logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 04-05-2016 18:46:06

math01
Membre
Distrib. : Debian 8.4
Noyau : Linux 4.4.0-0.bpo.1-amd64
(G)UI : KDE
Inscription : 10-04-2016

Maill très.... trop précis. Espion?

Bonjour à tous,

cela fait quelques semaines que je suis sous debian 8 et c'est un vrai plaisir.
Mais depuis 1 semaine je reçois des mails pour essayer de me bananer. J'utilise Icedove comme gestionnaire mail

Plusieurs exemples pour être précis : (je n'ai jamais cliqué sur ces liens)

Je contact les impôts => 1 - 2 jours après hop un sois disant mail comme quoi les impôts me doivent 364 euros et que si je ne clique pas vite sur le lien je perd cet argent
Je contact pole emploi => 1 -2 jours après pole emploi me doit de l'argent et faut cliquer.... etc
Je contact la Caf => idem
Je contact mon ancienne banque => idem

Sa me pose vraiment question car sous windows je n'avais jamais ça et c'est toujours après un contact avec un organisme

Y a t il un soucis par rapport à mon pc? Infecté? sad

Merci à vous pour vos conseils

debian 8.3 64 bit kde
Intel core i7 4770s
8Go DDR
CG : Nvidia Geforce GTX 750 Ti

Hors ligne

#2 04-05-2016 19:27:02

kawer
Membre
Lieu : Earth
Distrib. : Debian Stable
Noyau : Current
(G)UI : Xfce
Inscription : 08-10-2013

Re : Maill très.... trop précis. Espion?

Salut,

Ton DNS est peut-être compromis, change de dns
Tu a peut-être un rootkit sur ton pc, essaie de le balayer avec chkrootkit, et rkhunter.
Consulte les logs et utilise la commande netstat.
Ton adresse mail a peut-être été compromise, au cas où change tout tes mots de pass mail et web dont ceux de la caf, banque et impots.

Songez à ce que vous avez été, à ce que vous êtes, et à ce que vous serez un jour, et vous deviendrez humbles. Saint Vincent de Paul
La maladie la plus constante et la plus mortelle, mais aussi la plus méconnue de toute société, est l’indifférence. Abbé Pierre
Carpe diem, quam minimum credula postero. Horace

Hors ligne

#3 04-05-2016 19:28:44

math01
Membre
Distrib. : Debian 8.4
Noyau : Linux 4.4.0-0.bpo.1-amd64
(G)UI : KDE
Inscription : 10-04-2016

Re : Maill très.... trop précis. Espion?

merci pour ta réponse. Mais... peux tu me dire ce qu'est un DNS et comment le changer? Je vais voir pour chrootkit et l'autre ^^

debian 8.3 64 bit kde
Intel core i7 4770s
8Go DDR
CG : Nvidia Geforce GTX 750 Ti

Hors ligne

#4 04-05-2016 19:34:06

math01
Membre
Distrib. : Debian 8.4
Noyau : Linux 4.4.0-0.bpo.1-amd64
(G)UI : KDE
Inscription : 10-04-2016

Re : Maill très.... trop précis. Espion?

je viens de lancer rkhunter avec la commande rkhunter --checkall --report-warnings-only


Warning: Suspicious file types found in /dev:                                                                              
         /dev/shm/pulse-shm-4020757228: data                                                                              
         /dev/shm/pulse-shm-3671635995: data                                                                              
         /dev/shm/pulse-shm-622055471: data                                                                                
         /dev/shm/pulse-shm-2262240379: data                                                                              
         /dev/shm/pulse-shm-3540713438: data                                                                              
         /dev/shm/pulse-shm-1137363335: data                                                                              
         /dev/shm/pulse-shm-626287783: data                                                                                
         /dev/shm/pulse-shm-2827681911: data                                                                              
Warning: Hidden directory found: /etc/.java  



Si sa peu aider à comprendre smile


debian 8.3 64 bit kde
Intel core i7 4770s
8Go DDR
CG : Nvidia Geforce GTX 750 Ti

Hors ligne

#5 04-05-2016 19:40:52

kawer
Membre
Lieu : Earth
Distrib. : Debian Stable
Noyau : Current
(G)UI : Xfce
Inscription : 08-10-2013

Re : Maill très.... trop précis. Espion?

nano /etc/resolv.conf


nameserver 208.67.222.123
nameserver 208.67.220.123



Pour le retour de rkhunter les /dev/shm/pulse sont des faux positifs, pour /etc/.java, il t'informe juste que tu a un dossier .java dans /etc, créer par l'installation je java.

Dernière modification par kawer (04-05-2016 19:41:19)


Songez à ce que vous avez été, à ce que vous êtes, et à ce que vous serez un jour, et vous deviendrez humbles. Saint Vincent de Paul
La maladie la plus constante et la plus mortelle, mais aussi la plus méconnue de toute société, est l’indifférence. Abbé Pierre
Carpe diem, quam minimum credula postero. Horace

Hors ligne

#6 04-05-2016 19:42:33

math01
Membre
Distrib. : Debian 8.4
Noyau : Linux 4.4.0-0.bpo.1-amd64
(G)UI : KDE
Inscription : 10-04-2016

Re : Maill très.... trop précis. Espion?

je tappe ta commande et je vois sa

nameserver fe80::ba26:6cff:fe54:edc%eth0

Dernière modification par math01 (04-05-2016 19:43:59)


debian 8.3 64 bit kde
Intel core i7 4770s
8Go DDR
CG : Nvidia Geforce GTX 750 Ti

Hors ligne

#7 04-05-2016 20:02:15

vv222
Administrateur
Lieu : Bretagne
Distrib. : Debian Sid
(G)UI : sway
Inscription : 18-11-2013
Site Web

Re : Maill très.... trop précis. Espion?

Sauf tu as modifié ta configuration DNS (j’en doute vu que tu ne savais pas à quoi ça correspond wink) ça pue en effet la machine compromise.

Jouer sous Debian ? Facile !

Ceterum censeo Barum esse delendam

Hors ligne

#8 04-05-2016 20:06:06

math01
Membre
Distrib. : Debian 8.4
Noyau : Linux 4.4.0-0.bpo.1-amd64
(G)UI : KDE
Inscription : 10-04-2016

Re : Maill très.... trop précis. Espion?

aie et je dois faire quoi selon vous?

Je met quoi en DNS? ce que Kawer a mis?

Comment sa a pu arriver?

Merci à vous pour votre aide

debian 8.3 64 bit kde
Intel core i7 4770s
8Go DDR
CG : Nvidia Geforce GTX 750 Ti

Hors ligne

#9 04-05-2016 20:51:00

Anonyme-8
Invité

Re : Maill très.... trop précis. Espion?

c'est quoi ta messagerie ?

potentiellement ta machine peut être compromise ou ça peut être ton service de messagerie.

#10 04-05-2016 20:53:26

math01
Membre
Distrib. : Debian 8.4
Noyau : Linux 4.4.0-0.bpo.1-amd64
(G)UI : KDE
Inscription : 10-04-2016

Re : Maill très.... trop précis. Espion?

j'utilise Idedove pour le logiciel.

Mes messageries : gmail avec mot de passe d'application (dans mon compte google partie securité)
outlook avec mot de passe d'application (dans mon compte outlook partie sécurité)

debian 8.3 64 bit kde
Intel core i7 4770s
8Go DDR
CG : Nvidia Geforce GTX 750 Ti

Hors ligne

#11 04-05-2016 21:19:50

Anonyme-8
Invité

Re : Maill très.... trop précis. Espion?

est ce que tu as reçu sur l'une, l'autre ou les deux messageries ce genre de message ?

je te conseillerai de changer tes mots de passe, ça coûte pas grand chose et c'est même recommandé de le faire régulièrement.
évidemment, je ne dis pas que ça réglera ton pb.

#12 04-05-2016 21:23:04

math01
Membre
Distrib. : Debian 8.4
Noyau : Linux 4.4.0-0.bpo.1-amd64
(G)UI : KDE
Inscription : 10-04-2016

Re : Maill très.... trop précis. Espion?

les 2. Pole emploi outlook les autres gmail.

Je changerais les mdp demain pour voir mais j'ai fait une bêtise dans des manips sur debian qui aurait provoqué sa? hmm

debian 8.3 64 bit kde
Intel core i7 4770s
8Go DDR
CG : Nvidia Geforce GTX 750 Ti

Hors ligne

#13 04-05-2016 22:15:00

Anonyme-8
Invité

Re : Maill très.... trop précis. Espion?

si tu as installé des logiciels qui ne sont pas présents dans les dépôts, c'est possible. dans le cas contraire, si tu as toujours installé des logiciels "Debian" je dirais que c'est peu probable.
à toi de nous dire si tu as fait des modifications particulière sur ton système.

edit: est ce que tu reçois beaucoup de spams ?
globalement, on reçoit un peu tous ce genre de message et ça peut être un concours de circonstance parce que c'est des entreprises/organismes qui concernent beaucoup de monde.
c'est juste une hypothèse roll

#14 04-05-2016 22:18:26

math01
Membre
Distrib. : Debian 8.4
Noyau : Linux 4.4.0-0.bpo.1-amd64
(G)UI : KDE
Inscription : 10-04-2016

Re : Maill très.... trop précis. Espion?

les seules logiciels ajouté sont hor depots : skype, MEGA,  minecraft, spotify. ormis personnalisation (je parle pas de theme) je n'ai pas touché au systeme

debian 8.3 64 bit kde
Intel core i7 4770s
8Go DDR
CG : Nvidia Geforce GTX 750 Ti

Hors ligne

#15 04-05-2016 22:23:16

Anonyme-8
Invité

Re : Maill très.... trop précis. Espion?

math01 a écrit :

les seules logiciels ajouté sont hor depots : skype, MEGA,  minecraft, spotify. ormis personnalisation (je parle pas de theme) je n'ai pas touché au systeme


si tu as récupérer les paquets depuis les sites officiels, je pense qu'il faut regarder ailleurs.

#16 04-05-2016 22:25:15

math01
Membre
Distrib. : Debian 8.4
Noyau : Linux 4.4.0-0.bpo.1-amd64
(G)UI : KDE
Inscription : 10-04-2016

Re : Maill très.... trop précis. Espion?

oui j'ai tout pris sur les sites officiels et suivie leurs instructions wink

debian 8.3 64 bit kde
Intel core i7 4770s
8Go DDR
CG : Nvidia Geforce GTX 750 Ti

Hors ligne

#17 04-05-2016 23:54:23

anonyme
Invité

Re : Maill très.... trop précis. Espion?

Bonsoir
le dossier /dev/shm est un disque virtuel en mémoire (j'ai 5 fichiers de 67.1 Mo , 2 de hier et 3 d'aujourd'hui )
le dossier /etc/.java  je sais pas ce que c'est , il est vide et je n utilise pas java (que des logiciels debian )
ce qui m étonne c'est que ce /dev/shm devrait etre déclaré dans /etc/fstab , ce qui n'est pas le cas. (comme le swap ) => selon explication sur le net
pas trés clair tout ça hmm

lien java => https://fr.wikipedia.org/wiki/Java_%28langage%29
j'ai appris qu il fait parti du monde du libre maintenant roll
je sais pas si on peut le supprimer (tous les paquets )
tu devrais regarder le contenu de /etc/.java

ps: tous les sites dont tu parle sont en "https" et tu les visualisent par ton navigateur , je regarderai celui ci  (voir les modules complémentaires installés et actif par exemple )
le DNS n'explique pas tout , mais tu peut utiliser par exemple celui de ton FAI qui normalement est fiable (et en IPV4 si possible tongue  )
je sais pas comment tu a configuré ton réseau
commande


rkhunter --checkall --report-warnings-only
 


retour


Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script, ASCII text executable
Warning: Suspicious file types found in /dev:
         /dev/shm/pulse-shm-4199868773: data
         /dev/shm/pulse-shm-3598473304: data
         /dev/shm/pulse-shm-1286918789: data
         /dev/shm/pulse-shm-1822132799: data
         /dev/shm/pulse-shm-2166703161: data
         /dev/shm/pulse-shm-100156883: data
 


j'ai le meme résultat que toi , le /etc/.java n'existe plus donc pas détecté  roll

commande


chkrootkit
 


retour


Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found:  
/usr/lib/nvidia-visual-profiler/.eclipseproduct /usr/lib/pymodules/python2.7/.path /usr/lib/jvm/.java-1.8.0-openjdk-amd64.jinfo
Searching for Linux/Ebury - Operation Windigo ssh...        Possible Linux/Ebury - Operation Windigo installetd
 


je connais pas les options , je n ai laissé que ce qui semble "suspicious"  tongue

tu utilise quoi comme navigateur internet ?

Dernière modification par anonyme (05-05-2016 01:43:25)

#18 05-05-2016 10:07:54

raleur
Membre
Inscription : 03-10-2014

Re : Maill très.... trop précis. Espion?

Moi aussi je reçois des mails soi-disant des impôts/EDF/etc. alors que je ne les ai pas contactés. Les spammeurs et les arnaqueurs envoient en masse, il y a parfois des coïncidences.

kawer a écrit :

Ton DNS est peut-être compromis


Comment le DNS pourrait-il connaître ses adresses mail ?

vv222 a écrit :

Sauf tu as modifié ta configuration DNS (j’en doute vu que tu ne savais pas à quoi ça correspond wink) ça pue en effet la machine compromise.


Qu'est-ce qui te fait dire cela ?
Cette adresse est une adresse IPv6 "link local" d'une machine connectée à eth0, probablement celle de la box internet sur laquelle l'IPv6 est activé, transmise par la box dans ses annonces de routeur IPv6, récupérée et inscrite dans resolv.conf par rdnssd installé sur le poste. rdnssd a la fâcheuse tendance d'écraser le contenu antérieur de resolv.conf, c'est pourquoi je l'utilise toujours en conjonction avec le paquet resolvconf, ce qui n'est pas le cas ici.


Il vaut mieux montrer que raconter.

Hors ligne

#19 05-05-2016 12:44:29

kawer
Membre
Lieu : Earth
Distrib. : Debian Stable
Noyau : Current
(G)UI : Xfce
Inscription : 08-10-2013

Re : Maill très.... trop précis. Espion?

raleur a écrit :

Moi aussi je reçois des mails soi-disant des impôts/EDF/etc. alors que je ne les ai pas contactés. Les spammeurs et les arnaqueurs envoient en masse, il y a parfois des coïncidences.



Hors lui, les reçois dans les deux jours après s'être connecter sur les dits services.

raleur a écrit :

Comment le DNS pourrait-il connaître ses adresses mail ?


Touit simplement en cas de DNS Spoofing. De là les adresses mail aurait été connus. Et bien plus encore.

raleur, si tu comprend son message, tu serai qu'il y a un sérieux problème. L'idée est de savoir où est-ce qu'il se situe. On ne reçois pas de mail ciblé juste deux jours après avoir contacté un organisme, n'y une seconde fois dans les mêmes délais pour un autre, et une troisième fois ...

D'où le minimum pour être certains que tout vas bien, changer les dns. Et Changer les mots de pass de toutes ces adresses mail/web.


Songez à ce que vous avez été, à ce que vous êtes, et à ce que vous serez un jour, et vous deviendrez humbles. Saint Vincent de Paul
La maladie la plus constante et la plus mortelle, mais aussi la plus méconnue de toute société, est l’indifférence. Abbé Pierre
Carpe diem, quam minimum credula postero. Horace

Hors ligne

#20 05-05-2016 12:47:18

vv222
Administrateur
Lieu : Bretagne
Distrib. : Debian Sid
(G)UI : sway
Inscription : 18-11-2013
Site Web

Re : Maill très.... trop précis. Espion?

raleur a écrit :

vv222 a écrit :

Sauf tu as modifié ta configuration DNS (j’en doute vu que tu ne savais pas à quoi ça correspond wink) ça pue en effet la machine compromise.


Qu'est-ce qui te fait dire cela ?


Mauvaise compréhension de ma part : je croyais que cette adresse correspondait à une des façons de contacter localhost (comme tu le vois mes connaissances d’IPv6 sont très basiques), ce qui m’a fait soupçonner un serveur DNS vérolé installé sur la machine. Mais s’il s’agit du routeur, tout va bien.


Jouer sous Debian ? Facile !

Ceterum censeo Barum esse delendam

Hors ligne

#21 05-05-2016 13:01:57

phlinux
Membre
Distrib. : Buster
Noyau : 5.10
(G)UI : Openbox (+Rox+Feh)
Inscription : 09-05-2009

Re : Maill très.... trop précis. Espion?

Bon si je comprends bien les sites d'EdF, impôts, etc... sont vérolés ?

Pages perso : feh, omegat, udisks, passerelle, schroot vraiment transparent

Hors ligne

#22 05-05-2016 15:02:02

Anonyme-8
Invité

Re : Maill très.... trop précis. Espion?

@kawer: tu sauras que la plupart des entreprises et même certaines administrations n'hésitent pas à revendre tes données.
je prends un exemple: je change de FAI, et quelque jours après je reçois un mail comme quoi il y a un pb de prélèvement. bizarre, l'adresse SFR (oui, c'est eux) n'a jamais servi ni été communiqué donc ces en***rés ont vendu mon adresse mail et pas à des gens sérieux.
je reçois des trucs de banques (plusieurs différentes), de la CAF, etc.. et il arrive que ça coïncide mais on pourrait plutôt parler d'effet barnum.

la question qui se pose, c'est: est que c'est du spam ? est ce que les services de messageries ont été piratés ? est que la machine/config est corrompue ?

si la machine est corrompue, j'aurai tendance à dire que le spam est inutile et avec un keylogger on récurera les informations utiles discrètement.
le vol d'identifiant et des attaques sur des services de messagerie, c'est pas ce qui manque.

est ce que des extensions ont été installées sur Icedove ?

#23 05-05-2016 15:48:45

raleur
Membre
Inscription : 03-10-2014

Re : Maill très.... trop précis. Espion?

kawer a écrit :

Tout simplement en cas de DNS Spoofing


Maintenant je crois comprendre ce que tu veux dire. Lors d'une requête pour le nom du serveur d'envoi SMTP, le serveur DNS compromis renvoie l'adresse d'un serveur complice qui se fait passer pour le serveur SMTP véritable. D'où l'intérêt de SSL/TLS pour authentifier ce serveur (et pas seulement pour  chiffrer la communication, ce qui ne sert à rien si on se connecte à un faux serveur). Cela me paraît quand même lourd pour du hameçonnage à la petite semaine.

kawer a écrit :

On ne reçois pas de mail ciblé juste deux jours après avoir contacté un organisme, n'y une seconde fois dans les mêmes délais pour un autre, et une troisième fois


Mail "ciblé", c'est vite dit. Avant de s'échauffer il faudrait voir en quoi ces mails sont vraiment ciblés. Corrélation n'implique pas causalité, et je ne parle pas des biais de perception. Comme je l'ai écrit, je reçois du fishing provenant soi-disant d'organismes avec lesquels je suis en contact, ou pas. Parfois ça tombe peu après un contact, parfois non. La psychologie humaine peut faire qu'on prête davantage attention aux coïncidences. Exemple : le "mauvais pressentiment" qu'on peut ressentir à chaque fois qu'on voyage en avion mais qu'on oublie bien vite quand tout se passe bien.

Dernière modification par raleur (05-05-2016 15:49:25)


Il vaut mieux montrer que raconter.

Hors ligne

#24 05-05-2016 20:14:28

math01
Membre
Distrib. : Debian 8.4
Noyau : Linux 4.4.0-0.bpo.1-amd64
(G)UI : KDE
Inscription : 10-04-2016

Re : Maill très.... trop précis. Espion?

Bonsoir a tous,

je vois que le sujet déchaine les passions big_smile

Je n'ai pu revenir sur le fofo avant ce soir mais je vais essayer de répondre aux questions que j'ai pu voir.
Alors déjà oui je suis connecté en ethernet à ma box orange via plug.

J'ai 2  extensions avec Icedove:
lightning 4.0.5.2
fournisseur pour google agenda 2.7

En sachant que pour mon gmail j'ai la double sécurité (mot de passe + code sur l'appli) et sur outlook j'ai la même chose sauf que c'est un requête demandée sur mon téléphone et que je dois valider ou non

Concernant ce "Spam" je n'ai jamais reçu des aussi ciblé (2 jours après un contact). Jamais sous windows avant et sa fait un bon mois maintenant que je suis sous débian (que j'adore) et sa doit faire 2 semaines maintenant que dès que j'envoi hop 2 jours après j'ai ça

debian 8.3 64 bit kde
Intel core i7 4770s
8Go DDR
CG : Nvidia Geforce GTX 750 Ti

Hors ligne

#25 05-05-2016 21:03:05

Philou92
Adhérent(e)
Lieu : Hauts de Seine
Distrib. : Debian bookworm
Noyau : Linux 6.1.0-13-amd64
(G)UI : LightDM et Xfce4.18
Inscription : 29-04-2015

Re : Maill très.... trop précis. Espion?

Hello

Question idiote : Est-ce que cela fait la même chose si tu écris un mail avec les services webmail de Google et Orange ?

Tousse antique Ovide !

Hors ligne

Pied de page des forums