spreads via e-mail. The worm also acts as an IRC bot, allowing a controller unauthorized access to the infected machine.

go to :
http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=43250

http://fr.mcafee.com/virusInfo/default.asp?id=description&virus_k=133985

Message édité par : arnodu59

 
25/06/2005 14:34
Staline Stalineicon_post
Citation : Jonathan
Sinon, il faut savoir que le protocole smtp utilisé pour les mails n'est pas du tout sécurisé. On peut faire presque ce qu'on veut...


Ca dépend hein, chez mon hébergeur il founit un SMTP sécurisé et du POP3 sécurisé.
04/07/2005 11:13
Jonathan Jonathanicon_post
Citation : Staline 

Citation : Jonathan
Sinon, il faut savoir que le protocole smtp utilisé pour les mails n'est pas du tout sécurisé. On peut faire presque ce qu'on veut...


Ca dépend hein, chez mon hébergeur il founit un SMTP sécurisé et du POP3 sécurisé. 


mais encore faut-il s'y connecter en sécurisé, et interdire l'accès en non sécurisé !
04/07/2005 12:51
colonelwog colonelwogicon_post
salut je viens de passer sur ton site et bien y a plus rien est ce normal dut a tes problemes ou as tu eu un crash ?
24/08/2005 14:04