[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:41570] Re: Notification



こんにちは。松田陽一@三鷹です。

From: YamYas <yamyas@xxxxxxxxxx>
Subject: [debian-users:41555] Re: Notification
Date: Sat, 2 Oct 2004 05:23:18 +0900

> こんにちは、YamYasです。
> 
> On Friday 01 October 2004 12:59, Shuzo Ishihara wrote:
> 
> > > 冷静に考えると、昨今のウイルスはwebページのキャッシュからメールアドレスを
> > > 拾ったりするので、必ずしもMLのメンバーが感染源とは限らないんですよね。
> > >
> > > MLアーカイブをwebで公開してる以上、(ある程度)仕方ないのかも知れません。(^^;)
> >
> > 私も、これは仕方がないと思います。
> > 発信元のIPが、80.25.61.111であり、whoisで調べてみるとドメインはスペイン。
> > このメーリングリスト参加者が直接係わっている可能性はものすごく低いと思います。
> 
> 一連のウイルスは、Fromが全て同じです。管理者権限で、このアドレス
> からの投稿を一時禁止しても良いのではないでしょうか?
> 
> もちろん、Fromが容易に詐称できるのは知っていますが、全てが同じIP
> からの送信、かつ、メールアドレスなので。

当該 IP は日本のものではなく、 From: のメイルアドレスの方の過去の
投稿のものと異なります。
つまり、投稿はウィルスによって完全に詐称されたものと判断します。
恐らく、例えば

   リンク名 [debian-users:38583] Re: Raid1 で1台のHDD で起動できません
        URL: http://lists.debian.or.jp/debian-users/200310/msg00249.html

ここにある mailto: に対して、 mailto: に記されているメイルアドレス
を From: に記して、ウィルスを送信する、という手順で送信されたので
はないかと想像します。
ML アーカイヴに投稿用メイルアドレスと投稿者のメイルアドレスが同時
に記されており、それらが公開されていることが、ウィルスにより悪用さ
れたのではないかと思います。

したがいまして、

> 一連のウイルスは、Fromが全て同じです。管理者権限で、このアドレス
> からの投稿を一時禁止しても良いのではないでしょうか?

私はこの対応策は不適切と判断します。

ML アーカイヴに投稿用メイルアドレスと投稿者のメイルアドレスが表示
されないようにすることが根本的問題の対策であろうと思いますが、本当
のウィルス感染者からの投稿を防げる訳ではありませんので、

> // ウイルスくらいはサーバ側で対処して欲しいですが。。。

ML サーバに clamav を入れる程度で良いのではないかと思います。
実際、 [debian-users:41516] は手元の clamav によって virus ディレ
クトリに放り込まれましたので。
--
Nothing but a peace sign.
松田 陽一(yoh)
mailto:yoh@xxxxxxxx
http://www.flcl.org/~yoh/index.htm