<html>

  <head>

    <meta http-equiv="content-type" content="text/html; charset=windows-1252">

  </head>

  <body text="#000000" bgcolor="#FFFFFF">

    Hello,<br>

    Il semblerait qu'il y ai une infection sur la machine inattendu.

    Probalblement un des sites sous spip.<br>

    je jette un oeil mais je vois pas trop d'ou ca peut venir<br>

    <br>

    A+<br>

    Nico<br>

    <div class="moz-forward-container"><br>

      <br>

      -------- Forwarded Message --------

      <table class="moz-email-headers-table" border="0" cellpadding="0"

        cellspacing="0">

        <tbody>

          <tr>

            <th nowrap="nowrap" valign="BASELINE" align="RIGHT">Subject:

            </th>

            <td>Fwd:

              [clean-mx-viruses-85511564](91.224.149.87)-->(<a class="moz-txt-link-abbreviated" href="mailto:abuse@tetaneutral.net">abuse@tetaneutral.net</a>)

              viruses sites (1 so far) within your network, please close

              them! status: As of 2016-01-12 12:33:33 CET</td>

          </tr>

          <tr>

            <th nowrap="nowrap" valign="BASELINE" align="RIGHT">Date: </th>

            <td>Tue, 12 Jan 2016 15:09:48 +0100</td>

          </tr>

          <tr>

            <th nowrap="nowrap" valign="BASELINE" align="RIGHT">From: </th>

            <td><a class="moz-txt-link-abbreviated" href="mailto:equipage-hosting@tetaneutral.net">equipage-hosting@tetaneutral.net</a></td>

          </tr>

          <tr>

            <th nowrap="nowrap" valign="BASELINE" align="RIGHT">To: </th>

            <td>Nicolas Bertrand <a class="moz-txt-link-rfc2396E" href="mailto:nicolas.bertrand@tdcpb.org"><nicolas.bertrand@tdcpb.org></a>,

              <a class="moz-txt-link-abbreviated" href="mailto:equipage-hosting@tetaneutral.net">equipage-hosting@tetaneutral.net</a></td>

          </tr>

        </tbody>

      </table>

      <br>

      <br>

      <pre>Salut,

Ptet un soucis sur un des services web du PC inattendu ?

Laurent

-------- Forwarded Message --------

Subject: 

[clean-mx-viruses-85511564](91.224.149.87)-->(<a class="moz-txt-link-abbreviated" href="mailto:abuse@tetaneutral.net">abuse@tetaneutral.net</a>) 

viruses sites (1  so far) within your network, please close them! 

status: As of 2016-01-12 12:33:33 CET

Date: Tue, 12 Jan 2016 12:33:33 +0100

From: <a class="moz-txt-link-abbreviated" href="mailto:abuse@clean-mx.de">abuse@clean-mx.de</a>

To: <a class="moz-txt-link-abbreviated" href="mailto:abuse@tetaneutral.net">abuse@tetaneutral.net</a>

CC: <a class="moz-txt-link-abbreviated" href="mailto:certa-svp@certa.ssi.gouv.fr">certa-svp@certa.ssi.gouv.fr</a>

Dear abuse team,

please have a look on these perhaps offending viruses sites(1) so far.

Notice: We do NOT urge you to shutdown your customer, but to inform him 

about a possible infection/misbehavior !

status: As of 2016-01-12 12:33:33 CET

Please preserve on any reply our Subject: 

[clean-mx-viruses-85511564](91.224.149.87)-->(<a class="moz-txt-link-abbreviated" href="mailto:abuse@tetaneutral.net">abuse@tetaneutral.net</a>) 

viruses sites (1  so far) within your network, please close them! 

status: As of 2016-01-12 12:33:33 CET

<a class="moz-txt-link-freetext" href="http://support.clean-mx.de/clean-mx/viruses.php?email=abuse@tetaneutral.net&response=alive">http://support.clean-mx.de/clean-mx/viruses.php?email=abuse@tetaneutral.net&response=alive</a>

(for full uri, please scroll to the right end ...

This information has been generated out of our comprehensive real time 

database, tracking worldwide viruses URI's

If your review this list of offending site(s), please do this carefully, 

pay attention for redirects also!

Also, please consider this particular machines may have a root kit 

installed !

So simply deleting some files or dirs or disabling cgi may not really 

solve the issue !

Advice: The appearance of a Virus Site on a server means that

someone intruded into the system. The server's owner should

disconnect and not return the system into service until an

audit is performed to ensure no data was lost, that all OS and

internet software is up to date with the latest security fixes,

and that any backdoors and other exploits left by the intruders

are closed. Logs should be preserved and analyzed and, perhaps,

the appropriate law enforcement agencies notified.

DO NOT JUST DELETE THE FILES. IF YOU DO NOT FIX THE SECURITY

PROBLEM, THEY WILL BE BACK!

You may forward my information to law enforcement, CERTs,

other responsible admins, or similar agencies.

+-----------------------------------------------------------------------------------------------

|date                           |id     |virusname      |ip             |domain         |Url|

+-----------------------------------------------------------------------------------------------

|2016-01-12 12:03:40 CET        |85511564       |cleanmx_phish  |91.224.149.87 

|inattendu.org 

|<a class="moz-txt-link-freetext" href="http://www.inattendu.org/grape/IMG/distant/html/edit-de3bb58de3b.html">http://www.inattendu.org/grape/IMG/distant/html/edit-de3bb58de3b.html</a>

+-----------------------------------------------------------------------------------------------

Your email address has been pulled out of whois concerning this 

offending network block(s).

If you are not concerned with anti-fraud measurements, please forward 

this mail to the next responsible desk available...

If you just close(d) these incident(s) please give us a feedback, our 

automatic walker process may not detect a closed case

explanation of virusnames:

==========================

unknown_html_RFI_php    not yet detected by scanners as RFI, but pure php 

code for injection

unknown_html_RFI_perl   not yet detected by scanners as RFI, but pure perl 

code for injection

unknown_html_RFI_eval   not yet detected by scanners as RFI, but suspect 

javascript obfuscationg evals

unknown_html_RFI        not yet detected by scanners as RFI, but trapped by our 

honeypots as remote-code-injection

unknown_html    not yet detected by scanners as RFI, but suspious, may be 

in rare case false positive

...javascript.insert    Please pay attention for script code after </html>

unknown_exe     not yet detected by scanners as malware, but high risk!

all other names malwarename detected by scanners

==========================

yours

Gerhard W. Recher

(CTO)

net4sec UG (haftungsbeschraenkt)

Leitenweg 6

D-86929 Penzing

GSM: ++49 171 4802507

Geschaeftsfuehrer: Martina Recher

Handelsregister Augsburg: HRB 27139

EG-Identnr: DE283762194

w3: <a class="moz-txt-link-freetext" href="http://www.clean-mx.de">http://www.clean-mx.de</a>

e-Mail:   <a class="moz-txt-link-freetext" href="mailto:abuse@clean-mx.de">mailto:abuse@clean-mx.de</a>

PGP-KEY:   Fingerprint: A4E317B6DC6494DCC9616366A75AB34CDD0CE552 id: 

0xDD0CE552

Location: <a class="moz-txt-link-freetext" href="http://www.clean-mx.de/downloads/abuse-at-clean-mx.de.pub.asc">http://www.clean-mx.de/downloads/abuse-at-clean-mx.de.pub.asc</a>

</pre>

      <br>

    </div>

    <br>

  </body>

</html>