Según estos encabezados de correo electrónico, ¿de dónde viene este virus?

Navega tus respuestas
1

Estoy viendo un virus en nuestra red con algunos encabezados extraños. A veces provienen (se obtienen) de un VIP de netscaler, otras veces parecen provenir de un servidor central de Exchange.

¿Cómo puedo determinar el origen de este virus? (estación de trabajo, etc.)

Estoy pensando que esto tiene que ver con la autenticación especial del conector de recepción (¿MX Exchange auth?) que permite la aceptación del mensaje. 

Received: from EXMB01.company.com ([xxxx:66bb]) by EXHUB02.company.com ([2.2.2.192]) with mapi id 14.03.0195.001; Wed, 15 Oct 2014 09:55:26 -0400
Content-Type: application/ms-tnef; name="winmail.dat"
Content-Transfer-Encoding: binary
From: "Dale Chip" <[email protected]>
Subject: Unpaid invoic
Thread-Topic: Unpaid invoic
Thread-Index: Ac/of6pWLOgzgrBLQM2EB7owtQTxYw==
Date: Wed, 15 Oct 2014 09:55:25 -0400
Message-ID: <[email protected]>
Accept-Language: en-US
Content-Language: en-US
X-MS-Has-Attach: yes
X-MS-Exchange-Organization-SCL: -1
X-MS-TNEF-Correlator: <[email protected]>
MIME-Version: 1.0
X-MS-Exchange-Organization-AuthSource: HUB02.company.com
X-MS-Exchange-Organization-AuthAs: Internal
X-MS-Exchange-Organization-AuthMechanism: 04
X-Originating-IP: [2.2.2.171]
X-Auto-Response-Suppress: DR, RN, NRN, OOF, AutoReply
X-MS-Exchange-Organization-Recipient-P2-Type: Bcc
    
pregunta random65537 15.10.2014 - 16:03
fuente

2 respuestas

1

Lo comprobé. Authmechanism=04 es una notación hexadecimal que le indica que el servidor de Exchange se autenticó por dirección IP. Con esto, me refiero a que ha configurado su servidor de Exchange para tratar ciertas direcciones IP o rangos para que sean "confiables" en el lenguaje que evitará la autenticación regular de nombre de usuario / contraseña y / o eventuales filtros de spam / virus.

El correo se origina en una máquina con IP 10.130.15.171 . Esta IP podría ser un servidor intermedio. Entonces es posible que deba verificar los registros de ese servidor.

    
respondido por el sebastian nielsen 15.10.2014 - 16:58
fuente
1

Utilice enlace o algo similar para geolocalizar una dirección IP

en el caso de 10.130.15.171, es una dirección IP privada ubicada en su red

Rangos de direcciones IP privadas

Los rangos y la cantidad de IP utilizables son los siguientes:

10.0.0.0 - 10.255.255.255 Direcciones: 16,777,216

172.16.0.0 - 172.31.255.255 Direcciones: 1,048,576

192.168.0.0 - 192.168.255.255 Direcciones: 65,536

El seguimiento de estos mensajes enrutados virii puede ser difícil. Es fácil para un pirata informático controlar una computadora zombie en cualquier parte del mundo, falsificar la dirección MAC y la dirección IP, y enviar desde allí. Si se realiza a través de varios proxies y la conexión original se realiza en una PC móvil basada en un Starbucks WiFi gratuito, no será posible rastrear.

Espero que ayude

    
respondido por el Ess Kay 15.10.2014 - 21:07
fuente

Lea otras preguntas en las etiquetas

Información de identificación que mi tarjeta inalámbrica envía a la red (wifi) ¿Existe una empresa de revisión de firewall independiente de confianza?