Søg
Avatar billede janjacobsen Nybegynder
17. april 2004 - 13:12 Der er 4 kommentarer og
1 løsning

Virus sendes ud fra mailaliaser på server

Jeg kører en postfix mailserver med meget få brugere og et par aliser til disse brugere.
Der køres en antivirusscanner i et cronjob hvert kvarter som scanner samtlige Mailbox på serveren. De fundne virus slettes og handlingen smides i en logfil.
Nu er en af brugerne udsat for et voldsomt virusangreb, hvor der fanges ca. 15-20 mails pr. dag inden de når ham. Der er ikke mulighed for at logge ind via POP3 - kun via IMAP.
De her viruses er begyndt at få navne som brugerens navn og alias og det er altid en Netsky.p som modtages.
Ca. 1/4 af dem siger at de sendt fra brugeren selv - men det passer ikke.
Jeg nakkede hans maskine en dag og scannede den med Stinger, onlinescan, spybot osv. men fandt intet.
Virusscanneren på mailserveren er også total uptodate hvad angår virusdefinitioner.

Her er lidt fra logfilen:

>>> Virus 'W32/Netsky-P' found in file /home/ole/Maildir/new/1082016238.V2101I59c0b2.xxxx.dk/message.scr
Removal successful
>>> Virus 'W32/Netsky-P' found in file /home/ole/Maildir/cur/1082019044.V2101I59c0a8.xxxx.dk:2,/list.doc                                                                  .pif
Removal successful
>>> Virus 'W32/Netsky-P' found in file /home/ole/Maildir/new/1082020840.V2101I59c0a8.xxxx.dk/message.scr
Removal successful
>>> Virus 'W32/Netsky-P' found in file /home/ole/Maildir/new/1082022719.V2101I59c0a8.xxxx.dk/my_numbers.zip/details.txt                                                                    .pif
>>> Virus 'W32/Netsky-P' found in file /home/ole/Maildir/new/1082022719.V2101I59c0a8.xxxx.dk/my_numbers.zip
Removal successful
>>> Virus 'W32/Netsky-P' found in file /home/ole/Maildir/cur/1082106396.V2101I59c0b7.xxxx.dk:2,/sample01.txt.scr
Removal successful
>>> Virus 'W32/Netsky-P' found in file /home/ole/Maildir/cur/1082106396.V2101I59c0b8.xxxx.dk:2,/message.scr
Removal successful
>>> Virus 'W32/Netsky-P' found in file /home/ole/Maildir/new/1082129983.V2101I59c0bb.xxxx.dk/document05_osuse.zip/data.rtf                                                                          .scr
>>> Virus 'W32/Netsky-P' found in file /home/ole/Maildir/new/1082129983.V2101I59c0bb.xxxx.dk/document05_osuse.zip
Removal successful
>>> Virus 'W32/Netsky-P' found in file /home/ole/Maildir/new/1082130051.V2101I59c0bd.xxxx.dk/message.scr
Removal successful
>>> Virus 'W32/Netsky-P' found in file /home/ole/Maildir/new/1082189762.V2101I59c0c0.xxxx.dk/message.scr
Removal successful
>>> Virus 'W32/Netsky-P' found in file /home/ole/Maildir/new/1082189494.V2101I59c0bf.xxxx.dk/game_xxo.pif
Removal successful
>>> Virus 'W32/Netsky-P' found in file /home/ole/Maildir/new/1082191902.V2101I59c0bf.xxxx.dk/important.exe
Removal successful
>>> Virus 'W32/Netsky-P' found in file /home/ole/Maildir/new/1082191909.V2101I59c0c0.xxxx.dk/message.scr
Removal successful
>>> Virus 'W32/Netsky-P' found in file /home/ole/Maildir/new/1082192192.V2101I59c0c1.xxxx.dk/old_photos_vikar.scr
Removal successful
>>> Virus 'W32/Netsky-P' found in file /home/ole/Maildir/new/1082192216.V2101I59c0c2.xxxx.dk/message.scr
Removal successful

Jeg får mails fra nogle administratorer som siger at de får mails fra brugeren indeholdt virus.
Hvad skal man da gøre?????
Avatar billede Slettet bruger
17. april 2004 - 14:12 #1
Det er svært at gøre noget ved da mailsene vel kommer udefra, fra inficerede maskiner. Mit bedste bud er at du kigger i headeren på de inficerede mails og noterer ned hvilken IP adresse de er send igennem. Det er sandsynligvis fra en eller få forskellige inficerede maskiner, du kan efterfølgende slå IP-adressen op i whois, finde den inficerede maskines Internetudbyder og rette henvendelse til dem om at sende en besked til deres kunde om at maskinen er inficeret. Husk at gemme nogle af headerne så du kan sende dem med hvis den pågældende udbyder beder om det. Send dem til den abuse adresse du får oplyst ved opslag på Ip-adressen.

Det er før lykkedes mig at stoppe en strøm af inficerede mails på den måde, men det er absolut ikke alle udbydere der er særlig samarbejdsvillige.

Du kan på ingen måde stole på de afsender adresser mailene komemr fra. Netsky opsamler mailadresser fra de inficerede maskiner og bruger dem tilfældigt som afsendere og modtagere.

Pas forøvrigt på netsky,erne der florerer lige nu. Nogle af dem har et vedhæft som ikke er inficeret, hvorimod selve mailen er.
Avatar billede Slettet bruger
17. april 2004 - 14:13 #2
Sorry, det skulle ikke være et svar men en kommentar. Er der kommet prik i svar som default nu?
Avatar billede janjacobsen Nybegynder
17. april 2004 - 14:38 #3
Jo, de kommer alle forskellige steder fra.
Vi kører udelukkende webmail hos os + at alle mails i første omgang kun kan læses i ren tekst.
Ok, man må vel i krig. Hvordan kan selve filen pludselig hedde aliaset og navnet på brugeren?
ole.pif, osuse.scr osv.
Så må der jo være en som laver dem for jeg har kigget inde på sophos.com ang. Netsky.
Avatar billede Slettet bruger
17. april 2004 - 18:43 #4
Jeg går ud fra at den i stedet for at snappe hele emailadressen kun anvender det som står foran @. Jeg har oplevet samme teknik ved spammails, at der står Hi + alias i emne linien.

Har du kigget på den IP i headeren? Selv om mailsene har forskellige afsendere kan de sagtens være sendt fra samme computer.

Disse angreb plejer jo at stilne af igen, efterhånden som de virusramte computere bliver renset, selv om det jo ikke hjælper dig meget ligenu.
Avatar billede janjacobsen Nybegynder
18. april 2004 - 17:54 #5
Mange tak for de mange gode råd. Jeg skal nok forsøge at få skovlen under de mange viruser.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
IT-JOB

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Teknisk systemansvarlig / ingeniør inden for taktisk datalink

AL Sydbank A/S (tidligere Arbejdernes Landsbank)

Tech Lead til Datacenter Operations

Netcompany A/S

Test Consultant

Netcompany A/S

Erfaren Linux Operations Engineer

Netcompany A/S

Operations Engineer til drift af Infrastruktur
Seneste spørgsmål Seneste aktivitet
I går 21:35 Lidt simpel (håber jeg) Photoshop hjælp Af fcs i Billedbehandling
16/0516:04 Canon printer vil ikke udskrive farver Af mort1 i Printere
16/0514:50 Hvilket fabrikat af Mesh systemer virker? Af fkj i Wifi
15/0513:45 AJAX kode -javascript Af Asky i Programmeringsværktøjer
15/0511:50 Vælg indstilling - blå skærm med med flere muligheder for fejlretning Af Uvanga i Windows
White papers
Flere white papers »