Ubuntu-fr

chelle

[Résolu] Malware Avalanche/Andromeda

Bonjour,

J'espère être sur le bon salon pour poster ce message...

J'ai un problème d'envoi de mails avec Thunderbird (depuis ce matin, les mails fonctionnaient très bien jusqu'à hier soir, tant à l'envoi qu'à la réception). Lors de l'envoi d'un mail à un expéditeur avec qui j'avais déjà échangé (donc pas de problème d'adresse mail), le message d'erreur suivant s'affiche :

quote-----
L’envoi du message a échoué.
Une erreur est survenue lors de l’envoi du courrier. Le serveur de courrier a répondu : Client host rejected by spamhaus for spamming issues; please refer to https://www.spamhaus.org/query/ip/92.184.118.26 for further information. Veuillez vérifier l’adresse du destinataire test-jb2iucefn@srv1.mail-tester.com et essayer à nouveau.
unquote-----

Je suis allée voir sur Spamhaus et on m'indique ceci :

quote------
eXploits Blocklist (XBL) - Why was this IP address listed?

The machine using this IP is infected with malware that is emitting spam or is sharing a connection with an infected device.

As a result, this IP address is listed in the eXploits Blocklist (XBL)

Click on Show Details to see if you can request a delisting from this blocklist. This will also display any further information we have relating to this listing.
Hide details
Why was this IP listed?

A machine using 92.184.118.26 is infected with malware associated with the avalanche/andromeda family.

92.184.118.26 initiated contact with a andromeda command and control server, using contents unique to andromeda C&C command protocols.
Technical details of the andromeda detection

92.184.118.26 initiated a tcp connection from 92.184.118.26 using source port 50281, to the sinkhole IP address 184.105.192.2 on destination port 80.

The most recent detection was on: December 15 2023, 21:44:03 UTC.
unquote-----

Je précise que je suis complètement novice dans Linux, ce n'est pas moi qui l'ai installé mais un informaticien professionnel.

Il s'agit de KUBUNTU selon la configuration suivante :
Système d'exploitation : Kubuntu 22.10
Version de KDE Plasma : 5.25.5
Version de KDE Frameworks : 5.98.0
Version de Qt : 5.15.6
Version de noyau : 5.19.0-21-generic (64-bit)
Plate-forme graphique : X11
Processeurs : 4 × Intel® Core™ i3-2328M CPU @ 2.20GHz
Mémoire : 3,7 Gio de mémoire vive
Processeur graphique : GeForce GT 630M/PCIe/SSE2
Fabricant : Acer
Nom du produit : Aspire V3-771
Version du système : V2.08

Que puis-je faire pour résoudre ce problème ?

Merci par avance de votre aide.

Chelle

PS : question subsidiaire : où ou à qui m'adresser pour me former sur Linux ?

Dernière modification par chelle (Le 09/01/2024, à 20:11)

Nuliel

Re : [Résolu] Malware Avalanche/Andromeda

Bonjour,
Il y a deux possibilités:
- tu as quelque chose connecté à ta box qui est infecté par ce malware. Ça peut être tout et n'importe quoi: un pc, un téléphone, un bidule connecté, ... et dans ce cas il faut le trouver et régler le problème
- tout est ok, mais tu as hérité d'une ip utilisée auparavant par une machine infectée. Sachant que le changement aurait eu lieu après le 15 décembre, date à laquelle le malware a contacté le serveur C&C (commande et contrôle, la machine que contrôle l'attaquant et qui lui permet de contrôler toutes les machines infectée).

Est-ce une machine d'entreprise? Si oui, fais remonter l'info au service informatique (s'il existe)
As tu installé un logiciel particulier, ouvert une pièce jointe d'un mail sans le faire exprès, ... dans les alentours du vendredi 15 décembre?
As tu des services style serveur ssh, serveur vnc, ... qui seraient accessibles par internet?

Kubuntu 22.10 n'était pas un bon choix, cette version est périmée depuis le 20 juillet 2023. Il aurait été préférable de prendre la version 22.04 qui a des mises à jour pendant 3 ans pour kubuntu. As tu fait la mise à niveau proposée? La commande

lsb_release -a

permettrait de vérifier la version de kubuntu installée.

J'ai déplacé dans la section Sécurité.

Dernière modification par Nuliel (Le 29/12/2023, à 12:46)

---

[ poster un retour de commande ] [ poster une photo ]

chelle

Re : [Résolu] Malware Avalanche/Andromeda

Bonjour,

Merci de ta réponse !

Alors :
- c'est un PC portable privé, pas de réseau d'entreprise
- nous sommes en box 4G (pas d'ADLS ni de fibre possible chez nous) avec wifi + cpl.
- ne sont branchés sur cette box que :
*cet ordinateur
* mon téléphone portable - je viens de faire une analyse qui n'a détecté aucune menace
* occasionnellement un deuxième téléphone qui n'a plus de carte SIM
* une tablette samsung
* une imprimante
* deux caméras de sécurité
* la centrale d'alarme de la maison
tout cela depuis un certain temps maintenant, aucun changement à ce niveau
+ en cours d'installation depuis le 30/11 (mais le raccordement n'est pas encore terminé) : des panneaux photovoltaïques. Est-ce que cela pourrait provenir de cela ?
+ de temps en temps, je ne connecte en accès à distance à mon bureau pour du télétravail avec mon ordinateur professionnel (piloté par un service informatique paranoïaque).

En fait, il n'y a eu a priori aucun changement vers le 15/12. Je n'ai aucun souvenir d'avoir téléchargé une pièce jointe litigieuse, ni aucun logiciel. De toutes façons, je sais que je ne peux rien installer directement sans passer par la logithèque, je n'essaye donc même pas... Comment puis-je vérifier quel matériel est infecté le cas échéant ?

Pas de contrôle à distance installé sur l'ordinateur privé - un contrôle à distance sur l'ordinateur pro mais réservé à notre service informatique.

Pour la version de Kubuntu, elle a été installée il y a plusieurs mois en catastrophe par l'informaticien car l'ancienne version était bloquée. Les mises à jour ont été bloquées pour je ne sais plus quelle raison (je crois que cela bloquait l'installation et l'utilisation de logiciels dont j'avais besoin). Il faudrait effectivement upgrader le système. Est-ce simple à faire pour une novice complète ?

Voilà ce que donne la commande indiquée :

No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 22.10
Release:        22.10
Codename:       kinetic

Merci encore de ton aide !

Chelle

bruno

Re : [Résolu] Malware Avalanche/Andromeda

Salut,

Tout à fait d'accord avec ces deux possibilités. À noter que Andromeda est un troyen Windows, le premier suspect serait donc une machine sous Windows reliée à la Livebox.
Il est tout à fait improbable que Kubuntu soit en cause.

Si c'est un problème d'IP il faut essayer d'en changer :
https://assistance.orange.fr/livebox-mo … 196-767612

---

Attention, les bouteilles vendues par Nestlé Waters sont contaminées au monoxyde de dihydrogène.

chelle

Re : [Résolu] Malware Avalanche/Andromeda

Bonjour Bruno,

Merci de votre réponse.

Le problème est que le seul appareil sous Windows est mon PC portable professionnel, que j'utilise régulièrement depuis de nombreux mois maintenant - et je n'ai pas les droits d'administrateur sur cette machine, qui est gérée par notre service informatique.

Mon PC portable privé est exclusivement sous linux (Windows a été désinstallé il y a 7 ans environ) et tous les téléphones / tablette sont sous Android...

Bref, je ne vois pas d'où cela peut provenir.

Chelle

bruno

Re : [Résolu] Malware Avalanche/Andromeda

Il faut essayer de changer d'IP. Je ne sais pas si la procédure que j'ai donné en lien s'applique aux connexions 4G.

---

Attention, les bouteilles vendues par Nestlé Waters sont contaminées au monoxyde de dihydrogène.

O_20_100_O

Re : [Résolu] Malware Avalanche/Andromeda

Bonjour,
Pour changer d'IP, si c'est possible sur ton PC et ta Box, il faudrait passer la connexion en IPv6.

Nuliel

Re : [Résolu] Malware Avalanche/Andromeda

Effectivement andromeda c'est pour windows, mais avalanche je n'ai pas réussi à trouver l'info vu que ça a l'air d'être un groupement de malwares.

piloté par un service informatique paranoïaque

Et c'est bien normal vu qu'ils n'ont aucun contrôle sur ton réseau local (hors le pc pro)

+ en cours d'installation depuis le 30/11 (mais le raccordement n'est pas encore terminé) : des panneaux photovoltaïques. Est-ce que cela pourrait provenir de cela ?

J'ai jamais entendu parler de piratage de panneaux solaires, je tombe sur quelques articles assez récents mais sans avoir de détails. Je ne crois donc pas trop à cette hypothèse.

+1 pour changer d'IP

Faire la mise à niveau, c'est normalement pas compliqué (le gestionnaire de mise à jour devrait te proposer de mettre à niveau), par contre je te conseille deux choses:
- faire une sauvegarde de tes données avant la mise à niveau
- faire un live usb (clé usb d'installation) de la version 22.04 aussi avant la mise à niveau, parce que c'est toujours utile, et en cas de problème tu pourras réinstaller facilement. Pour cela tu auras besoin d'une clé USB de 8 Go ou plus et qui sera dédiée à ça (tu perdras les données stockées sur cette clé usb)

Le problème de cette mise à niveau, c'est que tu passeras sur la 23.10 qui n'est supportée que jusqu'en juillet 2024, contrairement à la 22.04 qui est supportée jusqu'en avril 2027 mais sur laquelle tu ne peux pas aller sans réinstallation.

Dernière modification par Nuliel (Le 29/12/2023, à 15:38)

---

[ poster un retour de commande ] [ poster une photo ]

inbox

Re : [Résolu] Malware Avalanche/Andromeda

Salut,

Peut-être faudrait-il d'abord, vérifier qui a l'adresse 92.184.118.26. Ce n'est pas forcément l'adresse IP du PC, mais celle du serveur de messagerie.

whois 92.184.118.26
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See https://apps.db.ripe.net/docs/HTML-Terms-And-Conditions

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '92.184.118.0 - 92.184.118.255'

% Abuse contact for '92.184.118.0 - 92.184.118.255' is 'gestionip.ft@orange.com'

inetnum:        92.184.118.0 - 92.184.118.255
netname:        Internet-OM
descr:          Orange Mobile
country:        FR
admin-c:        AR10027-RIPE
tech-c:         AR10027-RIPE
status:         ASSIGNED PA
mnt-by:         FT-BRX
created:        2019-12-24T09:11:35Z
last-modified:  2019-12-24T09:11:35Z
source:         RIPE

role:           Architectes Reseau
address:        ORANGE FRANCE
address:        1 avenue Nelson Mandela, 94745 Arcueil Cedex
admin-c:        BRX1-RIPE
tech-c:         BRX1-RIPE
nic-hdl:        AR10027-RIPE
mnt-by:         FT-BRX
created:        2011-09-21T13:44:11Z
last-modified:  2023-01-06T09:57:34Z
source:         RIPE # Filtered

% Information related to '92.184.116.0/22AS3215'

route:          92.184.116.0/22
descr:          Internet OM
origin:         AS3215
mnt-by:         FT-BRX
created:        2018-08-21T12:25:33Z
last-modified:  2018-08-21T12:25:33Z
source:         RIPE

% This query was served by the RIPE Database Query Service version 1.109.1 (ABERDEEN)

Whois confirme donc qu'il s'agit d'un serveur de chez Orange.

Tu peux aussi voir ton adresse IP publique avec un des liens cité ici

A+

Dernière modification par inbox (Le 29/12/2023, à 19:48)

---

Un problème résolu ? Indiquez le en modifiant le titre du sujet.

Nuliel

Re : [Résolu] Malware Avalanche/Andromeda

C'est l'adresse IP de la box 4G en fait (orange du coup). Tous les appareils sur le réseau vont sur internet en passant par la box, donc depuis internet, ce qu'on voit, c'est juste l'ip de la box, en d'autres termes on ne peut pas savoir si c'est le pc, la tablette, ... Et la box a une table pour dispatcher les données à leur réception.

Le serveur de messagerie qui a envoyé du spam est justement derrière cette ip (ou a été derrière à un moment).

Dernière modification par Nuliel (Le 29/12/2023, à 20:02)

---

[ poster un retour de commande ] [ poster une photo ]

inbox

Re : [Résolu] Malware Avalanche/Andromeda

Quand on envoie un courriel, à moins d'héberger un serveur de messagerie chez soi, c'est l'adresse du serveur de messagerie qui est celle connue par le serveur recevant le courriel. Je continue donc à penser que 92.184.118.26 est l'adresse IP d'un serveur Orange et non de la box.

---

Un problème résolu ? Indiquez le en modifiant le titre du sujet.

krodelabestiole

Re : [Résolu] Malware Avalanche/Andromeda

c'est l'adresse du serveur de messagerie qui est celle connue par le serveur recevant le courriel.

c'est vrai seulement si tu passes par un webmail, pas par un client mail ordinaire, et encore moins depuis une machine infectée.

(à part ça les cameras ip sont des nids à failles, à surveiller)

---

nouveau forum ubuntu-fr on en parle là : refonte du site / nouveau design
profil - sujets récurrents

Nuliel

Re : [Résolu] Malware Avalanche/Andromeda

(à part ça les cameras ip sont des nids à failles, à surveiller)

C'est clair! J'avais associé dans ma tête les caméras à orange, je sais pas pourquoi

Et du coup la grande question: est-ce des caméras à 30€ sur chopées sur amazon (ou équivalent), ou c'est des caméras Orange/insérer une entreprise qui gère et vend les alarmes/caméras?

Dernière modification par Nuliel (Le 30/12/2023, à 00:08)

---

[ poster un retour de commande ] [ poster une photo ]

bruno

Re : [Résolu] Malware Avalanche/Andromeda

Il était facile de vérifier l"adresse IP (whois, dig) pour voir qu'elle correspond bien à un client Orange mobile et non à un serveur de courriels. Le whois étéit déjà suffisamment clair et en plus :

$ dig +short -x 92.184.118.26
92-184-118-26.mobile.fr.orangecustomers.net.

Et oui l'IP publique est bien visible dans les en-têtes Received d'un courriel envoyé via un client classique.

+1 pour les caméras IP mais à première vue cela ne correspond pas au troyen détecté. Je continue à pencher pour la deuxième hypothèse de @nuliel : récupération d'un IP vérolée.

De toute façon cette IP n'est plus listée par aucune RBL, donc cela vaut le coup de réessayer d'envoyer un courriel à la personne pour qui cela bloquait.

---

Attention, les bouteilles vendues par Nestlé Waters sont contaminées au monoxyde de dihydrogène.

NicoApi73

Re : [Résolu] Malware Avalanche/Andromeda

Bonjour,

Etant donné que l'adresse 92.184.x.x est une IP de téléphonie mobile, il suffit de débrancher la box, attendre quelques minutes et la rebrancher. Le réseau devrait lui attribuer une nouvelle adresse IP.

chelle

Re : [Résolu] Malware Avalanche/Andromeda

Bonsoir à tous,

Désolée de ne pas vous avoir répondu plus tôt, du fait des fêtes.

Merci de votre aide précieuse !

Je vais voir pour mettre à jour la version de Linux.

Quand au problème de messagerie, tout est finalement rentré dans l'ordre sans que je n'ai rien fait... Je ne comprends décidément rien à l'informatique .

Bonne année à tous.

Chelle