Re: Swen
Le 12372ième jour après Epoch,
Stéphane RATELET écrivait:
> Moi aussi, et j'en ai vraiment marre, comment savoir d'ou ca viens
> pour enrayer le truc.
Perso, j'utilise une 'feature' perso ajoutée à amavis-ng, pour envoyer
un message à abuse et root du domaine émetteur. Ce domaine était
depuis le début fiable à plus de 95% (à la louche).
Cette technique a donné pas mal de bons résultats, et j'ai souvent
reçu des mails 'humains' confirmant qu'effectivement l'abonné de leur
service était bien infecté et qu'il avait été "warned" ou même
suspendu le temps qu'il désinfecte sa machine.
Il semble malheureusement que Swen ait subi une évolution et que le
domaine d'émission (le champ 'MAIL FROM:' du dialogue smtp, modifié
avec l'option -f des MTA classiques) soit maintenant forgé.
Comme je suis assez nul en Perl, je ne me sens pas le courage de faire
un petit script qui analyse les champs Received: du message pour
déterminer avec exactitude l'origine du virus. Si une bonne âme se
sent le courage de faire ça, je suis prêt à l'aider pour ce qui est de
savoir déterminer les champs Received: forgés de ceux qui sont réels.
--
Virtue is a relative term.
-- Spock, "Friday's Child", stardate 3499.1
Reply to:
- References:
- Swen
- From: Jean-Michel OLTRA <jm.oltra@espinasse.net>
- Re: Swen
- From: "Florent Alleau" <florent@camembert.dyndns.org>
- Re: Swen
- From: Stéphane RATELET <stephanfo@stephanfo.homelinux.org>