Pb Free/Mac

[Vermel]

Bonjour

Sujet un peu HS, j'espère que vous ne m'en voudrez pas:

mon épouse a vu son cmpte mail free fermé pour cause de ... SPAM! D'après le service abuse de free, son compte enverrait des masses de mails publicitaires et a donc été fermé. Pour le rouvrir, ils exigent que nous sécurisions notre système (intégralement à base de macs) et que nous leur renvoyons les rapports de scan de désinfection de nos ordis.

Avez vous des noms de softs qui pourraient m'être utiles?

Merci

Vermel

[dgilz]

Un compte et une machine sont deux choses différentes, as tu de détails (notamment des logs ou journaux) de free qui te permettraient de retracer les heures et l'adresse depuis laquelle se font ces envois ?
Tu peux toujours essayer des scans mais je n'ai jamais entendu parler d'un mac qui serait infecté par un cheval de troie qui transformerait ton ordi en bot de spam. Ensuite, il est possible que ce soit simplement l'adresse de ton épouse qui a été récupérée avec son carnet d'adresse et sert pour l'envoi de spam/phising/scam...

[Vermel]

:wtf:
Un compte et une machine sont deux choses différentes,

On est bien d'accord

as tu de détails (notamment des logs ou journaux) de free qui te permettraient de retracer les heures et l'adresse depuis laquelle se font ces envois ?

Non, et ils n'ont pas l'air disposés à m'en fournir, même si une adresse ip incriminée localisée au guatémala ou à Pékin nous disculperait facilement

Tu peux toujours essayer des scans mais je n'ai jamais entendu parler d'un mac qui serait infecté par un cheval de troie qui transformerait ton ordi en bot de spam.

Il leur faut de toute façon les logs pour leur prouver que je n'envoie pas les spams depuis chez moi.

Ensuite, il est possible que ce soit simplement l'adresse de ton épouse qui a été récupérée avec son carnet d'adresse et sert pour l'envoi de spam/phising/scam...

J'ai bien peur que ce soit ça en effet...

[dgilz]

Si tu as utilises un routeur derrière ta freebox tu peux loguer tout ce qui se passe sur le port 25 SMTP pour voir ce qui se passe et si effectivement une machine sur ton réseau envoie des messages.
Sinon un routeur comme celui là : http://www.amazon.fr/TP-Link-563929-TP- ... 920&sr=1-6
que tu aurais flashé avec DD-WRT et tu active syslogd pour voir ce qui se passe : http://www.dd-wrt.com/wiki/index.php/Lo ... ith_DD-WRT

[Vermel]

Si tu as utilises un routeur derrière ta freebox tu peux loguer tout ce qui se passe sur le port 25 SMTP pour voir ce qui se passe et si effectivement une machine sur ton réseau envoie des messages.
Sinon un routeur comme celui là : http://www.amazon.fr/TP-Link-563929-TP- ... 920&sr=1-6
que tu aurais flashé avec DD-WRT et tu active syslogd pour voir ce qui se passe : http://www.dd-wrt.com/wiki/index.php/Lo ... ith_DD-WRT

J'ai effectivement un routeur derrière la freebox, je vais jeter un oeil aux logs.

Merci

[jeffas66]

Piratage de ton wifi ?

Ton pare feu est ouvert ou pas ? (si non, pas besoin de chercher plus loin, active le).

Dans tous les cas, change a minima tous tes mots de passe de messagerie + identifiants free, et ton mdp WEP/WPA.

[Cineman38]

Bsr,
je suis aussi sur plusieurs mac et 1 PC ici....

je méne une guerre acharnée aux spams comme bcp d'entre nous...

pour qu'un MAC chope une verole (troie ou autre ....) faut déja y aller fort ! ! !

normalement avec le sandboxing ç'est (quasi) impossible...

ici j'interdis deja les envois multiples (regle n°1)
ensuite, (régle n°2) ,
je refuse formellement de voir mes adresse mails figurer dans des groupes d'envois quelconques ! ! !
(et ça crois moi c'est sûrement la base de tes ennuis..)
De méme qu'il est plus raisonnable de ne pas re-expedier des mails contenant des pieces jointes tel quels...
tu copie ta PJ et tu l'expedies toi méme (mail unique), ainsi tu proteges les expediteurs précédents...
c'est fastidieux mais c'est la seule methode efficace contre cette cochonnerie de spams ! ! !
tout le reste c'est du pipo !!!
aucun anti spam ne te protegera si tu ne t'astreints pas à un minimum de sécurité...

donc je possede plusieurs Emails (7 en tout, pro / perso),
mais bon avec 2 ou 3 adresses mail tu peux bien gérer tout ça...

Si une de tes adresse est spammée alors tu pourra faire ce que tu veux
mais à mon avis c'est peine perdue ! ! !
la solution radicale consiste à demander à Free de supprimer cette adresse
(ainsi ils prendront acte de ta bonne foi ) et crée en toi une nouvelle
en etant prudent cette fois ci...

Amitiés....

Patrick.

[pascal 95]

dire que mac n'est pas sensible aux virus est faux.la seul différence est que cet OS est moins diffusé que Windows. il intéresse donc moins les personnes mal intentionnées .le jour ou les part de marché évoluerons les virus vont se généraliser sur Apple.il y a même plusieurs failles découvertes sous mac. dans ton cas rien, ne servira de changer d'adresse mail (si elle était spammée tu recevrais plein de pub mais ce n'est pas toi qui les diffuserais).un piratage du wifi ne donnerais pas pour autant accès a ta boite mail.....donc cette piste n'est pas bonne. il y a bien dans ce cas un soft qui envois des mails a ta place et pour ce faire il doit accéder a ta boite mail en tant qu'émetteur de mail. Soit cela se fait par web mail soit a partir de ton poste il n'y a pas d'autres solutions. Commence déjà par changer les codes d'accès de ton web mail ensuite il va falloir se pencher sur ton poste.il serait d'ailleurs intéressent de savoir à quel heure sont envoyés les mails si c'est a un moment ou ta machine est éteinte elle ne peut pas être incriminée..

maintenant même sur pc en étant un minimum raisonnable avec un antivirus standard et toute les mise à jour faites il n'y a pas de soucis (je suis dans la maintenance et une grande partie des machines infectées le sont suite a des mises à jours non faites (virus "gendarme" par exemple) ou le plus souvent au chargement de modules type babylon installé avec des logiciels gratuits. dans ce cas seul l'utilisateur est a incriminé puisque celui-ci s'installe sur son ordre (le site vous demande d'installer ou non les softs en validant ou pas une option et le poste (et l'antivirus) exécute cette demande).une fois babylon chargé, il ouvre toute les portes et le fait de le désinstaller ne les referme pas.....)il y a plein d'exemples de ce type

[Vermel]

Mouais, après toutes les vérifs, scan (3 AV différents) de toutes mes machines + serveur Synology, aucune infection détectée, aucun trafic suspect. Ma conclusion c'est qu'un de nos contacts est infecté et distribue du spam à l'aide de son carnet d'adresse.

[jeffas66]

dire que mac n'est pas sensible aux virus est faux.la seul différence est que cet OS est moins diffusé que Windows. il intéresse donc moins les personnes mal intentionnées .le jour ou les part de marché évoluerons les virus vont se généraliser sur Apple.il y a même plusieurs failles découvertes sous mac. dans ton cas rien, ne servira de changer d'adresse mail (si elle était spammée tu recevrais plein de pub mais ce n'est pas toi qui les diffuserais).un piratage du wifi ne donnerais pas pour autant accès a ta boite mail.....donc cette piste n'est pas bonne. il y a bien dans ce cas un soft qui envois des mails a ta place et pour ce faire il doit accéder a ta boite mail en tant qu'émetteur de mail. Soit cela se fait par web mail soit a partir de ton poste il n'y a pas d'autres solutions. Commence déjà par changer les codes d'accès de ton web mail ensuite il va falloir se pencher sur ton poste.il serait d'ailleurs intéressent de savoir à quel heure sont envoyés les mails si c'est a un moment ou ta machine est éteinte elle ne peut pas être incriminée..

maintenant même sur pc en étant un minimum raisonnable avec un antivirus standard et toute les mise à jour faites il n'y a pas de soucis (je suis dans la maintenance et une grande partie des machines infectées le sont suite a des mises à jours non faites (virus "gendarme" par exemple) ou le plus souvent au chargement de modules type babylon installé avec des logiciels gratuits. dans ce cas seul l'utilisateur est a incriminé puisque celui-ci s'installe sur son ordre (le site vous demande d'installer ou non les softs en validant ou pas une option et le poste (et l'antivirus) exécute cette demande).une fois babylon chargé, il ouvre toute les portes et le fait de le désinstaller ne les referme pas.....)il y a plein d'exemples de ce type

Sous Windows, l'utilisateur est connecté directement avec tous les droits sur sa machine (en tant que root)

Sous Mac, et tous les OS dérivés directement d'Unix (donc les GNU/linux), il faut saisir un mot de passe administrateur pour accéder à ces droits.

La différence est fondamentale en matière de sécurité. C'est loin d'être seulement une question de diffusion d'OS.

En revanche, c'est vrai que les utilisateurs Mac sont en général moins concernés et moins attentifs à la sécurité, puisque ça marche bien de base sans avoir à se poser des questions. La simple vérification de l'activation du pare feu est déjà un bon début, plus l'installation éventuelle d'un logiciel genre little snitch pour vérifier les connections entrantes non désirées...

[Vermel]

A propos de Little Snitch, quels sont les indices qui permettent de détecter un problème? Des ports spécifiques à surveiller?

[dgilz]

Avec little snitch tu surveilles des applis, tout ce qui entre et sort sur ta machine est filtré et tu peux configurer toutes les autorisations qui te conviennent : port, appli, autorisation temporaire, permanente, etc...
Tu peux aussi aller tester quels ports sont ouverts avec ce site : https://www.grc.com/x/ne.dll?bh0bkyd2 mais je doute que tu y trouves ce que tu cherches car ce n'est pas suffisant pour être conclusif sur l'envoi ou pas de mails depuis une de tes machines.
De toute façon le pbm est surtout que free n'est pas explicite ni détaillé sur les motifs de la fermeture du compte de mail

[Vermel]

Avec little snitch tu surveilles des applis, tout ce qui entre et sort sur ta machine est filtré et tu peux configurer toutes les autorisations qui te conviennent : port, appli, autorisation temporaire, permanente, etc...
Tu peux aussi aller tester quels ports sont ouverts avec ce site : https://www.grc.com/x/ne.dll?bh0bkyd2 mais je doute que tu y trouves ce que tu cherches car ce n'est pas suffisant pour être conclusif sur l'envoi ou pas de mails depuis une de tes machines.
De toute façon le pbm est surtout que free n'est pas explicite ni détaillé sur les motifs de la fermeture du compte de mail

Excellent, je cherchais justement un site de ce type pour checker mes ports.

Bon tout va bien, tous les ports sont en "stealth", sauf le 23 (telnet) qui est "closed". Du coup, réponse au ping, et de ce fait, test echoué!!! Comment rendre le port 23 furtif?

[dgilz]

C'est très étonnant que telnet soit ouvert rien n'est crypté, c'est pas recommandé comme protocole, mais le closed veut juste dire que le service répond.
Par contre pour le fermer, je ne sais pas trop ce qui à pu l'ouvrir donc little snitch devrait te permettre de surveiller ce port, en mode démo tu ne peux pas l'utiliser pour des sessions de plus de 2 heures. Sinon il me parait judicieux d'aller vérifier les paramètres de ta box, savoir si tu peux bloquer un port dessus
Sinon un petit routeur que tu flashe avec dd-wrt ferait l'affaire également, par défaut tout serait stealth.
Pour le ping wan c'est normalement ton routeur qui répond, donc si tu ne peux pas désactiver la réponse sur celui-ci, je ne saurais pas comment faire.

[Vermel]

Epilogue:

Je leur ai envoyé tout ce qu'ils voulaient, les logs de scan, etc, ma config réseau, et ils ont réactivé le compte mail de mon épouse. J'ai ensuite changé tous les mots de passe de nos comptes mails. Tout roule à nouveau. Sauf que les mails qui étaient bloqués depuis 3 semaines sont maintenant perdus

Ha, oui: ils avaient bloqué son compte pour suspicion de spam, pas parce qu'ils avaient reçu des plaintes, mais parce que les stats d'utilisation étaient suspectes. Aucun en tête de mail à me donner.