Swen: recherche de l'expéditeur

To: Liste Debian Francophone <debian-user-french@lists.debian.org>
Subject: Swen: recherche de l'expéditeur
From: benoit <glo@defora.org>
Date: Sun, 28 Sep 2003 01:55:16 +0200
Message-id: <[🔎] 20030927235516.GA6451@windmill>
In-reply-to: <[🔎] 20030927212334.GF32559@naryves.com>
References: <[🔎] 20030927091602.660F78F92@gut.gorguth.loc> <[🔎] 3F755E46.2090903@free.fr> <[🔎] 003101c384ee$e9688590$0201a8c0@gepepette> <[🔎] 1064665636.964.14.camel@zwiffer.zwiffer.org> <[🔎] 20030927155541.41a64649.user@maison.homelinux.net> <[🔎] 1064673242.899.14.camel@lo> <[🔎] 20030927212334.GF32559@naryves.com>

Message de Yves Rutschle, le samedi 27 septembre :
> Ben si... Si mon FAI décide de regarder tout ce qui sort de
> chez moi vers port 25 extérieur, il peut suivre absolument
> tous les mails que j'envoie, même si je n'utilise pas son
> serveur SMTP.

ce serait pas illégal de sa part ça ?



dans les headers, on a la trace de chaque serveur smtp, qui
indique qui lui a envoyé le mail.

en voici un:



Received: from mta03-svc.ntlworld.com (mta03-svc.ntlworld.com [62.253.162.43])
          by mfd.defora.org (8.12.3/8.12.3/Debian-6.6) with ESMTP id h8RMXZIk017082
          for <glo@defora.org>; Sun, 28 Sep 2003 00:33:42 +0200
Received: from hgimg ([81.100.99.21]) by mta03-svc.ntlworld.com
          (InterMail vM.4.01.03.37 201-229-121-137-20020806) with SMTP
          id <20030927212038.VGTB27049.mta03-svc.ntlworld.com@hgimg>;
          Sat, 27 Sep 2003 22:20:38 +0100


le dernier Recieved est le plus ancien

moi je dirais que le type infecté est 81.100.99.21, et que sa machine
est 'hgimg' : cela nous est confirmé par le @hgimg dans Message-Id :
Message-Id: <20030927212038.VGTB27049.mta03-svc.ntlworld.com@hgimg>


je n'ai pas trouvé 'hgimg' ou '81.100.99.21' dans mes archives de
debian, mais je ne suis inscrit que depuis 24h. l'un d'entre vous
pourrait-il regarder ? ce serait amusant de trouver le coupable...

$ host 81.100.99.21
Name: public2-pool3-4-cust21.cosh.broadband.ntl.com
Address: 81.100.99.21

# nmap -p 21,22,23,25,139 -O 81.100.99.21

Starting nmap 3.27 ( www.insecure.org/nmap/ ) at 2003-09-28 01:12 CEST
Interesting ports on public2-pool3-4-cust21.cosh.broadband.ntl.com
(81.100.99.21):
(The 4 ports scanned but not shown below are in state: closed)
Port       State       Service
139/tcp    open        netbios-ssn
Remote operating system guess: Windows NT 3.51 SP5, NT4 or 95/98/98SE

Nmap run completed -- 1 IP address (1 host up) scanned in 2.862 seconds


cela semble concorder : c'est un neuneu sous windows.


# nmblookup -A 81.100.99.21
Looking up status of 81.100.99.21
        DEFAULT         <00> -         B <ACTIVE> 
        WORKGROUP       <00> - <GROUP> B <ACTIVE> 
        DEFAULT         <03> -         B <ACTIVE> 
        JACKIE OWEN     <03> -         B <ACTIVE> 


je n'ai pas réussi à aller plus loin, probablement à cause de l'espace
dans le nom de la machine.

# smbclient -L //"JACKIE OWEN"/ -I 81.100.99.21
# smbclient -L //JACKIE%20OWEN/ -I 81.100.99.21

# smbclient -L //JACKIE\ OWEN/ -I 81.100.99.21
session request to JACKIE OWEN failed (Called name not present)
session request to *SMBSERVER failed (Called name not present)



je suis presque sûr d'avoir trouvé l'expéditeur infecté de ce mail.
il n'est donc pas impossible de remonter.



ben



-- 
In a world without walls or fences,
what use do we have for windows or gates?

Reply to:

References:
- Swen suite (et fin pour ma part)
  - From: Gorguth <gorguth@tiscali.fr>
- Re: Swen suite (et fin pour ma part)
  - From: "eric@b.org" <eric.bachard@free.fr>
- Re: Swen suite (et fin pour ma part)
  - From: "Billou@Billou" <billou@billou.net>
- Re: Swen suite (et fin pour ma part)
  - From: Grégoire Cachet <greg@zwiffer.org>
- Re: Swen suite (et fin pour ma part)
  - From: François Boisson <user@maison.homelinux.net>
- Re: Swen suite (et fin pour ma part)
  - From: Gregoire Cachet <greg@zwiffer.org>
- Re: Swen suite (et fin pour ma part)
  - From: Yves Rutschle <debian@rutschle.net>

Prev by Date: Gros problème K7S5A, Kernel 2.6 et USB
Next by Date: Re: real-player --> ogg, wav ou mp3
Previous by thread: Re: Swen suite (et fin pour ma part)
Next by thread: Re: Swen suite (et fin pour ma part)
Index(es):
- Date
- Thread