Aller au contenu


Utilisation de mail de façon frauduleuse


  • Vous ne pouvez pas répondre à ce sujet
6 replies to this topic

#1 kanako

kanako

    Marsonaute

  • Zimien
  • PipPip
  • 6 Messages :

Posté 22 mars 2016 - 15:00

Bonjour,

 

Un de mes clients à qui je gère la sécurité de son parc informatique (une vingtaine d'ordinateur) a recu des mail de orange abuse car son mail est utilisé pour envoyer des spams.

 

J'ai contacté Orange abuse afin d'avoir un peu plus d'info et ils m'ont envoyé un exemple de mail : 


X-HmXmrOriginalRecipient: xxxxxxxxxxxxxxxxxxxxx@hotmail.com
X-Reporter-IP: 79.87.161.63
X-Message-Guid: 9d630ab2-e599-11e5-95c3-d89d675f259c
x-store-info:J++/JTCzmObr++wNraA4Pa4f5Xd6uensydyekesGC2M=
Authentication-Results: hotmail.com
; spf=none (sender IP is
80.12.242.124) smtp.mailfrom=annie.houry0@sai-greg.fr; dkim=none
header.d=sai-greg.fr 
; x-hmca=none header.id 
=annie.houry0@sai-greg.fr
X-SID-PRA: annie.houry0@sai-greg.fr
X-AUTH-Result: NONE
X-SID-Result: NONE
X-Message-Status: n:n
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTE7YT0xO0Q9MTtHRD0xO1NDTD0x
X-Message-Info:
NhFq/7gR1vRJqEHEzf4CBqJlBJY6sdlNdzdlIyvw6XcAr0EY7oyG87KOajSWqEOlh2PKOIhbGBwLtYOAU78sPaXuctK4EwU0+OUTLNkV/Zi8v27pnqDXSPach/OJPsVZqZRAbIw3vwJcDG1aXG2iF4D/T3VNQbmIp9sOxObWdbl44eZx9HK9lWdQ2w9pyUIXV1hI+76EqXa2v1kVgxUeyVaYIgyWyWFzvQhbRo/eEFgf70y3VC/7zQ==
Received: from smtp.smtpout.orange.fr 
([80.12.242.124]) by
COL004-MC6F23.hotmail.com
over TLS secured channel with Microsoft
SMTPSVC(7.5.7601.23143);
Tue, 8 Mar 2016 17:52:50 -0800
Received: from wwinf1z28 ([10.223.68.102])
by mwinf5d37 with ME
id Tdso1s00F2CPUCy03dsotf; Wed, 09 Mar 2016 02:52:48 +0100
X-ME-Helo: wwinf1z28
X-ME-Auth: YW5uaWUuaG91cnkwQHNhaS1ncmVnLmZy
X-ME-Date: Wed, 09 Mar 2016 02:52:48 +0100
X-ME-IP: 82.127.252.237
Date: Wed, 9 Mar 2016 02:52:48 +0100 (CET)
From: annie houry <annie.houry0@sai-greg.fr>
Reply-To: annie houry <annie.houry0@sai-greg.fr>
To: "equidia@newsletter.equidia.fr" <equidia@newsletter.equidia.fr>,
"macarte@promod-news.fr" <macarte@promod-news.fr>
Cc: "cpaniel@orcom.fr" <cpaniel@orcom.fr>
Message-ID: <257689385.319.1457488368215.JavaMail.www@wwinf1z28>
Subject: =?UTF-8?Q?jackipot=E2=80=8F?=
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_Part_317_944395583.1457488368148"
X-Country-Code:
X-me-spamlevel:
not-spam,not-spam,not-spam,not-spam,not-spam,not-spam,not-spam
X-Cache-ID:
Message-Context: email-message
X-WUM-SignatureAdded:
X-Message-Size:
X-SAVECOPY: false
X-National-Code:
X-Cache-Entry:
X-Wum-ChannelType:
X-Originating-IP: 82.127.252.237
X-Wum-Nature: EMAIL-NATURE
X-WUM-FROM: |~|
X-WUM-TO: |~||~|
X-WUM-CC: |~|
X-WUM-CCI:
|~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~||~|
X-WUM-REPLYTO: |~|
Return-Path: annie.houry0@sai-greg.fr
X-OriginalArrivalTime: 09 Mar 2016 01:52:51.0174 (UTC)
FILETIME=[63866860:01D179A6]

------=_Part_317_944395583.1457488368148
Content-Type: multipart/alternative;
boundary="----=_Part_318_404928504.1457488368148"

------=_Part_318_404928504.1457488368148
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable


Bonjour,AVous venez de remporter le prix total de la somme de 350.000e gr=
=C3=A2ce =C3=A0 votre adresse email =C3=A9lectronique. '


CONTACTER UNIQUEMENT SUR CETTE ADRESSE EMAIL CI-DESSOUS:serge.poiras@outloo=
k.fr//serge.poiras**@**outlook.fr* 
Je vous remercie de bien vouloir pr=
endre connaissance des documents en annexe pour plus de d=C3=A9tails sur la=
remise..03 MARS 2016Merci de votre attention
SERGE


------=_Part_318_404928504.1457488368148
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

<br><p style=3D"color: rgb(255, 255, 255); font-size: 13.3333px;"><span sty=
le=3D"color: rgb(0, 0, 0); font-family: arial, helvetica, sans-serif; font-=
size: 10pt;">Bonjour,</span></p><p style=3D"color: rgb(255, 255, 255); font=
-size: 13.3333px;"><span style=3D"color: rgb(0, 0, 0); font-family: arial, =
helvetica, sans-serif; font-size: 10pt;">AVous venez de remporter le prix t=
otal de la somme de 350.000e gr=C3=A2ce =C3=A0 votre adresse email =C3=A9le=
ctronique. '</span><br><span style=3D"color: rgb(0, 0, 0); font-family: ari=
al, helvetica, sans-serif; font-size: 10pt;"><br></span></p><p style=3D"col=
or: rgb(255, 255, 255); font-size: 13.3333px;"><br><b><span style=3D"font-s=
ize: 14pt; font-family: 'Courier New'; color: rgb(68, 68, 68);">CONTACTER U=
NIQUEMENT SUR CETTE ADRESSE EMAIL CI-DESSOUS:</span><a href=3D"https://mess
=
ageriepro.orange.fr/serge.poiras@outlook.fr
" target=3D"_blank"><span style=
=3D"font-family: 'Courier New'; color: rgb(68, 68, 68);"><font size=3D"4">s=
erge.poiras@outlook.fr</font></span></a></b><a href=3D"https://messageriepr
=
o.orange.fr/serge.poiras@outlook.fr
" target=3D"_blank"><b><span style=3D"fo=
nt-size: 14pt; font-family: 'Courier New'; color: rgb(0, 104, 207);"></span=
></b></a><b><a
target=3D"_blank">//</a>serge.poiras**@**outlook.fr 
*</b><b><=
span style=3D"font-size: 14pt; font-family: 'Courier New'; color: rgb(68, 6=
8, 68);"> </span></b></p><p class=3D"MsoNormal" style=3D"font-size: 13=
.3333px; line-height: 16pt; background: white;"><b><span style=3D"font-size=
: 14pt; font-family: 'Courier New'; color: rgb(68, 68, 68);">Je vous remerc=
ie de bien vouloir prendre connaissance des documents en annexe pour plus d=
e d=C3=A9tails sur la remise..</span></b></p><p style=3D"color: rgb(255, 25=
5, 255); font-size: 13.3333px;"><span style=3D"font-family: arial, helvetic=
a, sans-serif;"><strong><a href=3D"http://www.jlfaure.fr/NL/index.php?subid= 

=3D116533&option=3Dcom_acymailing&ctrl=3Durl&urlid=3D36&mai=
lid=3D43" target=3D"_blank"><span class=3D"ds2">03 MARS 2016</span></a></st=
rong></span></p><p style=3D"color: rgb(255, 255, 255); font-size: 13.3333px=
;"><span style=3D"color: rgb(0, 0, 0); font-family: arial, helvetica, sans-=
serif; font-size: 10pt;">Merci de votre attention</span></p><table style=3D=
"width: 560px; margin: auto;" align=3D"center" cellpadding=3D"0" cellspacin=
g=3D"0"><tbody><tr><td style=3D"background-color: rgb(255, 255, 255);" vali=
gn=3D"top" width=3D"496"><table style=3D"width: 496px;" cellpadding=3D"0" c=
ellspacing=3D"0"><tbody><tr><td colspan=3D"2" rowspan=3D"2" height=3D"20">&=
nbsp;</td></tr><tr><td colspan=3D"5"><table style=3D"width: 492px;"><tbody>=
<tr><td width=3D"40"> </td><td><p><br></p><p align=3D"center">SERGE<br=
></p></td></tr></tbody></table></td></tr></tbody></table></td></tr></tbody>=
</table><table style=3D"font-size: 1em; font-family: Arial, Verdana, Tahoma=
; letter-spacing: normal; orphans: auto; text-indent: 0px; text-transform: =
none; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-al=
ign: left; width: 560px; margin: auto;" align=3D"center" cellpadding=3D"0" =
cellspacing=3D"0"><tbody><tr><td style=3D"background-color: rgb(255, 255, 2=
55);" valign=3D"top" width=3D"496"><br></td></tr></tbody></table>
------=_Part_318_404928504.1457488368148--

------=_Part_317_944395583.1457488368148
Content-Type: image/png; name=bonne-annee.png

Je ne parviens pas à identifier de quel ordinateur il s'agit. Une idée de comment remédier rapidement à ce probleme?

 

Merci d'avance,

 



#2 Severian

Severian

    Plus riant que sévère

  • Eminence Verte
  • PipPipPipPipPipPipPip
  • 747 Messages :
  • Gender:Male

Posté 22 mars 2016 - 18:30

bonjour kanako

et sinon les réponses données sur http://infomars.fr/f...owtopic=6365 t'ont été d'une quelconque aide ??

ob3-de10.pngbanner98x30.png


#3 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 797 Messages :
  • Gender:Male

Posté 22 mars 2016 - 19:01

Bonjour,

 

effectivement ... je m'associe au questionnement de Severian ... :transpi:

 

Que faut-il comprendre de la situation ?

 

Ton client a une IP fixe chez Orange (80.12.242.124),

une correspondance DNS avec un NDD (sai-greg.fr),

 

derrière, un réseau avec les PC,

et entre les deux, normalement,

un routeur et un pare-feu ?

 

Si c'est le cas, il faut regarder laquelle ou lesquelles des machines ont une activité suspecte voire clairement anormale dans les logs du pare-feu, repérée(s) par son(leur) IP locale(s) sur le réseau.

 

Là, dans le cas de ce mail précis, tu peux aussi chercher quelle machine a eu une activité à ce moment-là:

Wed, 9 Mar 2016 02:52:48 +0100 (CET)

 

 

Je ne peux pas t'en dire plus, je ne suis pas du tout spécialiste du domaine.



#4 kanako

kanako

    Marsonaute

  • Zimien
  • PipPip
  • 6 Messages :

Posté 23 mars 2016 - 10:30

Salut Noisette,

 

Merci pour ton mail. 

 

Je vais donc en parler à mon client et regarder les parefeu afin de voir lequel à eu une activité suspecte. 



#5 kanako

kanako

    Marsonaute

  • Zimien
  • PipPip
  • 6 Messages :

Posté 23 mars 2016 - 11:39

Voila suite au probleme du client j'ai réussi à trouver d'ou cela vient : du serveur. Maintenant il faut que je trouve comment "réparer" cela rapidement.



#6 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 23 mars 2016 - 13:59

​..

 

Une réinitialisation complète suivi d'un nouveau paramétrage et d'une protection par antivirus efficace pour serveur .. peut-être ?

 

@+


"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#7 kanako

kanako

    Marsonaute

  • Zimien
  • PipPip
  • 6 Messages :

Posté 23 mars 2016 - 21:16

Pour être honnete j'appréhende un peu mon intervention après demain car je n'ai pas l'habitude d'interagir directement sur le serveur. 

 

Des conseils ? Tu me parles d'un nouveau paramétrage, tu veux juste dire installer un antivirus et gérer le pare-feu ? 





1 utilisateur(s) en train de lire ce sujet

0 membre(s), 1 invité(s), 0 utilisateur(s) anonyme(s)