Posted: Fri Jul 04, 2008 11:10 pm Post subject: 0day dans Thunderbird ?
Bonjour,
Il y a une semaine, j'ai recu des mails bouncés ressemblant à du spam,
mais ce qui est etrange c'est:
qu'il y en a eu ... 600 ! (manifestement partis en meme temps)
qu'ils provenaient tous de serveur smtp differents (.ru, .jp, .cn,
..com, ...),
que ces serveurs smtp les ont eux meme recus d'IP toutes *differentes*
Qu'il y avait parfois du "binaire" dedans (mais cela pourrait etre du
Kanjii)
J'ai des raisons de penser que "quelqu'un" est pret à mettre de gros
moyens financiers pour savoir ce qu'il y a (en fait y avait) dans mon pc
perso. j'ai donc surveillé secunia, et ce matin j'y ai vu ceci:
Comment savoir s'il y avait du code malveillant dans ces mails et
surtout si ce code a fonctionné ? (j'ai helas "popé" ces mails sur ce
present pc portable sous XP home SP2 et sans FW :-(
Savez vous si je pourrais facilement "rejouer" le telechargement de ces
600 mails , avec, cette fois ci un fw ou tcpdump ou autre chose qui
loggerait ce qui se passe ?
Un specialiste pourrait il investiguer, si je lui envoie un fichier
"Thunderbird.txt" contenant tous ces mails ?
Y aurait il un moyen de remonter celui qui a lancé ceci ?
Et surtout, comment est il possible d'envoyer simultanément 600 mails de
600 IP apparemment *differentes* ?
Merci de vos lumieres.
fait suivre a fr.comp.securité
Amitiées à Stephane avec qui j'avais eu des discussions un peu "animées"
à propos de la modération de fcs il y a quelques années !
Posted: Fri Jul 04, 2008 11:10 pm Post subject: Re: 0day dans Thunderbird ?
--{ didier a plopé ceci: }--
Quote:
Et surtout, comment est il possible d'envoyer simultanément 600 mails de
600 IP apparemment *differentes* ?
Il suffit de passer la commande qui-va-bien à un nombre suffisant
de Windows zombifiés. Merci le monde, merci Redmond.
--
D'un côté, les appels au bios et de l'autre, ceux au noyau Linux.
Si une application a été mal portée dans Linux, il se peut qu'il reste des
appels au bios, quoique ce ne soit pas très habituel sans doute.
--{ DB, in fcol.configuration }--
Posted: Fri Jul 04, 2008 11:10 pm Post subject: Re: 0day dans Thunderbird ?
--{ Thierry a plopé ceci: }--
Quote:
Et surtout, comment est il possible d'envoyer simultanément 600 mails de
600 IP apparemment *differentes* ?
Il suffit de passer la commande qui-va-bien à un nombre suffisant
de postfix ou sendmail troués...
C'est bien vrai, ça.
Je n'ai jamais écrit ça.
Foutou de délestage.
--
# find / -type f -uid 0 -perm -u=sx -exec chmod u-s {} \;
Après ça plein de choses vont très très mal marcher... Mais comme ton système
a déjà de gros problèmes entre son clavier et sa chaise, ce n'est pas trop
grave. --{ YBM, répondant à Ptilou dans fcol.configuration }--
Posted: Sat Jul 05, 2008 4:10 am Post subject: Re: 0day dans Thunderbird ?
Olivier Croquette a écrit :
Quote:
Un firewall n'aurait pas changé grand chose à une infection...
Sur mon autre pc, le fw ne laisse Thunderbird ne faire que du 110 vers
mon pop.isp et loggue le 25 vers mon smtp.isp. J'imagine donc que s'il
était sorti des données de mon pc, je l'aurais au moins vu.
Quote:
Y aurait il un moyen de remonter celui qui a lancé ceci ?
Sur les éléments que tu nous as donnés, rien n'est moins sûr que ce soit
une attaque personnelle. Et je crois que personne ne sera trop motivé
pour analyser ce qui parait comme un spasme de robot à spam...
Cela me rassure (un peu) de savoir que les robots à spam ont aussi des
spasmes. :-)
Mais les robots a spams envoient ils chaque mail par une IP différente ?
Posted: Sat Jul 05, 2008 4:10 am Post subject: Re: 0day dans Thunderbird ?
Jean-Marc Desperrier a écrit :
Quote:
didier wrote:
[...]
J'ai des raisons de penser que "quelqu'un" est pret à mettre de gros
moyens financiers pour savoir ce qu'il y a (en fait y avait) dans mon pc
perso. j'ai donc surveillé secunia, et ce matin j'y ai vu ceci:
Il faudrait que le javascript soit autorisé dans Thunderbird pour que
ces failles te concernent.
Ca n'est pas le cas par défaut, et il est peu probable que tu ais changé
cette option fortement déconseillée.
A se sujet, il y a quelque chose qui m'échappe:
dans mon Thunderbird / "outils" / "editeur de configuration" il y a:
javascript.allow.mailnews par défaut booléen false
javascript.enabled par défaut booléen true
C'est normal ce "true" par default ?
Cela ne serait il pas mieux de le "définir par l'utilisateur" en false ?
D'un autre coté, j'avais mis:
"Affichage" / "corps du message en" / "texte seul".
Cela désactive il d'office le javascript ?
Posted: Sat Jul 05, 2008 4:10 am Post subject: Re: 0day dans Thunderbird ?
didier wrote:
Quote:
[...]
J'ai des raisons de penser que "quelqu'un" est pret à mettre de gros
moyens financiers pour savoir ce qu'il y a (en fait y avait) dans mon pc
perso. j'ai donc surveillé secunia, et ce matin j'y ai vu ceci:
Il faudrait que le javascript soit autorisé dans Thunderbird pour que
ces failles te concernent.
Ca n'est pas le cas par défaut, et il est peu probable que tu ais changé
cette option fortement déconseillée.
Posted: Sat Jul 05, 2008 4:10 am Post subject: Re: 0day dans Thunderbird ?
didier wrote, On 4/07/08 12:18:
Quote:
Comment savoir s'il y avait du code malveillant dans ces mails et
surtout si ce code a fonctionné ? (j'ai helas "popé" ces mails sur ce
present pc portable sous XP home SP2 et sans FW
Un firewall n'aurait pas changé grand chose à une infection...
Quote:
Y aurait il un moyen de remonter celui qui a lancé ceci ?
Sur les éléments que tu nous as donnés, rien n'est moins sûr que ce soit
une attaque personnelle. Et je crois que personne ne sera trop motivé
pour analyser ce qui parait comme un spasme de robot à spam...
Posted: Sat Jul 05, 2008 8:11 am Post subject: Re: 0day dans Thunderbird ?
Didier wrote, On 4/07/08 18:23:
Quote:
Un firewall n'aurait pas changé grand chose à une infection...
Sur mon autre pc, le fw ne laisse Thunderbird ne faire que du 110 vers
mon pop.isp et loggue le 25 vers mon smtp.isp. J'imagine donc que s'il
était sorti des données de mon pc, je l'aurais au moins vu.
C'est bien ce que je dis: un firewall n'aurait pas aidé pour une
infection. Pour une éventuelle fuite de données, peut-être, et encore:
si le compte sous lequel tourne Thunberbird a aussi moyen de faire un
trou dans le firewall, c'est foutu aussi.
Quote:
Mais les robots a spams envoient ils chaque mail par une IP différente ?
Les réseaux de zombies servent entre autre à l'envoie de spam, oui.
Posted: Sat Jul 05, 2008 1:10 pm Post subject: Re: 0day dans Thunderbird ?
--{ Didier a plopé ceci: }--
Quote:
Il suffit de passer la commande qui-va-bien à un nombre suffisant
de Windows zombifiés. Merci le monde, merci Redmond.
Effectivement. Mais quel est l'intéret d'utiliser 600 zombies ? Un seul
(ou un seul remailer) ne suffirait il pas ?
Plus tu as de zombies, plus tu peux arroser. Les tempêtes de bounces
montrent bien que c'est à une très très grande echelle que ça se
passe. Pourquoi essayer de passer par un seul remailer alors que
la planête entiere te propose des machines consentantes, avec une
liaison broad-band sur le grand Ternet.
--
Dès Noël où un zéphyr haï me vêt de glaçons würmiens
Posted: Sun Jul 06, 2008 8:10 am Post subject: Re: 0day dans Thunderbird ?
Olivier Croquette a écrit :
Quote:
Didier wrote, On 4/07/08 17:49:
Jean-Marc Desperrier a écrit :
Ca n'est pas le cas par défaut, et il est peu probable que tu ais
changé cette option fortement déconseillée.
javascript.enabled par défaut booléen true
Comme chez Didier, le mien est activé... Jean-Marc, tu es sûr qu'il est
désactivé par défaut!?
Pas de souci, c'est bien le mailnews = false qui est est le bon:
Posted: Mon Jul 07, 2008 6:10 pm Post subject: Re: 0day dans Thunderbird ?
Didier wrote:
Quote:
Thierry B. a écrit :
Il suffit de passer la commande qui-va-bien à un nombre suffisant
de Windows zombifiés. Merci le monde, merci Redmond.
Effectivement. Mais quel est l'intéret d'utiliser 600 zombies ? Un seul
(ou un seul remailer) ne suffirait il pas ?
C'est facile de blackilister 1 adresse IP. Et une fois blacklistée, une
IP n'est plus utile (au spameur). Quand il y en a 600, elles sont utiles
(toujours au spammeur) jusqu'à ce qu'elles se fassent recenser _et_
blacklister: Un administrateur réseau ne (devrait pas?) blackliste pas
autant d'adresses aveuglément sans_ analyse préalable sous peine de
s'isoler lui-même.
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum
Forum FAQ
Search
Usergroups
Profile
Log in to check your private messages
Log in
