Virus verzonden via Arethusa.webmagix.net :?

Pagina: 1
Acties:
  • 50 views sinds 30-01-2008

Acties:
  • 0 Henk 'm!

  • SchizoDuckie
  • Registratie: April 2001
  • Laatst online: 18-02 23:12
Ik krijg zojuist het volgende mailtje binnen:
The following message contained restricted attachment(s) which have been removed:

From : *censuur*@quicknet.nl
To : *censuur*@*censuur*.demon.nl
Subject : Re: Approved
Message-ID: <20030819130735.991F617594C@arethusa.webmagix.net>

Attachment(s) removed:
-----------------------------------------
details.pif
Ik weet niet wie die mailserver allemaal gebruikt, maar als dat alleen door de crew is, misschien is het dan een goed plan om een virusscanner te installen.

[ Voor 5% gewijzigd door SchizoDuckie op 19-08-2003 15:48 . Reden: zpelvaudten weggesext door mieren ]

Stop uploading passwords to Github!


Acties:
  • 0 Henk 'm!

  • curry684
  • Registratie: Juni 2000
  • Laatst online: 06-09 00:37

curry684

left part of the evil twins

offtopic:
cencuur schrijf je met een 's', dus censuur ;)

Professionele website nodig?


Acties:
  • 0 Henk 'm!

  • Jaymz
  • Registratie: Januari 2000
  • Laatst online: 20:37

Jaymz

Keep on moving !

Daar draait een virusscanner op, maar die zal de laaste updates nog niet hebben I guess :)

Acties:
  • 0 Henk 'm!

  • m-m
  • Registratie: Augustus 2001
  • Niet online

m-m

Dat is wel vreemd aangezien de crewmembers volgens mij geen gebruik maken van SMTP via de T.net servers, maar gewoon via de eigen provider. Dat zou dan gewoon dus via bijv. mail.home.nl moeten binnenkomen als een crewmember een virus heeft. Anders zou Arethusa een open relay moeten draaien (of natuurlijk authenticate-via-pop @ SMTP maar dat doet het volgens mij niet).

[ Voor 22% gewijzigd door m-m op 19-08-2003 15:49 ]


Acties:
  • 0 Henk 'm!

  • Cereal
  • Registratie: Maart 2001
  • Laatst online: 29-09 19:19
[negeer deze onzin aub]
het is arethusa.tweakers.net

arethusa.webmagix.net heeft niets met tweakers te maken ;)
[/negeer deze onzin aub :D ]

en het is de verzender die het virus toevoegd, niet de mailserver..

[ Voor 16% gewijzigd door Cereal op 19-08-2003 15:51 ]


Acties:
  • 0 Henk 'm!

  • Kix@$$
  • Registratie: December 2001
  • Laatst online: 02-10 11:14
Het lijkt mij opzich dat het dezelfde server is als van de MyTweakers.net Abbo's en deze heeft een virus scanner

edit:

Argh weer te laat :|

[ Voor 18% gewijzigd door Kix@$$ op 19-08-2003 15:52 ]


Acties:
  • 0 Henk 'm!

  • m-m
  • Registratie: Augustus 2001
  • Niet online

m-m

Cereal schreef op 19 augustus 2003 @ 15:49:
het is arethusa.tweakers.net

arethusa.webmagix.net heeft niets met teakers te maken ;)

en het is de verzender die het virus toevoegd, niet de mailserver..
'tis dezelfde server hoor. Arethusa.tweakers.net = arethusa.webmagix.net :)

arethusa.tweakers.net has address 213.239.154.22
arethusa.webmagix.net has address 213.239.154.22

[ Voor 14% gewijzigd door m-m op 19-08-2003 15:50 ]


Acties:
  • 0 Henk 'm!

  • JvS
  • Registratie: Februari 2000
  • Laatst online: 17:40

JvS

Ik heb hem zelf ook

Nou dat is een crewmember die EN mails STUURT met een smtp server van tnet EN z'n outlook niet goed ingesteld heeft ofzo :D. Wat is het IP van de zender?

(de mailserver heeft trouwens een firewall, alleen niet geupdate dus, deze mails stromen nu met vele tegelijk overal binnen en je hebt er vast wel meer gehad dan die ene die via arethusa komt).

4x APsystems DS3; 4x495Wp OZO/WNW 10° ; 4x460Wp OZO/WNW 10°; Totaal 3820Wp


Acties:
  • 0 Henk 'm!

  • SchizoDuckie
  • Registratie: April 2001
  • Laatst online: 18-02 23:12
JvS schreef op 19 August 2003 @ 15:53:
Nou dat is een crewmember die EN mails STUURT met een smtp server van tnet EN z'n outlook niet goed ingesteld heeft ofzo :D. Wat is het IP van de zender?

(de mailserver heeft trouwens een firewall, alleen niet geupdate dus, deze mails stromen nu met vele tegelijk overal binnen en je hebt er vast wel meer gehad dan die ene die via arethusa komt).
Hmm beetje bizar dit :? dit is echt de enige mail die ik binnengehad heb, en 't ip van de zender traced naar dat demon adres.

edit:

sure, glad to help :)

[ Voor 6% gewijzigd door SchizoDuckie op 19-08-2003 16:10 ]

Stop uploading passwords to Github!


Acties:
  • 0 Henk 'm!

  • m-m
  • Registratie: Augustus 2001
  • Niet online

m-m

Zou je dat IP willen wegeditten? Ik heb even gezocht en weet nu van wie het komt :)

@ Crew: staat in topicreport :)

Ik heb diegene iig even een PM gestuurd met een verwijzing naar deze draad.

[ Voor 26% gewijzigd door m-m op 19-08-2003 16:10 ]


Acties:
  • 0 Henk 'm!

  • samo
  • Registratie: Juni 2003
  • Laatst online: 22:24

samo

yo/wassup

[behulpzaammode]
bekijk dit topic eens: [rml][ VIRUS/WORM] Sobig.F[/rml] misschien dat het een inzicht geeft...
[/behulpzaammode]
:-)

Bekend van cmns.nl | ArneCoomans.nl | Het kindertehuis van mijn pa in Ghana


Acties:
  • 0 Henk 'm!

  • moto-moi
  • Registratie: Juli 2001
  • Laatst online: 09-06-2011

moto-moi

Ja, ik haat jou ook :w

Pff, die virusscanner van quicknet/multikabel zeikt overal over :z
Die begint al te miepen bij een .lnk file, en daar zit echt geen virus in, maar da's een beveiliging tegen een bug in Eudora ofzo :z

code:
1
2
3
4
5
6
The original e-mail attachment "Backup Files.lnk" contains the characteristics 
of a virus and has been replaced by this warning message. Please contact 
the sender of the e-mail to resend the attachment without the virus.

At Sun Jul 27 08:53:59 2003 the virus scanner said:
   Eudora *.lnk security hole attack (Backup Files.lnk)


Ik zou er zelf dus niet zo zwaar aan tillen, tis vast vals alarm :)

God, root, what is difference? | Talga Vassternich | IBM zuigt


Acties:
  • 0 Henk 'm!

  • Arnout
  • Registratie: December 2000
  • Laatst online: 19:17
er blijkt weer een uitbraak te zijn van dit virus. Hier op 't werk ook al 2 mensen gerustgesteld.
Vooral die warnings van (fake) mails zijn lastig te begrijpen / uit te leggen. ;)

edit: [rml][ VIRUS/WORM] Sobig.F[/rml] (nieuw virus dus). Weinig origineel. :P

[ Voor 24% gewijzigd door Arnout op 19-08-2003 16:25 ]


Acties:
  • 0 Henk 'm!

  • Kees
  • Registratie: Juni 1999
  • Laatst online: 02-10 10:44

Kees

Serveradmin / BOFH / DoC
ja ik weet wel wie het is, heb het net in de maillogs opgezocht, je bent overigens niet de enige die dat mailtje ontvangen heeft :X

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan


Acties:
  • 0 Henk 'm!

  • JvS
  • Registratie: Februari 2000
  • Laatst online: 17:40

JvS

Ik heb hem zelf ook

Ik kopieerde net op m'n werk het pifbestandje op m'n desktop om 's te kijken (met notepad) wat erin stond (jibberish) en dat resulteerde even later in deze meldig:

Afbeeldingslocatie: http://www.tweakers.net/ext/i.dsp?FotoAlbumID=9522&format=full&ext=.gif

:P

4x APsystems DS3; 4x495Wp OZO/WNW 10° ; 4x460Wp OZO/WNW 10°; Totaal 3820Wp


Acties:
  • 0 Henk 'm!

  • Kees
  • Registratie: Juni 1999
  • Laatst online: 02-10 10:44

Kees

Serveradmin / BOFH / DoC
papaeend; zou je mij de headers van die mail kunnen sturen? dan kan ik iets beter zoeken & maatregelen nemen.

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan


Acties:
  • 0 Henk 'm!

  • Arno
  • Registratie: Juli 2000
  • Laatst online: 16:33

Arno

PF5A

Waarom heb ik die mail niet gehad :( 8)7

"Supercars are made to mess around with G-forces, hypercars are made to mess around with G-strings"
Jeremy Clarkson


Acties:
  • 0 Henk 'm!

  • JvS
  • Registratie: Februari 2000
  • Laatst online: 17:40

JvS

Ik heb hem zelf ook

naja, ik denk dat er verder weinig nuttigs te melden valt hier. Leuk dat iemand het via de mailserver van tweakers heeft gestuurd (nooit geweten dat wij ook mail konden sturen via een eigen smpt overigens :P), we weten lekker wie het is en verder is er nog geen update voor de virusscanner (zei iemnad firewall? Die heeft zich vergist ;)), als-ie er is, dan wordt-ie geinstalleerd :).

4x APsystems DS3; 4x495Wp OZO/WNW 10° ; 4x460Wp OZO/WNW 10°; Totaal 3820Wp


Acties:
  • 0 Henk 'm!

  • Kees
  • Registratie: Juni 1999
  • Laatst online: 02-10 10:44

Kees

Serveradmin / BOFH / DoC
Goed, in principe is degene die mm vond niet de 'dader' voor zover ik kan zien.

Wat er gebeurd is:

Het virus stuurde het virus naar [crew]@tweakers.net, het virus faked echter afzenders. Arethusa was nog niet up to date, maar de mailserver waar het vervolgens heenging wel. Die verwijderd het virus en stuurt de afzender een mailtje. Echter, de afzender is gefaked en de verkeerde persoon krijgt dus het mailtje.

Conclusie: Papa-eend en het crewlid hebben een gezamelijke kennis welke besmet is ;)

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

Pagina: 1

Dit topic is gesloten.