Gr�goire Cachet a �crit, samedi 27 septembre 2003, � 14:27 : > salut ! salut.
> bon, on r�sume : > > il y a un virus windows qui nous inonde tous, denomm� swen. > On suppose que celui-ci recupere les adresses dans les mails box et les > bombarde de messages contenant le virus. > > Ce qu'on a trouv� pour l'instant pour se prot�ger c'est : > - des filtres procmails plus ou moins foireux > - des antivirus > - des regles spamassassin qui les transforment en spam Tout �a, c'est une fois t�l�charg� le message (bon, au moins le d�but). En RTC, c'est trop tard > On sait a peut pres les trier, mais on sait pas comment faire pour que > ca s'arrete : il y a des jours presque plus, d'autres c'est une centaine > en quelques heures. �a d�pend de ton fournisseur d'acc�s : chez free, il semble que �a diminue, je ne vois plus de ^(TO|FROM|SUBJECT): depuis quelques heures, ni de ^Content-Type: multipart/mixed; boundary="[a-z]+"$ Par contre, il y a des boundary="Boundary_(ID_OmNPJ19BorNEVCk2ABP7RQ)", avec parfois + et / dans la cha�ne al�atoire apr�s le ID. > En gros on a regl� aucun probleme, puisqu'on continue a se faire > bombarder et a user de la bande passante pour rien. On peut quand m�me essayer d'endiguer le flot : outre l'acc�s webmail, les FAI peuvent proposer des filtres (bon, les miens semblent HS chez free ...). Sinon - violent mais rapide, effacer tout ce qui d�passe 140K avec mailfilter, et mettre la m�me limite pour l'agent de rapatriement du courier ; on peut affiner ensuite, mais ... - ... la configuration de popsneaker (pas encore essay�) semble plus souple, http://ixtools.de/popsneaker/ avec des paquets debian ; - plus s�lectif, filtrer � la main la bo�te POP avec popcheck http://www.ludd.luth.se/~staham/linux/programs.html - interactif ou batch, swendeleter d�j� cit� ici ; il va encore plus vite si on laisse tout passer en dessous de 10K sans lire les en-t�tes... 99% du trafic de la liste, par exemple. Par ailleurs, pour rapatrier le courrier j'utilise getmail, �crit en Python : Quelqu'un conna�t-il un �quivalent du module Perl Net::POP3, pour essayer d'int�grer le filtrage, au lieu d'utiliser deux connexions successives ? > Ce que je propose c'est de lister les adresses IP des expediteurs, > puisque c'est le seul renseignement qu'on a pour l'instant des > expediteurs. A l'adresse est li� un dns en g�n�ral. On peut envoyer un > mail type aux abuses pour signaler l'envoi d'un mail a telle heure avec > telle IP.[...] ... � condition que swen ne forge pas les Received. > Et si rien ne bouge, est-ce que quelqu'un est au courant des recours > juridiques qu'on a pour se proteger ? Les machines infect�es le sont � l'insu du plein gr� de l'utilisateur, a priori ; les FAI ne sont pas responsables du contenu des tuyaux ; quant � retrouver l'auteur... Sven a dit que ce n'�tait pas lui, et je le crois ;) -- Jacques L'helgoualc'h
