Grégoire Cachet a écrit, samedi 27 septembre 2003, à 14:27 :
> salut !

salut.

> bon, on résume :
>
> il y a un virus windows qui nous inonde tous, denommé swen.
> On suppose que celui-ci recupere les adresses dans les mails box et les
> bombarde de messages contenant le virus.
>
> Ce qu'on a trouvé pour l'instant pour se protéger c'est :
> - des filtres procmails plus ou moins foireux
> - des antivirus
> - des regles spamassassin qui les transforment en spam

Tout ça, c'est une fois téléchargé le message (bon, au moins le début).
En RTC, c'est trop tard

> On sait a peut pres les trier, mais on sait pas comment faire pour que
> ca s'arrete : il y a des jours presque plus, d'autres c'est une centaine
> en quelques heures.

Ça  dépend de  ton fournisseur  d'accès :  chez free,  il semble  que ça
diminue, je ne vois  plus de ^(TO|FROM|SUBJECT): depuis quelques heures,
ni de ^Content-Type: multipart/mixed; boundary="[a-z]+"$

Par contre, il y a des boundary="Boundary_(ID_OmNPJ19BorNEVCk2ABP7RQ)",
avec parfois + et / dans la chaîne aléatoire après le ID.

> En gros on a reglé aucun probleme, puisqu'on continue a se faire
> bombarder et a user de la bande passante pour rien.

On peut quand  même essayer d'endiguer le flot  : outre l'accès webmail,
les FAI  peuvent proposer des filtres  (bon, les miens  semblent HS chez
free ...).

Sinon

 - violent  mais  rapide,  effacer  tout  ce qui  dépasse  140K  avec
   mailfilter, et mettre la  même limite pour l'agent de rapatriement
   du courier ; on peut affiner ensuite, mais ...

 - ... la configuration de popsneaker (pas encore essayé) semble plus
   souple, http://ixtools.de/popsneaker/ avec des paquets debian ;

 - plus sélectif, filtrer à la main la boîte POP avec popcheck
   http://www.ludd.luth.se/~staham/linux/programs.html

 - interactif ou  batch, swendeleter déjà cité  ici ; il  va encore plus
   vite  si on  laisse  tout passer  en  dessous de  10K  sans lire  les
   en-têtes... 99% du trafic de la liste, par exemple.

Par ailleurs, pour rapatrier  le courrier j'utilise getmail, écrit en
Python :

 Quelqu'un connaît-il  un équivalent  du module Perl  Net::POP3, pour
 essayer d'intégrer  le filtrage, au lieu  d'utiliser deux connexions
 successives ?


> Ce que je propose c'est de lister les adresses IP des expediteurs,
> puisque c'est le seul renseignement qu'on a pour l'instant des
> expediteurs. A l'adresse est lié un dns en général. On peut envoyer un
> mail type aux abuses pour signaler l'envoi d'un mail a telle heure avec
> telle IP.[...]

... à condition que swen ne forge pas les Received.

> Et si rien ne bouge, est-ce que quelqu'un est au courant des recours
> juridiques qu'on a pour se proteger ?

Les machines infectées le sont à l'insu du plein gré de l'utilisateur, a
priori ; les FAI ne sont  pas responsables du contenu des tuyaux ; quant
à retrouver  l'auteur... Sven  a dit que  ce n'était  pas lui, et  je le
crois ;)
-- 
Jacques L'helgoualc'h

Répondre à