Overblog Suivre ce blog
Administration Créer mon blog
2 novembre 2016 3 02 /11 /novembre /2016 00:19
 
First, don't forget to change your APT sources.list as required.
Then, just do apt-get update && upgrade.
(not the dist-upgrade yet, less potential trouble for now).
 
Main urgencies, for messaging services, are MTA and security filters. Manually upgrade ClamAV, SpamAssassin, and your MTA (on my side, Exim).
You should see that ClamAV's engine is being upgraded, yaha!
Check that your MTA still works.
 
Now, you may experience lower antispam filtering efficiency... (as it happened to me). But no real daemons crash or errors in a loop.
Running sa-update may not even give you any error... but...
 
You may also see DKIM validation errors by your MTA, for senders that are known to be quite clean about that, for instance GMail.
 
Well, first thing I recommend then is to run Spamassassin in command line, debug mode on.
You are likely gonna see missing Perl modules...! (eg: DKIM)
if you see that dns is not available, don't worry, that's supposed to be regular for command line use of Spamassassin.
 
Do the same, meaning running in command line with debug mode on, for sa-update.
The same, you are likely to see missing Perl modules!
 
If you try to install them one by one, using CPAN command line, well... after 1 hour, tens of modules manually installed because of dependencies, you will probably end up in dead-ends, with strange compilation errors, missing modules, etc.
 
The solution: upgrade your whole CPAN first!
Be ready to be patient, it took me more than 45 min... with  numerous prompts to be validated on the fly (so you can't just go away and have a coffee, I recommend you to read the warnings/questions :) ).
Tens of modules to be upgraded/installed because of dependencies. The next guy that tells me Windows only is a mess in the IT world, I'll have him work on CPAN for 1 day long, then we'll discuss again about IT!
 
Anyway, some missing modules for your Spamassassin are gonna be installed/fixed. Manually install the remaining ones if needed.
 
[EDIT] BTW, you may need to run the CPAN upgrade command twice, because while CPAN tries to install missing dependencies, it seems (in my case at least) that it leaves the installation with errors at the end. Running the upgrade command again aims to install still missing dependencies, and then upgrade modules that need to! Wow...

Hope this helps.
 
Repost 0
Published by Philippe V.
commenter cet article
5 janvier 2016 2 05 /01 /janvier /2016 18:51

Voici une liste de numéros de téléphone, que j'ai relevés principalement pour du démarchage coimmercial abusif (voire des "arnaques connues"):

  • continuent d'appeler alors qu'on demande explicitement à ne plus être contacté
  • et/ou refusent de donner leurs identifiants légaux (SIRET, RECS, etc)
  • et/ou refusent de nous passer un manager
  • et/ou refusent d'indiquer comment ils ont collecté nos informations personnelles (et les lois Informatique et Libertés alors ?)


Il est de la responsabilité de chacun de mettre ces numéros en blocage automatique sur les téléphones mobiles comme fixes, je ne peux être tenu pour responsable que ces numéros soient bloqués ou non.

Je publie ici de l'information sur ceux qui m'ont démarché de façon illégale et/ou douteuse, au moins pour que les internautes puissent tomber dessus en faisant des recherches Google ou BIng.


-------------------------------------------------------------------------------------------------------------------------

0179996754
Date : 08/12/15
assurance habitation, responsabilité civile, numéro à rappeler en 0890. 


0178907695
Date : 17/12/15
"préparation de votre commande, veuillez rappeler à ce numéro".

 

0178569561
Dates : 05/01/16, 04/01/16, 29/12/15, 23/12/15, 21/12/15, 16/12/15
Démarchage Free, "vous faire profiter d'une offre exceptionnelle"
NB : Rappellent alors que j'ai explicitement demandé ne plus être démarché par Free lors de précédents appels.

Repost 0
Published by Philippe V.
commenter cet article
11 août 2015 2 11 /08 /août /2015 12:28

Rien qu'au niveau grammaire et orthographe, c'est tellement déplorable que ça en devient louche au-delà du procédé lui-même !

 

Citation du SMS reçu via Viber ce jour :

félicitations

Votre numéro de téléphone as été tirée au sort bravo vous avez gagnée un de ces prix maintenant votre code gagnant est le 65450 1 prix : une Mercedes C d une valeur de 30000 euros ou 30000 euros en espèce 2 prix un collier en diamant Hermes d une valeur de de 10000 euors ou en espèce 3 prix un voyage d une valeur de 2500 euros ou en espèce 4 prix un pack mobile logo et sonnerie valeur 400 euros 5 prix un bon d achat de 300 euros

appeler maintenant a ce numéro 002207711750 pour confirmer votre prix et n oublier pas votre code gagnant

Attention si vous n avez pas confirmer dans les 24 heures votre prix sera remis a une autre personne. et pour gagner 2 iphone6 pour toi et ton partenaire appel le 0037253105042 merci de votre participation 

ce numéro ne marche pas sur viber! veuillez nous appelez directement

 

"ne marche pas sur Viber" : bien sûr, un numéro +220 semblerait être en République de Gambie (https://en.wikipedia.org/wiki/The_Gambia), très crédible pour ce type d'opérations, et Viber pourrait augmenter le risque de pouvoir mieux tracer les individus...

 

Bref, liste noire recommandée pour :

002207711750 (+2207711750)

- 0037253105042 (+37253105042)

Repost 0
Published by Philippe V.
commenter cet article
26 mars 2015 4 26 /03 /mars /2015 12:05

Vu il y a quelques minutes, dans un dérivé de Chrome avec le module KB SSL Enforcer :

La Fnac utilise un site (tiers) de paiement peu sécurisé

Voici le rapport de scan du site par SSLlabs :

https://www.ssllabs.com/ssltest/analyze.html?d=secure.ogone.com

 

Il y a quand même 2 ou 3 choses surprenantes pour un site de paiment en ligne :

- accepter TLS 1.0 alors qu'il est vulnérable (et aussi TLS 1.1)

- accepter des suites de chiffrement vulnérables comme TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA 

- être vulnérable à certaines attaques connues : 

Secure Client-Initiated Renegotiation Supported   DoS DANGER (more info)

 

Bref... cela ne donne pas vraiment envie de faire confiance, pourtant sans ça, on ne peut payer en ligne sur le site de la Fnac !

Prudence donc...

Repost 0
Published by Philippe V.
commenter cet article
16 octobre 2014 4 16 /10 /octobre /2014 11:06

Comodo Dragon is somewhat a derived from Chromium, the open-source project behind Google Chromium, adding some features and "more security".

So far, I was quite happy with it.

 

Today, I saw this message while opening my GMail account:

 

Comodo Dragon and Gmail

[in English: This version of Chrome browser is no longer compatible"

Gasp... what? Chromium not compatible anymore with GMail? sounds like a paradox...!

Then I double checked: Chromium versions available, Comodo installed version, and bingo:

Comodo Dragon and Gmail

It seems that guys at Comodo are late to publish newer versions of Comodo Dragon: Chromium is now v40, while Dragon sticks with version 33...

Guys... we need you!

Otherwise, as for every obsolete product, I would have to switch to another browser, and recommend everyone that reads my blog to do the same.... :(

Repost 0
Published by Philippe V.
commenter cet article
9 octobre 2014 4 09 /10 /octobre /2014 15:32

Note here, this is the paid version of MalwareBytes, yes full/genuine license, therefore realtime protection can be enabled.

While trying to download a Linux distrib, Austrumi, here is the warning that appeared:

AV False positives, part 2 - MalwareBytes

Interesting... "malicious website blocked", for non-French speaking guys.

Okay, let's check!

VirusTotal says 0 engine, as of today, detect it as malicious!

https://www.virustotal.com/en/url/c3e6125fff7e0861083c470fefb46013b0934659843164bfbb484fe8c8d68a81/analysis/1412861752/

Sucuri did not report anything malicious either:

http://sitecheck.sucuri.net/results/austrumi.ru.lv

Linux distro being considered as malicious stuff, poor guys at Austrumi!

HTH...

Repost 0
Published by Philippe V.
commenter cet article
28 juillet 2014 1 28 /07 /juillet /2014 22:40

Voici un commentaire récent, reçu sur un de mes articles :

Le spam via les commentaires d'article de blog

Et je ne suis visiblement pas le seul à être concerné...

Le spam via les commentaires d'article de blog

Pourtant le site nyt30ud0.com n'existe même pas...incroyable !

Les polluposteurs ne sont même plus un minimum compétents de nos jours :(

A bon entendeur... à vos listes noires !

Repost 0
Published by Philippe V.
commenter cet article
27 juillet 2014 7 27 /07 /juillet /2014 21:57

According to Webroot SecureAnywhere, cloud-based antimalware, Easy Drive Data Recovery is malicious:

 

AV False positives, part 1 - SecureAnywhere

According to VirusTotal, this file is not malware:

https://www.virustotal.com/en/file/74ab0b9068ef46db6f3acb04c17963fa8e99f23ee0d603559faca4fd720c1c8f/analysis/1406491025/

If you scan whole disk drives without confirming action for every file that gets detected, you may get in trouble... at least, I would recommend to choose "quarantine" as default action.

AV False positives, part 1 - SecureAnywhere

-----------------------------------------------------------------------------------------------------

Now, according to SecureAnywhere, Portable LibreOffice (Framakey version) also contains malware:

AV False positives, part 1 - SecureAnywhere

Well, according to VirusTotal, those files are not really malicious...

  • passwordcontainer.uno.dll is in fact packed, 2 detections out of 53

https://www.virustotal.com/en/file/4ae9daed6ef23e760df5fa9624671311be148c3c9c3fc46d0950180e090385dc/analysis/1406491597/

AV False positives, part 1 - SecureAnywhere
AV False positives, part 1 - SecureAnywhere
AV False positives, part 1 - SecureAnywhere
AV False positives, part 1 - SecureAnywhere

All of those results were with a (quite) old version of Portable LibreOffice, pas per the file properties:

AV False positives, part 1 - SecureAnywhere

Now, here is what SecureAnywhere says regarding the latest available version of Portable LibreOffice (from here: http://framakey.org/Portables/LibreOfficePortable): still 2 detections!

AV False positives, part 1 - SecureAnywhere

According to VT,

  • wininst-6.0.exe: 5 detections

File is UPX packed...

AV False positives, part 1 - SecureAnywhere
  • python.exe: same as before, 3 detections on VT.

File is UPX packed..

Repost 0
Published by Philippe V.
commenter cet article
11 avril 2014 5 11 /04 /avril /2014 12:30

Cela pourra certainement être utile à d'autres, soit au niveau administration soit au niveau recherche inforensique... :)

Besoin :

  • extraire depuis un fichier journal de sécurité (format EVT ou EVTX), les événements ayant un numéro particulier (ici, un numéro d'événement lié à un refus d'ouverture de session, sous 2003 : le 675)
  • trier sur un champ dans la zone de message de l'évènement (Ici : adresse IP de la machine cliente ayant déclenché l'événement, donc la ligne commençant par "Client Address")
  • sortir un top 10 des plus mauvais élèves.

 

2 étapes :

  1. convertir au format XML pour pouvoir travailler dessus
  2. faire l'extraction sur le numéro d'évènement, puis le tri par IP et comptage 

 

Voici donc les commandes :

  • D'abord, vers du XML :

Get-WinEvent -Path C:\temp\security.evt -Oldest |Export-Clixml seclog

avec security.evt étant le fichier journal extrait de la machine qui fait l'objet de la vérification... (ou investigation).

  • Puis on charge le XML en mémoire, avec une variable:

$seclog = Import-Clixml c:\temp\seclog.xml

 

  • Et on fait le travail d'extraction et de tri, sur l'événement numéro 675 (mais qui est donc modifiable à volonté) :

PS C:\temp> $seclog | ? { $_.id -match '675' } | fl Message | findstr /i /c:"Client Address" | gro up |Sort-Object -Descending count |Select-Object -first 10

 

Et viola :

Count  Name         Group

-----      ----               -----

5496    Client ... {    Client Address: 10.X.Y.Z, 3406 Client ... { Client Address: 10.X.Y.Z,

2858    Client ... {    Client Address: 10.X.Y.Z, 2016 Client ... { Client Address: 10.X.Y.Z,

2003    Client ... {    Client Address: 10.X.Y.Z, 1677 Client ... { Client Address: 10.X.Y.Z,

1572    Client ... {    Client Address: 10.X.Y.Z, 1541 Client ... { Client Address: 10.XY.Z,

1512    Client ... {    Client Address: 10.X.Y.Z, 1307 Client ... { Client Address: 10.X.Y.Z,

(les X.Y.Z étant bien sûr des remplacements des valeurs réelles des IP dans la vraie vie :) )

Plus de 700 Mo de fichier XML traités en moins de 2min... cela me semble acceptable.

 

Je tiens à remercier mon collègue Cyrille pour son aide sur la partie formatage de sortie avec fl.

 

 

 

 

 

Repost 0
Published by Philippe V. - dans inforensique
commenter cet article
18 mars 2014 2 18 /03 /mars /2014 00:29

Tout commence avec un outil assez connu : Advanced Task Manager. La plateforme est un Android 4, Galaxy SII.

Etant "gratuit mais financé par la pub", il affiche des bannières publicitaires en bas de l'écran lors de l'utilisation.

Et un jour, la bannière suivante apparâit :

WP_20140310_026.jpg

 

Alors, évidemment, un utilisateur non averti peut appuyer sur la bannière. Et voici alors ce qu'il se passe : Le navigateur s'ouvre et...

WP_20140310_008-copie-1.jpg

 

(Le téléphone est protégé par 1 antivirus temps réel, plus 1 autre à la demande, et des mises à jour régulières...)

L'avertissement ressemble de plus en plus au coup classique du faux antivirus sous Windows (ou Mac !!), qui crie partout "attention vous êtes o=infecté", cliquez ici pour réparer !".

On aura noté la traduction hasardeuse... encore une fois certains ne savent toujours pas parler Français :(

A date, aucun logiciel de sécurité pour mobile ne bloquait l'URL droid-safety.com (d'après mes tests).

Cliquons donc sur OK.

WP_20140310_013.jpg

Hmmm un scan antivirus ?

WP_20140310_014.jpg

 

Et bam, le résultat... (NB : il s'agit d'une rediction "forcée" dans le navigateur, qu'on ne peut pas annuler malgré mes tentatives).

WP_20140310_020.jpg

 

Haha de plus en plus conforme aux "rogue" antivirus, comme dit l'anglicisme.

Mais l'écran suivant est encore mieux :

WP_20140310_023.jpg

Ca y est ! je suis infecté !! :)

WP_20140310_006.jpg

 

Et si je veux suivre les conseils et désinfecter ?

WP_20140310_002.jpg

Zoom sur l'URL de la bannière de l'"antivirus" :

WP_20140310_005.jpg

 

(wap.fumblo.com)


Le tout pointe en fait sur un système de facturation mensuelle, qui s'ajoute à la facture mobile (ici SFR). 

L'URL est sur le domaine : im-echopass.hcnx.eu.

D'après mes tests, aucun logiciel de sécurité pour mobile ne bloque cette URL en date du 11/03.

WP_20140310_024.jpg

 

Moralité : non, l'antivirus sur mobile n'est pas de la science fiction, mais un réel besoin !

Repost 0
Published by Philippe V. - dans Veille virale
commenter cet article