Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Un PC de mon réseau envoi du SPAM

Breezy

Par Breezy
dans Analyses et éradication malwares

 Partager

Messages recommandés

Breezy Full Patch Member

Breezy

Posté(e)
Posté(e) (modifié)

Bonjour,

 

J'ai besoin d'un petit coup de main pour résoudre un problème de SPAM sur le réseau de l'entreprise.

 

Voilà, je viens d'avoir un petit coup de fil d'Oléane (Orange Business) + un mail me signalant que des spam sont émis depuis mon adresse ip et que si je ne fait rien sous une semaine il me coupe le port 25 en envoie.

 

Est-ce qu'il existe un utilitaire me permettant de trouver sur le réseau quelle machine envoie ces spam ?

 

Orange m'a envoyé un échantillon, mais je ne suis pas un spécialiste en SPAM et j'ai du mal à comprendre le contenu, surtout que les adresses IP ne correspondent pas à mon réseau...

 

Voilà l'échantillon : 

Objet : [SPAM] [SpamCop (194.2.172.208) id:4492422175]Re: Order status 

[ SpamCop V4.6.0.028 ]
This message is brief for your comfort. Please use links below for details.

Email from 194.2.172.208 / Mon, 24 Aug 2009 09:35:55 +0900
http://www.spamcop.net/w3m?i=z4492422175z5129057f4cdfc1cd412bd276c82b91aaz
194.2.172.208 is open proxy, see: http://www.spamcop.net/mky-proxies.html

[ Offending message ]
Return-Path: 
Delivered-To: [email protected]
Received: (qmail 16456 invoked from network); 24 Aug 2009 00:36:38 -0000
X-Spam-Checker-Version: SpamAssassin 3.2.4 (2008-01-01) on blade6
X-Spam-Level: ***********
X-Spam-Status: hits=11.7 tests=HTML_IMAGE_ONLY_04,HTML_MESSAGE,
HTML_SHORT_LINK_IMG_1,MIME_HTML_ONLY,URIBL_BLACK,URIBL_SBL version=3.2.4
Received: from unknown (192.168.1.88)
by blade6.cesmail.net with QMQP; 24 Aug 2009 00:36:38 -0000
Received: from mm.portside.net (HELO mm1.portside.net) (210.143.130.253)
by mxin1.cesmail.net with SMTP; 24 Aug 2009 00:29:17 -0000
Received: from mm.portside.net (lo-mm [192.168.10.15])
by mm1.portside.net (mm1.portside.net) with ESMTP id D8178575474
for; Mon, 24 Aug 2009 09:36:36 +0900 (JST)
Received: from mathom09.mathom.jp (221x241x99x70.ap221.ftth.ucom.ne.jp [221.241.99.70])
by mm.portside.net (mm.portside.net) with ESMTP id C8C73575458
for; Mon, 24 Aug 2009 09:36:36 +0900 (JST)
Received: by mathom09.mathom.jp (Postfix, from userid 521)
id A47333D002C; Mon, 24 Aug 2009 09:36:36 +0900 (JST)
X-Original-To: [email protected]
Delivered-To: [email protected]
Received: by mathom09.mathom.jp (Postfix, from userid 500)
id 59FAE3D0042; Mon, 24 Aug 2009 09:36:35 +0900 (JST)
Received: from aftablife.com (unknown [194.2.172.208])
by mathom09.mathom.jp (Postfix) with SMTP id 513EC3D002C
for; Mon, 24 Aug 2009 09:35:55 +0900 (JST)
To: 
Subject: Re: Order status
From: 
MIME-Version: 1.0
Importance: High
Content-Type: text/html
Message-Id: 
Date: Mon, 24 Aug 2009 09:35:55 +0900 (JST)
X-SpamCop-Checked: 
X-SpamCop-Disposition: Blocked SpamAssassin=11

 

Merci pour le coup de main...

 

++

Modifié par Breezy
Lien vers le commentaire
Partager sur d’autres sites

Breezy Full Patch Member

Breezy

Posté(e)
  • Auteur
Posté(e)

Re,

 

Après quelques recherches, l'adresse ip est celle d'un des serveurs. Il y a peu près une trentaine de postes reliés à ce serveur, comment je pourrais faire pour trouvez "assez rapidement" le poste qui envoie ces spams ? Un logiciel style "Ethereal" peux m'aider ?

 

Ça m'éviterais de passer un par un sur les postes pour trouver le bon, surtout que ces postes ce trouvent sur des sites distant...

 

++

Lien vers le commentaire
Partager sur d’autres sites
Greywolf Tera Power Extrem Member

Greywolf

Posté(e)
Posté(e)

oui tu colles wireshark (successeur d'ethereal) en écoute au niveau des carrefours de ton réseau (réseau switché?) avec un filtre tcp port 25 pour ne capturer que le trafic smtp et ensuite tu zieutes dans le pcap capturé pour trouver les émetteurs (tu peux même le donner à snort pour identifier des signatures).

 

tu peux même regarder dans les logs de ta passerelle pour remarquer un trafic illégitime (suffit de rajouter une règle de log pour le trafic smtp)

Lien vers le commentaire
Partager sur d’autres sites
Breezy Full Patch Member

Breezy

Posté(e)
  • Auteur
Posté(e) (modifié)

Re,

 

j'ai lancé une capture pendant 20min avec le filtre tcp port 25 et je n'ai aucun paquets de capturés...

Peut-être que le poste en question n'est pas branché sur le réseau pour le moment... ou bien c'est moi qui mis prend mal...

 

Je referais des tests à intervalle régulier pour voir ce que ça donne. Je vous tiendrai au courant des résultats.

 

++

Modifié par Breezy
Lien vers le commentaire
Partager sur d’autres sites
Greywolf Tera Power Extrem Member

Greywolf

Posté(e)
Posté(e)

comme c'est un réseau switché, les trames ne passent que par les ports adéquats du switch (à l'inverse des hubs). Il faudra placer correctement ta sonde réseau pour voir quelquechose (carrefour obligatoire) ou sinon faudra faire du détournement de cache ARP si c'est pas possible (à moins que ton switch ne puisse "mirrorer" sur un port x les trames qui passent via un port y)

Lien vers le commentaire
Partager sur d’autres sites
Pang Godlike Member

Pang

Posté(e)
Posté(e)

Non seulement ça, mais aussi de laisser tourner wireshark à partir de 00:00 puisqu'on dirait que le spam est envoyé aux alentours de minuit

by blade6.cesmail.net with QMQP; 24 Aug 2009 00:36:38 -0000
Lien vers le commentaire
Partager sur d’autres sites
Breezy Full Patch Member

Breezy

Posté(e)
  • Auteur
Posté(e)

Re,

 

J'ai bien peur de me tromper car en un peu plus de deux heures, toujours rien. Je pense que je ne dois pas lancer mon analyse au bon endroit, comment savoir où est le bon endroit ?

Car si j'étais au bon endroit, je devrais quand même voir les mails qui sont envoyés, non ?

 

Je suis un peu perdu sur ce coup-là...

 

++

Lien vers le commentaire
Partager sur d’autres sites
Greywolf Tera Power Extrem Member

Greywolf

Posté(e)
Posté(e)

c'est quoi le schéma logique de ton réseau? est-il segmenté?

idéalement, il faut mettre wireshark sur la passerelle qui achemine le trafic smtp.

Et comme as fait remarquer Pang, il est possible que l'activité de spam ne se réveille qu'à certaines heures ou sous l'action d'un canal C&C.

 

Il te faut schématiser l'ensemble de tes flux réseaux pour connaitre les voies d'accès.

Pour vérifier, tu lances wireshark en mode promiscuous sur ta passerelle et à partir d'un poste tu envoies un mail via ton serveur smtp

Received: from aftablife.com (unknown [194.2.172.208])
by mathom09.mathom.jp (Postfix) with SMTP id 513EC3D002C
for; Mon, 24 Aug 2009 09:35:55 +0900 (JST)

 

je dirais qu'a priori ça vient d'une boite au japon (?) donc c'est sur à cette heure là il est tard chez eux.

Qui est 194.2.172.208 ? c'est un PC de ton parc d'entreprise?

qui est mathom09.mathom.jp ?=> a priori un serveur Postfix

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...