On Fri, 27 Apr 2001, Heber Blain Goncalves wrote:
> No e-mail que eh enviado para o MAILER-DAEMON dizendo que foi
> detectado um virus na mensagem dele, eu peguei o cabecalho abaixo,
> mas nenhum dos enderecos que ele cita eh da minha rede. Pelo que eu
> entendi, o e-mail deveria ter sido enviado por 65.198.43.174, certo?
As "recived-lines" mais recentes s�o acrescentadas no in�cio do email.
O v�rus se identifica como <>, e usou o smtp server em
mails.conexion.com.py, sendo que esse � o smtp server default do
usu�rio dessa m�quina, e o email foi tranmitido no momento em que o
usu�rio infectado estava conectado no provedor dele, e usando o IP
65.198.43.174.
O v�rus pegou o endere�o do email do address book do usu�rio (ou do
mailbox), e esse email era [EMAIL PROTECTED]
O servidor mails.conexion.com.py fez ent�o o despacho mandando o email
para serverw.emilioribas.sp.gov.br, que � o MX do dom�nio
emilioribas.sp.gov.br.
> Ha a possibilidade do micro infectado nao estar realmente aqui na
> rede, mas sim fazendo o que vc disse na primeira mensagem?
O v�rus nesse caso est� na m�quina daquele usu�rio.
> E qual seria a maneira mais correta de se agir nessa situacao?
Voc� pode, ajudar este usu�rio a eliminar o problema, mandar um email
para o administrador de conexion.com.py. Com os headers o respons�vel
por este dom�nio pode identificar quem estava conectado e avisar o
usu�rio do problema.
Pode-se identificar o respons�vel por problemas com email (spam,
cracker e v�rus) usando o endere�o fornecido pelo whois em
whois.abuse.net:
$ whois [EMAIL PROTECTED]
[whois.abuse.net]
[EMAIL PROTECTED] (default, no info)
Isso significa que este sistema n�o tem cadastro nesse whois.
"postmaster" n�o funciona para servidores NT por default. Portanto
voc� pode verificar antes qual � o servidor SMTP para este dom�nio:
$ nslookup -typ=mx conexion.com.py.
conexion.com.py preference = 10, mail exchanger = mails.conexion.com.py
mails.conexion.com.py internet address = 209.117.123.2
$ telnet 209.117.123.2 25
220 mails.conexion.com.py ESMTP Sendmail 8.11.0/8.11.0; Fri, 27 Apr 2001
19:14:12 -0400
helo teste
250 mails.conexion.com.py Hello algumacoisa.terra.com.br [200.1.2.3], pleased
to meet you
mail from:<>
250 2.1.0 <>... Sender ok
rcpt to:[EMAIL PROTECTED]
550 5.1.1 [EMAIL PROTECTED] User unknown
rcpt to:[EMAIL PROTECTED]
250 2.1.5 [EMAIL PROTECTED] Recipient ok
quit
221 2.0.0 mails.conexion.com.py closing connection
Connection closed by foreign host.
Com isso voc� j� sabe que o servidor � um sendmail, e portanto
responde � root e postmaster. O abuse n�o est� configurado nesse
host.
Existem sistemas que n�o respondem ao root e postmaster (o
"administrator" nem sabe o que � isso) e portanto obtem-se melhor
resultado mandando o email tamb�m para os donos do dom�nio. Neste
caso �:
$ whois [EMAIL PROTECTED]
[whois.geektools.com]
Query: conexion.com.py
Registry: WEB
Results:
No compatible whois server exists for this domain.
Please try http://www.nic.py/consultas/ for more information.
Que coisa lament�vel, Argentina e Paraguay n�o respeitam as m�nimas
regras consagradas de administra��o de dominios TLD!
Depois de um "accept" numa mensagem informando que o endere�o de email
n�o poder� ser usado para outro fim que n�o de resolu��o de problemas
de nomes de dom�nios, o sistema responde com:
Datos de Servidores DNS
Primario
Nombre : ns1.conexion.com.py 209.117.123.1
Secundario
Nombre : mails.conexion.com.py 209.117.123.2
Contacto t cnico
Nombre : Gustavo Ruiz Zastrow
E-mail : [EMAIL PROTECTED]
Situacin actual
Estado activo
Portanto o endere�o [EMAIL PROTECTED] n�o deve ajudar
muito...
Outra boa possibilidade � voc� vasculhar seu syslog e achar o log de
outro email que usou esse server como relay. Com isso voc� identifica
quem � que mandou o email para [EMAIL PROTECTED] e assim
pode mandar um email diretamente para esse usu�rio.
> ------------------------- BEGIN HEADERS -----------------------------
> Return-Path: <>
> Received: from mails.conexion.com.py ([209.117.123.2])
> by serverw.emilioribas.sp.gov.br (8.9.3/8.9.3) with ESMTP id
> LAA02754
> for <[EMAIL PROTECTED]>; Fri, 27 Apr 2001 11:03:22
> -0300
> Received: from oemcomputer (ppp429.conexion.com.py [65.198.43.174])
> by mails.conexion.com.py (8.11.0/8.11.0) with SMTP id
> f3RExKZ27029
> for <[EMAIL PROTECTED]>; Fri, 27 Apr 2001 10:59:20
> -0400
> Date: Fri, 27 Apr 2001 10:59:20 -0400
> Message-Id: <[EMAIL PROTECTED]>
> From: Hahaha <[EMAIL PROTECTED]>
--- Wagner [EMAIL PROTECTED]
Assinantes em 28/04/2001: 2251
Mensagens recebidas desde 07/01/1999: 111304
Historico e [des]cadastramento: http://linux-br.conectiva.com.br
Assuntos administrativos e problemas com a lista:
mailto:[EMAIL PROTECTED]
