Commentaires sur : Attaque par mail: botnet et zombie http://www.pagasa.net/attaque-par-mail-botnet-zombie/ Quand l'espoir vient de l'optimisme Thu, 29 Jul 2010 08:29:04 +0200 http://wordpress.org/?v=2.9.2 hourly 1 Par : Thibaut http://www.pagasa.net/attaque-par-mail-botnet-zombie/comment-page-1/#comment-82 Thibaut Mon, 06 Oct 2008 09:53:27 +0000 http://www.pagasa.net/?p=147#comment-82 Je répond "pour le bien-être de l'information": le serveur semble être effectivement un relai ouvert. En attendant de trouver une solution au problème Exchange, le mieux est de faire gérer les MX directement par Oléane et de canaliser le flux SMTP entre eux et votre serveur via une règle sur le firewall ou à défaut sur le routeur. Voir à ce sujet l'article sur les relais ouverts: http://www.pagasa.net/les-relais-ouverts/ Ceci est d'ailleurs vrai pour toute type d'appli réseau "sensibles": TSE, VNC, etc. Je répond « pour le bien-être de l’information »: le serveur semble être effectivement un relai ouvert. En attendant de trouver une solution au problème Exchange, le mieux est de faire gérer les MX directement par Oléane et de canaliser le flux SMTP entre eux et votre serveur via une règle sur le firewall ou à défaut sur le routeur.

Voir à ce sujet l’article sur les relais ouverts:
http://www.pagasa.net/les-relais-ouverts/

Ceci est d’ailleurs vrai pour toute type d’appli réseau « sensibles »: TSE, VNC, etc.

]]> Par : noel goyet http://www.pagasa.net/attaque-par-mail-botnet-zombie/comment-page-1/#comment-81 noel goyet Sun, 05 Oct 2008 13:13:28 +0000 http://www.pagasa.net/?p=147#comment-81 Indice éventuel : dans le gestionnaire Exchange, le protocole SMTP permet d'afficher des "sessions en cours" et je vois bien qu'il y en a en permanence avec des adresses IP ou des noms qui me sont parfaitement inconnus. Par ailleurs, le week-end, toutes les stations sont éteintes, et le phénomène persiste, il est donc bien situé dans le serveur. A bientôt j'espère Noël Goyet Indice éventuel : dans le gestionnaire Exchange, le protocole SMTP permet d’afficher des « sessions en cours » et je vois bien qu’il y en a en permanence avec des adresses IP ou des noms qui me sont parfaitement inconnus.
Par ailleurs, le week-end, toutes les stations sont éteintes, et le phénomène persiste, il est donc bien situé dans le serveur.
A bientôt j’espère
Noël Goyet

]]> Par : noel goyet http://www.pagasa.net/attaque-par-mail-botnet-zombie/comment-page-1/#comment-80 noel goyet Sun, 05 Oct 2008 12:09:25 +0000 http://www.pagasa.net/?p=147#comment-80 Mon serveur est effectivement un relais ouvert, en tout cas il apparait comme tel à la ligne 17 de votre test. Mais je constate que les 6 serveurs exchange que j'ai installés en suivant le paramétrage standard échouent au même test. Et toutes les solutions que j'ai testées à partir des différents forum n'y changent rien, sauf à bloquer complètement toutes les réceptions. Mon serveur est effectivement un relais ouvert, en tout cas il apparait comme tel à la ligne 17 de votre test. Mais je constate que les 6 serveurs exchange que j’ai installés en suivant le paramétrage standard échouent au même test. Et toutes les solutions que j’ai testées à partir des différents forum n’y changent rien, sauf à bloquer complètement toutes les réceptions.

]]> Par : Thibaut http://www.pagasa.net/attaque-par-mail-botnet-zombie/comment-page-1/#comment-79 Thibaut Sun, 05 Oct 2008 09:00:25 +0000 http://www.pagasa.net/?p=147#comment-79 Bonjour Noel, votre serveur est blacklisté: http://www.pagasa.net/doblacklist/blacklist.php?ip=62.160.80.133 Il est difficile de faire un diagnostique à distance, mais il est clair que votre Exchange a été compromis. Il y a deux possibilités: - votre Exchange est relai ouvert (voir la page test-smtp: http://www.pagasa.net/cgi-bin/chksmtp?smtp=62.160.80.133&conf=chksmtp.conf - votre Exchange fait partie d'un botnet. Notez qu'il est aussi envisageable que ce soit l'un de vos postes situés derrière l'Exchange qui pose problème. Comme vous rencontrez les mêmes symptômes que moi, je m'oriente vers la deuxième possibilités, à savoir que votre machine fait partie d'un botnet et qu'elle est contrôlée à distance via une porte dérobée. Je vous envoi mes coordonnées par mail, que l'on puisse en discuter plus sereinement. Bonjour Noel,

votre serveur est blacklisté: http://www.pagasa.net/doblacklist/blacklist.php?ip=62.160.80.133

Il est difficile de faire un diagnostique à distance, mais il est clair que votre Exchange a été compromis. Il y a deux possibilités:
- votre Exchange est relai ouvert (voir la page test-smtp: http://www.pagasa.net/cgi-bin/chksmtp?smtp=62.160.80.133&conf=chksmtp.conf
- votre Exchange fait partie d’un botnet. Notez qu’il est aussi envisageable que ce soit l’un de vos postes situés derrière l’Exchange qui pose problème.

Comme vous rencontrez les mêmes symptômes que moi, je m’oriente vers la deuxième possibilités, à savoir que votre machine fait partie d’un botnet et qu’elle est contrôlée à distance via une porte dérobée.

Je vous envoi mes coordonnées par mail, que l’on puisse en discuter plus sereinement.

]]> Par : noel goyet http://www.pagasa.net/attaque-par-mail-botnet-zombie/comment-page-1/#comment-78 noel goyet Sat, 04 Oct 2008 12:34:20 +0000 http://www.pagasa.net/?p=147#comment-78 Bonjour, Je gère le parc informatique du cabinet Bonnel-Conseils (10 postes sous Windows XP et 1 Serveur Dell sous Windows Server 2003, par l'IP Fixe 62.160.80.133). Je connais mal Exchange et je le leur ai installé avec les paramêtres standard. Depuis 2 mois, ils rencontrent exactement le problème que vous décrivez dans votre article "botnet et zombie" (y compris les retours en alphabet cyrillique), et Oléane menace de leur fermer le port 25 si ce n'est pas réparé sous 8 jours. Avez-vous quelqu'un à me recommander (ou vous-même) pour trouver la solution ? A défaut de quoi, il ne me restera plus qu'à tout reformater et réinstaller, avec le risque que le problème revienne à plus ou moins courte échéance. Merci d'avance. Noël Goyet 06.07.38.22.69 Bonjour,
Je gère le parc informatique du cabinet Bonnel-Conseils (10 postes sous Windows XP et 1 Serveur Dell sous Windows Server 2003, par l’IP Fixe 62.160.80.133). Je connais mal Exchange et je le leur ai installé avec les paramêtres standard.
Depuis 2 mois, ils rencontrent exactement le problème que vous décrivez dans votre article « botnet et zombie » (y compris les retours en alphabet cyrillique), et Oléane menace de leur fermer le port 25 si ce n’est pas réparé sous 8 jours.
Avez-vous quelqu’un à me recommander (ou vous-même) pour trouver la solution ?
A défaut de quoi, il ne me restera plus qu’à tout reformater et réinstaller, avec le risque que le problème revienne à plus ou moins courte échéance.
Merci d’avance.
Noël Goyet
06.07.38.22.69

]]>