rssLink RSS for all categories
 
icon_blue
icon_green
icon_green
icon_orange
icon_red
icon_green
icon_green
icon_orange
icon_red
icon_red
icon_green
icon_green
icon_green
icon_blue
icon_orange
icon_red
icon_green
icon_blue
icon_red
icon_red
icon_green
icon_red
icon_red
icon_blue
icon_orange
icon_green
icon_green
icon_red
icon_green
icon_blue
icon_green
icon_red
 

FS#5277 — Emailvision spam violent 81.92.112.0/20 193.25.198.0/24

Attached to Project— Emails
Amélioration
tout
CLOSED
100%
Suite à des attaques sous forme de spams très violents que nous avons reçu à plusieurs reprises à partir des réseaux ci-dessous nous avons mis les protections sur notre reseau afin de retrouver le fonctionnement normal.

81.92.112.0/20
193.25.198.0/24
Date:  Wednesday, 30 March 2011, 16:58PM
Reason for closing:  Done
Comment by OVH - Wednesday, 30 March 2011, 13:13PM

D'apres les responsables de l'Emailvision, un formulaire
de parrainage installé sur le site d'un de leur clients
http://www.theaa.com/services/breakdowncover/membergetmember/refer.jsp
aurait été hacké pour simuler un double opt-in (un incription
à une newslettre avec la confirmation d'inscription). Ou
alors il n'y a pas de hack car l'outil ne propose pas de
double opt-in et n'importe qui peut inscrire n'importe qui
sans aucune confirmation. Nous n'avons pas assez de detail
à ce niveau là. Nous avons juste l'information suivante:
----
XX@XXX has been inserted and sent multiples of this email
starting on the 18th March it seems as this email address
has date joins on the 18/03/2011, 24/03/2011, 25/03/2011,
27/03/2011 and for each date they were inserted multiple times.
----

Consequence: plusieurs dizaines de milliers d'emails ont été
envoyés vers notre reseau. Ceci depuis plusieurs jours.

Le nombre d'emails envoyés et la violence d'envoie ont
été detectée par nos robots qui gerent les attaques.
Plusieurs d'heures de travail de nos équipes ont été
necessaire le dimanche 27 pour nettoyer nos infra des
emails que nous avons reçu jusqu'à la saturation de
certains elements. Et donc pour eviter que le probleme
ne se reproduisse pas nous avons dû mettre en place les
mesures de securité ont nous permit de proteger notre
infrastructure.

Ce n'est pas la 1ere fois que nous avons de problemes
avec Emailvision pour presque les mêmes raisons à
chaque fois. Malgré les incidents grave à repetition,
les problemes ne se sont toujours pas reglés. Il n'y a pas
de dialogue. Les gens en face ne semblent pas comprendre
qu'ils mettent en dangers les reseaux et generent du
travail inutiles aux autres équipes reseaux/sysadmin.
Et donc, si demain notre reseau est à nouveau attaqué,
nous allons prendre exactement les mêmes mesures.


Comment by OVH - Wednesday, 30 March 2011, 13:17PM

Les protections ont été enlevées. Nous recevons
à nouveau le trafic du reseau d'Emailvision.

On attend de la part de responsables une évolution
dans les faits afin d'éviter dans le futur les
eventuels problemes.


Comment by OVH - Wednesday, 30 March 2011, 16:58PM

$ ping 81.92.116.1
PING 81.92.116.1 (81.92.116.1) 56(84) bytes of data.
64 bytes from 81.92.116.1: icmp_seq=1 ttl=58 time=1.03 ms

--- 81.92.116.1 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 1.032/1.032/1.032/0.000 ms

$ ping 81.92.115.1
PING 81.92.115.1 (81.92.115.1) 56(84) bytes of data.
64 bytes from 81.92.115.1: icmp_seq=1 ttl=57 time=1.12 ms

--- 81.92.115.1 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 1.123/1.123/1.123/0.000 ms

$ ping 81.92.113.1
PING 81.92.113.1 (81.92.113.1) 56(84) bytes of data.
64 bytes from 81.92.113.1: icmp_seq=1 ttl=57 time=0.905 ms

--- 81.92.113.1 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.905/0.905/0.905/0.000 ms

$ ping 81.92.112.1
PING 81.92.112.1 (81.92.112.1) 56(84) bytes of data.
64 bytes from 81.92.112.1: icmp_seq=1 ttl=57 time=0.952 ms

--- 81.92.112.1 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.952/0.952/0.952/0.000 ms

$ ping 193.25.198.1
PING 193.25.198.1 (193.25.198.1) 56(84) bytes of data.
64 bytes from 193.25.198.1: icmp_seq=1 ttl=58 time=0.998 ms

--- 193.25.198.1 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.998/0.998/0.998/0.000 ms