Adresse ip detectée comme SPAM par spamhauss

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

SFSF
newbie
newbie
Messages : 7
Inscription : 30 sept. 2020 11:24

Adresse ip detectée comme SPAM par spamhauss

Message par SFSF »

Bonjour,
Mon adresse IP est détectée comme une adresse SPAM. Sur le site "abuseat", on me dit par exemple :
This IP address was detected and listed 70 times in the past 28 days, and 8 times in the past 24 hours. The most recent detection was at Tue Sep 29 20:55:00 2020 UTC +/- 5 minutes
C'est en essayant d'envoyer un mail avec mon adresse "@laposte" que je me suis rendu compte, en effet l'antispam Laposte me refuse l'envoi de mail car je suis considéré comme "spameur?" ET bizarrement, ni gmail ni d'autres mail n'ont cette technologie de prévention anti spam.

Voici un petit historique intéressant, à prendre en compte.
Ce type de problème je l'avais déjà eu dans le passé, il y a un an, c'était lorsque je me connectais sur ma boite depuis un ordinateur portable depuis Opera. J'avais switché sur un ordinateur différent et j'avais déménagé. Petit à petit je n'ai plus eu ce problème. Il y a deux semaines, j'ai repris l'ancien ordinateur portable et je me suis connecté sur cette boite mail, et comme par hasard, le problème est survenu à nouveau.

Je l'ai délaissé pendant 10 jours je crois, mais le problème est survenu quand même encore une fois (cf les 8 détections en 24H citées plus haut).

étrange tout ça ? Comment procéder à cela.
ps. J'avais run un anti malware truc (le logiciel bleu) après l'incident, sans détection quelconque.

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 6254
Inscription : 02 juin 2012 20:48

Re: Adresse ip detectée comme SPAM par spamhauss

Message par Parisien_entraide »

Bonjour,

Ton IP est considérée comme "CROUS Toulouse" donc il y a de fortes chances qu'elle soit mutualisée et donc que tu ne sois pas le seul utilisateur
Dans ces utilisateurs étudiants, il y a peut être des spammeurs (argent facile)
Ensuite il y a peut être une empreinte hardware et/ou logicielle liée à ton compte la poste qui a été enregistrée avec l'IP

Edit : Le soucis avec les listes c'est qu'elles ne sont pas toujours à jour
Pour certaines listes, elle a été retirée, pour d'autres elle est toujours d'actualité malgré la dernière détection en spam qui date de quelques années
Tout dépend donc à quelle base tel ou tel site ou service se réfère
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House

SFSF
newbie
newbie
Messages : 7
Inscription : 30 sept. 2020 11:24

Re: Adresse ip detectée comme SPAM par spamhauss

Message par SFSF »

Bonjour,
oui MAIS, j'ai eu ce problème l'année dernière en étant sous une autre connexion (différente de celle du crous, mais à caractère "collectiif" aussi)


La détection de spam est très précise, d'après ce que je vois. En effet pour se faire retirer son ip de la liste de spam, il existe 2 formulaire à remplir/cocher. Et ils savent très bien quant est-ce que mon adresse a été détectée pour la dernière fois à savoir : 8 fois dans les 24 dernières heures.

Je ne souscris pas l'idée que je sois tagué spam à cause d'une vielle détection qui date d'il y a quelques années, à nouveau j'ai été détecté dans les dernières 24h donc..
Il faut savoir que j'ai eu cet incident il y a 2 semaines, ensuite j'ai fait la demander pour être délister.. j'ai pu envoyer des mails avec Laposte, et ensuite ce matin, je constate que je n'ai plus le droit d'envoyer des mails. Je vérifie et je vois lis le message suviant, qui est très PRÉCIS "This IP address was detected and listed 70 times in the past 28 days, and 8 times in the past 24 hours. The most recent detection was at Tue Sep 29 20:55:00 2020 UTC +/- 5 minutes "

----
Ma théorie, il existerait un virus indétectable dans mon browser "Opera" sur le premier ordinateur (celui qui a fait que les problèmes ont repris), qui utiliserait ma boite mail pour envoyer des spam et supprimerait les "messages envoyés" pour ne pas être détectés ? (J'ai remarqué que mes messages envoyé ne s'affichait pas parfois). J'ai peut être une imagination très grande mais je vois pas d'autre explication.

Je n'ai pas eu ce problème pendant 10 mois je précise. Le moment je me connecte sous une autre adresse ip et avec un autre ordinateur, je vois que les jours suivants l'anti spam de ma boite s'est activé. Et il s'est réactivé ce matin alors que je n'ai pas retouché le premier ordi ni la connexion associée.

__
Y a t il d'autres angles d'attaque pour ce problème ? Cette IP potentiellement "mutualisée" pourquoi me ferait elle ce problème que maintenant alors que je l'ai depuis un an ?

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 6254
Inscription : 02 juin 2012 20:48

Re: Adresse ip detectée comme SPAM par spamhauss

Message par Parisien_entraide »

Comme je le disais, (relis) certaines bases ne sont pas actualisées

Si l'IP a été déclarée en SPAM il y a 8 ans et non actualisée, elle figure donc toujours en SPAM
Certains navigateurs ont une ID unique, ont peut également en générer une avec https://www.malekal.com/pistage-utilisa ... ngerprint/
On peut donc relier l'ID et l'IP

OPERA c'est Chinois maintenant... avec tout ce que cela peut impliquer surtout que derrière c'est TENCENT

Pour ta boite mail vérifie login et mot de passe : https://www.malekal.com/haveibeenpwned- ... -de-passe/
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House

SFSF
newbie
newbie
Messages : 7
Inscription : 30 sept. 2020 11:24

Re: Adresse ip detectée comme SPAM par spamhauss

Message par SFSF »

Je ne comprends pas cette phrase.
Comme je le disais, (relis) certaines bases ne sont pas actualisées

Si l'IP a été déclarée en SPAM il y a 8 ans et non actualisée, elle figure donc toujours en SPAM
1) Je dis, que le mon IP a été détectée en SPAM dans les 24 dernières heures .. et il précisent 70 fois dans le mois passé ("This IP address was detected and listed 70 times in the past 28 days, and 8 times in the past 24 hours. The most recent detection was at Tue Sep 29 20:55:00 2020 UTC +/- 5 minutes ), on ne parle pas d'un détection qui date d'il y a des années.

Mon adresse IP a été "normale" durant 10 MOIS, avant que je ré utilise OPERA.
Tout ce temps l'anti spam de Laposte n'était pas actif et n'a rien fait. (Il a été actif et me signalais des problème de SPAM , il y a 1 an au dela des 10 mois avant le déménagement comme je l'ai mentionné, par contre, et pendant ce temps la j'utilisais Opera nuit et jour)


2) J'ai rajouté que, mon ip a été déclassifiée et j'ai pu ré envoyer des mails,
Elle est déclassifier en effectuant la demande sur ces deux liens :
https://www.spamhaus.org/css/removal/re ... XX.XXX.XXX (adresse ip)
https://www.abuseat.org/lookup.cgi?ip= (l'adresse ip)

Cela veut dire : qu'il y a une détection d'une activité SPAM (réelle), entre ce moment la et le moment que l'anti spam m'a bloqué ( ce matin).


Ce que j'essaie de dire c'est que mon adresse IP était "sainte" pendant 10 mois, et que l'anti spam ne s'est activé que récemment. Sachant que j'utilise cette adresse mail depuis des années.

à moins que je n'ai pas compris quelque chose ?
Dans tous les cas, j'arrête Opera. Mais pour la suite je ne sais pas quoi faire d'autre.

Edit : Non heureusement mon adresse n'est pas dans la liste des 'have i been pwned" ce qui m'étonne xD

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 6254
Inscription : 02 juin 2012 20:48

Re: Adresse ip detectée comme SPAM par spamhauss

Message par Parisien_entraide »

Tu dis toi même : "AVANT que je ne réutilise OPERA

Je t'ai dis que les navigateurs (certains du moins) ont une ID unique
Il suffit que cette ID soit rattachée à une IP qui par le passé était déclarée en "spam" pour qu'une alerte soit activée

Ce spam est soi de ton fait, volontairement, soit par le biais de modules complémentaires foireux, et/ou par le biais d'une infection

L'adresse IP que tu utilises ici sur ce forum a été vue en tant qu IP de spam il y a 8 ans pour la première détection et est encore conservée
Que cela a été vu récemment ou pas n'y change rien puisque l'IP n'a pas été révoquée de ces bases

-----------------------------------
"approximately 8 years, 4 months, 4 weeks ago
Spider Last Seen within 2 years, 7 months, 3 weeks
Spider Sightings 20 visit(s)
User-Agents seen with 3 user-agent(s)
-------------------
3 users agent, veut dire 3 navigateurs différents, ou un seul avec un prog pour le modifier ou suite à des mises à jour

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322)
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1

mais cela peut être également 3 utilisateurs différents (dont un qui aime bien l Allemagne)

Tu noteras qu'il n' y a pas OPERA (mais cela ne veut rien dire car ailleurs j'ai noté un PC sous Unix qui n'est pas indiqué)
mais il suffit que pendant ces 8 ans tu sois passé sur un site avec OPERA où l'adresse était blacklistée pour que tes infos de navigation soient récupérées et.. conservées
La seule solution est de désinstaller OPERA (mais en profondeur avec Revo Uninstaller par ex) et un logiciel de nettoyage comme PRIVAZER et de le réinstaller ou mieux d'utiliser un autre navigateur et voir ce qui se passe (en espérant que d'autres ID ne soient pas récupérées)

Elle a été répertoriée également le "13 Dec 2017 à 12:58:03. pour un "reported for brute force attacks" suivi de tentative de spams

Elle est listée sur 4 bases de données sur 96 comme "Bannie"


De plus comme je te l'ai indiqué, cette IP est mutualisée ce qui est normale vu d'où elle vient
D'autres étudiants l'utilisent
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House

SFSF
newbie
newbie
Messages : 7
Inscription : 30 sept. 2020 11:24

Re: Adresse ip detectée comme SPAM par spamhauss

Message par SFSF »

Ah effectivement j'avais mal lu, tu parlais de ID du navigateur et non de IP.

Ces informations sont choquantes. Ton retour est franchement édifiant et intéressant, surtout le "reported for brute force attacks" qui me choque encore plus.

Effectivement je suis passé sous unix, un certain temps.

Il se peut que je ne sois jamais allé sur le forum Malekal avec Opera. J'utilise Opera et Mozilla en même temps.

Pour ce qui de l'Allemagne, cela peut être du à la connexion en navigation "privée" qu'offre le navigateur, sinon je devrais m'inquiéter puisque je ne me suis jamais connecté depuis l'Allemagne.

Je vais supprimer Opera avec les outils que tu mentionnes. Question : devrais je faire de même avec tous les autres navigateurs et recommencer à zéro ?

___
Maintenant, un point intéressant :
Je n'ai pas utilisé OPERA depuis au moins 2 jours et j'ai COUPÉ la connexion à l'ordinateur en question (celui qui contient OPERA), la connexion est purement ethernet, il n'y a pas de moyen pour que l'ordinateur se connecte à internet, aucun!

Alors, pourquoi mon adresse IP a été détectée 8 fois dans les dernières 24H ? Sachant que je suis actuellement sur une autre machine et un autre navigateur ? (Par contre Je me suis connecté, avec la machine 'non infectée', sur la même boite email qui contient l'anti spam, sachant que j'ai vérifié sur "have i been pwnd" RAS apparemment)

Normalement j'ai bien compris l'histoire des ID de navigateur enregistré comme spam, MAIS le fait que les problèmes recommencent lorsque
1) Je vais sur OPERA (sous lautre machine)
2) Je me connecte sur Laposte (sous lautre machine)
me laisse croire qu'il n'y a pas de raison que cette détection de spam se produise sur la nouvelle machine (ne contenant pas OPERA), et pourtant.

Cela voudrait dire que "l'infection" se serait déplacée vers la nouvelle machine ?

Je voudrais préciser quelque chose : Je me suis connecté sur OPERA les 10 derniers mois PLUSIEURS fois, mais jamais je n'étais allé sur ma boite mail.
J'aimerais que ça soit bien compris, c'est suite à ma connexion à ma boite mail sous Opera que les problèmes sont revenues. (j'étais toujours sous adresse IP étudiante, sauf le jour ou je me suis connecté à ma boite sous Opera pour la première fois, l'adresse IP était différente, mais peu importe puisque mon adresse IP actuelle est flaggé)

Le problème a continué hier, alors que je ne me suis "plus" reconnecté sur l'ancienne machine contenant OPERA. Je ne comprends pas.


J'espère que c'est clair et pas confusant, sinon je suis disponible pour clarifier si besoin.

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 6254
Inscription : 02 juin 2012 20:48

Re: Adresse ip detectée comme SPAM par spamhauss

Message par Parisien_entraide »

Ce que tu ne comprends pas et que je n'arrête pas de mentionner et que pourtant j'ai mis en gras

L'IP qui apparait, est celle du CROUS de TOULOUSE

Comme dans tous les Centres régionaux des œuvres universitaires, est mis à disposition une connexion internet pour les étudiants
Cette connexion est la même pour tout le monde, elle est mutualisée

Ensuite je n'ai JAMAIS dit que c'était une connexion provenant de l'Allemagne
C'est le contraire : CROUS Toulouser VERS l'Allemagne

Cette IP qui commence par 193.48.xxx.xxx est connue pour du spam et autre
Donc n'importe quel étudiant, suivant le site ou service qu'il contactera avec son navigateur internet peut se voir afficher un ban pour spam
Donc dans l'absolu, n'importe quel PC, donc navigateur qui se connecte PEUT subir la même chose
Si par contre l'ID du navigateur (et pas que) est déjà associée et connue pour SPAM là c'est encore pire

Voila je fais court, car tu ne sembles pas bien comprendre cette affaire d'IP mutualisée

C'est du meme ordre que certaines personnes qui se font un site internet, vont chez le prestataire OVH et se voit bannies d'un peu partout, parce que l'IP a été détectée par le passé comme servant à du spam
OVH fait dans l'IP Mutualisée, et l'IP peut ou a pu être attribuée à une personne qui s'en servi pour spammer

C'est du meme ordre que certains accès VPN où tel site ne sera pas accessible ou meme avec une recherche GOOGLE, car google a détecté de nombreux trafics émanant de cette IP (normal elle sert à plusieurs personnes)

Idem chez le prestataire FREE qui fait de l'accès à pas cher mais qui mutualise les adresses IP de ses utilisateurs
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House

SFSF
newbie
newbie
Messages : 7
Inscription : 30 sept. 2020 11:24

Re: Adresse ip detectée comme SPAM par spamhauss

Message par SFSF »

C'est une assomption de ta part que je n'ai pas compris l'affaire de l'IP mutualisée. Rien qu'une assomption, je sais bien que les activité d'un autre étudiant peuvent se reperuter sur tous les utilisateurs.
Mais j'ose croire que mon activité unique, est traitée de manière unique. J'ai laissé croire que je n'avais pas compris que la détection spam pouvait provenir d'autres utilisateurs.. non cela j'en suis conscient.

Mon assomption que MON activité a causé le déclenchement de l'anti spam...existe, car l'anti spam s'est déclenchée comme par hasard après que je me sois connectée sur Laposte sous Opera sous une autre machine. Ce même anti spam me causait des souci lorsque j'utilisais l'autre machine quotidiennement dans le passé également.

Pour schématiser ce que j'ai en tête :

1) Utilisation de l'ancienne machine il y a 2 ans/ connexion OPERA / connexion boite Laposte => déclenchement de l'anti spam de façon REGULIERE.
(Ici le point important c'est : anti spam flag est associé à ces 3 actions combinées)

2) Ensuite Déménagement :
Utilisation de l'ancienne machine pendant 10-12 mois/ OPERA / mais SANS connexion sur Laposte => L'anti spam s'est éteint (donc pas de détection spam). En même temps utilisation d'une nouvelle machine / MOZILLA / connexion sur Laposte.
(Ici le point est qu'il ya absence de flag spam si je ne me connecte pas sur ma boite, et ce même si je suis sur Opera)

3) Ensuite il y a 2 semaines : j'ai refait les activité du point 1 à savoir : Utilisation de l'ancienne machine il y a 2 ans/ connexion OPERA / connexion boite Laposte => déclenchement de l'anti spam comme par hasard.

Voila pourquoi je ne crois pas que ça soit à cause du fait que mon adresse IP soit mutualisée, mais plutôt à cause de Opera comme tu as pu le suspecté toi même.

4) Je laisse l'ancienne machine de côté.
J'effectue une demander de délistage
Tout rendre dans l'ordre
Ensuite ce matin, anti spam declenché alors que je n'ai été que sur la nouvelle machine et je ne suis pas connecté sous Opera.

Ma théorie c'est qu'un bot /programme Opera (sous Tencen comme tu as mentionné) a récupéré le MdP de la boite et effectue des envoie spam. Et ce même si je ne suis pas connecté. Et le MdP n'est pas "vendu" donc le site "Have i been pwnd" ne connait pas la boite mail?
Je vais loin peut être.


----------------------

Ta théorie est que l'anti spam a été déclenché par des raisons incontrôlée vu que l'IP est mutualisée, et/ou que OPERA aurait joué un rôle.
Ma théorie/suspicion, sans vouloir aller contre ton analyse que je respecte vu ton expérience, est qu'il y a quelque chose qui cloche (pourquoi l'anti spam s'est déclenché comme par hasard après que je me sois connecté sur ma boite mail sous Opera, chose que je faisais et qui pourrait être identifié sans pour autant aller pour la solution : "IP mutualisée => cela explique tout", c

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 6254
Inscription : 02 juin 2012 20:48

Re: Adresse ip detectée comme SPAM par spamhauss

Message par Parisien_entraide »

TENCENT via Opera ne peut pas envvoyer du spam avec l'IP du CROUS sauf si ils ont hacké le serveur (ce qui n'est pas le cas)

Fais une analyse de ton PC avec Opéra pour voir ce qui traine dessus (mais tu dis avoir été sous linux à un moment donné avec ce PC et curieusement j'avais relevé une attaque et spam d'une machine sous linux il y a quelques années avec cette IP¨
Tu t'es servi d'outils de hacks ou de spam ?

Pour le reste tu pars dans tous les sens (surtout qu'il a été relevé du SPAM comme je l'ai indqué via FIrefox et non Opera)

La procédure de Malekal
__________________
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut. ----> Ne pas oublier de cocher la case
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House

SFSF
newbie
newbie
Messages : 7
Inscription : 30 sept. 2020 11:24

Re: Adresse ip detectée comme SPAM par spamhauss

Message par SFSF »

Non justement jamais servi de choses pareilles, si c'était le cas je n'écrirais pas ce texte vu que je serais beaucoup plus calé sur le sujet..
En fait j'étais passé par Unix car j'étais passé sous une AUTRE machine qui ne supportait pas windows car : vielle machine. (un vieux pc portable)

Merci pour les instructions, je vais checker tout cela lorsque j'aurais un moment.

Question M ou Mme "Parisien_entraide", il se peut que tous mes navigateurs soient "flaggé" spam ? Me suggères-tu un nettoyage profond, et utilisation de nouveaux navigateurs ?
(ça aidera pas si quelqu'un du même réseau utilise l'ip "mutualisée" pour faire du spam intentionnel ou pas intentionnel j'imagine, mais bon)

SFSF
newbie
newbie
Messages : 7
Inscription : 30 sept. 2020 11:24

Re: Adresse ip detectée comme SPAM par spamhauss

Message par SFSF »

comment être sur que l'installation d'un nouveau navigateur = nouveau ID ? il se peut que je désintalle tout et me retrouve avec la meme ID et même flag spam.

ps. L'anti spam Laposte s'est désactivée de par lui même aujourd'hui.. .

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 6254
Inscription : 02 juin 2012 20:48

Re: Adresse ip detectée comme SPAM par spamhauss

Message par Parisien_entraide »

Pour EDGE il y a une association UUID

viewtopic.php?t=65094

Pour Firefox il n'y a pas d'ID unique
Pour les autres oui

Le simple fait de désinstaller à fond ces navigateurs et en installant à nouveau change l'ID navigateur (mais tu peux t'amuser à changer le finger printing, user agent en complément)

avec Chameleon par ex https://www.malekal.com/chameleon-exten ... ie-privee/

Firefox
https://addons.mozilla.org/en-GB/firefo ... eleon-ext/

Chrome
https://github.com/ghostwords/chameleon
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House

Répondre

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »