le fautif : un email intitulé "Your Documents" venant d'une des nombreuses adresses vers lesquelles j'ai 'démarché' mais dont l'ip ne correspond pas ...
premiere étape : Nmap sur l'ip : 81.80.167.30
QUOTE |
Starting nmap V. 3.00 ( www.insecure.org/nmap/ ) Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port Interesting ports on ncc-promotional.rain.fr (81.80.167.30): (The 1597 ports scanned but not shown below are in state: closed) Port State Service 135/tcp filtered loc-srv 137/tcp filtered netbios-ns 138/tcp filtered netbios-dgm 139/tcp filtered netbios-ssn Remote OS guesses: Axis 200+ Web Camera running OS v1.42, Cisco Catalyst 2820 Management Console, FlowPoint/2000 - 2200 SDSL Router (v1.2.3 - 3.0.4) or ASCOM Timeplex Access Router, DSL Router: Flowpoint 144/22XX v3.0.8 or SpeedStream 5851 v4.0.5.1, IBM MVS TCP/IP stack V. 3.2 or AIX 4.3.2, Windows 98SE + IE5.5sp1 Nmap run completed -- 1 IP address (1 host up) scanned in 11 seconds |
bon, déjà, c'est sûr que c'est une machine vérolé avec un mauvais parefeu...
donc, je part sur le domaine indiqué : ncc-promotional.rain.fr avec l'aide de dig
QUOTE |
morvan@debian:~$ dig ncc-promotional.rain.fr ; <<>> DiG 9.2.1 <<>> ncc-promotional.rain.fr ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 45932 ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 3 ;; QUESTION SECTION: ;ncc-promotional.rain.fr. IN A ;; ANSWER SECTION: ncc-promotional.rain.fr. 3303 IN A 81.80.128.121 ncc-promotional.rain.fr. 3303 IN A 194.250.69.14 ;; AUTHORITY SECTION: rain.fr. 2924 IN NS ns.transpac.net. rain.fr. 2924 IN NS bow.rain.fr. rain.fr. 2924 IN NS ns2.nic.fr. rain.fr. 2924 IN NS proof.rain.fr. ;; ADDITIONAL SECTION: bow.rain.fr. 82924 IN A 194.51.3.49 ns2.nic.fr. 86177 IN A 192.93.0.4 proof.rain.fr. 82924 IN A 194.51.3.65 ;; Query time: 84 msec ;; SERVER: 192.168.0.7#53(192.168.0.7) ;; WHEN: Mon Mar 1 17:22:58 2004 ;; MSG SIZE rcvd: 210 |
je fouilles sur www.rain.fr et je tombe sur un site de FT (www.trasnpac.fr), nic.fr me renvoi sur l'afnic, donc je fais un whois mais, aucun information pour rain.fr, bien qu'il soit réservé ...
(d'ailleurs, vous remarquez que l'ip obtenu via la requete DNS ne correspond pas au coupable : c'est donc un station de reseau pro de vérolé sur un pare feu configuré avec les pieds .. )
je tentes alors le dernier NS de fautif, est je tombe sur un http://www.transpac.net/ qui renvoi sur escrow.com ... vu le prix du domaine (pres de 400$), c'est apparament le coupable idéal ...
alors je fouilles les Headers :
QUOTE |
Server: Apache/1.3.29 (Unix) PHP/4.3.2 |
apparament, l'engin a été owned pour la propagation de virus ... enfin, c'est ce qu'on veut faire croire ?
mais bon, conclusion : un spammer tente d'agrandir sa collection d'open relays ... ou alors une nouvelle version de Sobig vient de sortir ...
bon, au passage, mon av s'est superbement chié dessus quand à la tentative de detection dudit virus dans ce fichier PIF ...
et hop, poubelle les emails ...