Grégoire Cachet a écrit, samedi 27 septembre 2003, à 14:27 : > salut ! salut.
> bon, on résume : > > il y a un virus windows qui nous inonde tous, denommé swen. > On suppose que celui-ci recupere les adresses dans les mails box et les > bombarde de messages contenant le virus. > > Ce qu'on a trouvé pour l'instant pour se protéger c'est : > - des filtres procmails plus ou moins foireux > - des antivirus > - des regles spamassassin qui les transforment en spam Tout ça, c'est une fois téléchargé le message (bon, au moins le début). En RTC, c'est trop tard > On sait a peut pres les trier, mais on sait pas comment faire pour que > ca s'arrete : il y a des jours presque plus, d'autres c'est une centaine > en quelques heures. Ça dépend de ton fournisseur d'accès : chez free, il semble que ça diminue, je ne vois plus de ^(TO|FROM|SUBJECT): depuis quelques heures, ni de ^Content-Type: multipart/mixed; boundary="[a-z]+"$ Par contre, il y a des boundary="Boundary_(ID_OmNPJ19BorNEVCk2ABP7RQ)", avec parfois + et / dans la chaîne aléatoire après le ID. > En gros on a reglé aucun probleme, puisqu'on continue a se faire > bombarder et a user de la bande passante pour rien. On peut quand même essayer d'endiguer le flot : outre l'accès webmail, les FAI peuvent proposer des filtres (bon, les miens semblent HS chez free ...). Sinon - violent mais rapide, effacer tout ce qui dépasse 140K avec mailfilter, et mettre la même limite pour l'agent de rapatriement du courier ; on peut affiner ensuite, mais ... - ... la configuration de popsneaker (pas encore essayé) semble plus souple, http://ixtools.de/popsneaker/ avec des paquets debian ; - plus sélectif, filtrer à la main la boîte POP avec popcheck http://www.ludd.luth.se/~staham/linux/programs.html - interactif ou batch, swendeleter déjà cité ici ; il va encore plus vite si on laisse tout passer en dessous de 10K sans lire les en-têtes... 99% du trafic de la liste, par exemple. Par ailleurs, pour rapatrier le courrier j'utilise getmail, écrit en Python : Quelqu'un connaît-il un équivalent du module Perl Net::POP3, pour essayer d'intégrer le filtrage, au lieu d'utiliser deux connexions successives ? > Ce que je propose c'est de lister les adresses IP des expediteurs, > puisque c'est le seul renseignement qu'on a pour l'instant des > expediteurs. A l'adresse est lié un dns en général. On peut envoyer un > mail type aux abuses pour signaler l'envoi d'un mail a telle heure avec > telle IP.[...] ... à condition que swen ne forge pas les Received. > Et si rien ne bouge, est-ce que quelqu'un est au courant des recours > juridiques qu'on a pour se proteger ? Les machines infectées le sont à l'insu du plein gré de l'utilisateur, a priori ; les FAI ne sont pas responsables du contenu des tuyaux ; quant à retrouver l'auteur... Sven a dit que ce n'était pas lui, et je le crois ;) -- Jacques L'helgoualc'h