Sulla base di queste intestazioni di posta elettronica, da dove proviene questo virus?

Naviga le tue risposte
1

Vedo un virus nella nostra rete con alcune intestazioni strane. A volte vengono (provenienti) da un VIP netscaler, altre volte sembrano provenire da un server hub di Exchange.

Come posso determinare l'origine di questo virus? (workstation, ecc.)

Penso che questo abbia a che fare con l'autenticazione speciale del connettore di ricezione (autenticazione MX Exchange?) che consente l'accettazione del messaggio. 

Received: from EXMB01.company.com ([xxxx:66bb]) by EXHUB02.company.com ([2.2.2.192]) with mapi id 14.03.0195.001; Wed, 15 Oct 2014 09:55:26 -0400
Content-Type: application/ms-tnef; name="winmail.dat"
Content-Transfer-Encoding: binary
From: "Dale Chip" <[email protected]>
Subject: Unpaid invoic
Thread-Topic: Unpaid invoic
Thread-Index: Ac/of6pWLOgzgrBLQM2EB7owtQTxYw==
Date: Wed, 15 Oct 2014 09:55:25 -0400
Message-ID: <[email protected]>
Accept-Language: en-US
Content-Language: en-US
X-MS-Has-Attach: yes
X-MS-Exchange-Organization-SCL: -1
X-MS-TNEF-Correlator: <[email protected]>
MIME-Version: 1.0
X-MS-Exchange-Organization-AuthSource: HUB02.company.com
X-MS-Exchange-Organization-AuthAs: Internal
X-MS-Exchange-Organization-AuthMechanism: 04
X-Originating-IP: [2.2.2.171]
X-Auto-Response-Suppress: DR, RN, NRN, OOF, AutoReply
X-MS-Exchange-Organization-Recipient-P2-Type: Bcc
    
posta random65537 15.10.2014 - 16:03
fonte

2 risposte

1

Controllato. Authmechanism=04 è una notazione esadecimale che ti dice che il server Exchange ha autenticato l'indirizzo IP. Con questo, voglio dire che hai configurato il tuo server Exchange per trattare determinati indirizzi IP o intervalli di "trusted" nel linguaggio che bypasseranno l'autenticazione regolare nome utente / password e / o eventuali filtri spam / virus.

La posta proviene da una macchina con IP 10.130.15.171 . Questo IP potrebbe essere un server intermedio. Quindi potresti dover controllare i log di quel server.

    
risposta data 15.10.2014 - 16:58
fonte
1

Utilizza il link o qualcosa di simile per geolocalizzare un indirizzo ip

in caso di 10.130.15.171, questo è un indirizzo IP privato sulla tua rete

Intervalli di indirizzi IP privati

Gli intervalli e la quantità di IP utilizzabili sono i seguenti:

10.0.0.0 - 10.255.255.255 Indirizzi: 16.777.216

172.16.0.0 - 172.31.255.255 Indirizzi: 1.048.576

192.168.0.0 - 192.168.255.255 Indirizzi: 65.536

Tracciare questi messaggi indirizzati a virii potrebbe essere difficile. È facile per un hacker ottenere il controllo di un computer zombie in qualsiasi parte del mondo, spoofare l'indirizzo mac e l'indirizzo IP e inviare da lì. Se eseguito tramite più proxy e la connessione originale è su un PC portatile basato su un WiFi Starbucks gratuito, non sarà possibile tracciare.

Spero che questo aiuti

    
risposta data 15.10.2014 - 21:07
fonte

Leggi altre domande sui tag

I componenti aggiuntivi del browser aumentano il rischio di sicurezza a causa di possibili vulnerabilità Analisi manuale malware / adware dopo scansione SEP