Discussion :

[rhinoceros]

Salut tout le monde,

J'ai reçu aujourd'hui une notification de la part d'OVH.

Objet: Détection de spams sur l'IP xx.xx.xx.xx


J'ai vérifié de suite la queue des emails:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

postqueue -p

Rien à signalr.

J'ai analysé les logs phpmaillog: Rien à signaler

J'ai lancé une petit recherche sur Google, puis j'ai essayé cette manipulation:
How to track and stop outgoing SPAM?


Résultat:

Est ce que quelqu'un pourrait m'expliquer l'avant dernière ligne ?

Tout de suite j'ai fait la liaison avec Frederick Mayer (spy)

Le domaine fvds.ru pointe sur une entreprise spécialisée dans la création de logiciels espions multi-devices et multi-plateformes !!!
C'est quoi se délire ?!!

Est ce que quelqu'un a vécu une expérience similaire ?

NB:
- Je suis l'unique personne qui gère le serveur
- Mot de passe SSH complexe
- OS: CentOs 6

Je pense que l'unique solution pour les pirates c'est le 8080 (en exploitant une faille sur un des sites clients).

J'ai besoin de votre aide (sur tout les experts) pour pouvoir stopper le SPAM et sécuriser mon serveur.
Je reste à votre entière disposition pour toute précision.

Merci

[supersnail]

Bonjour,

Sinon regarder les logs de ton serveur web/auth.log me semble être une bonne idée déjà pour être fixé sur l'origine de l'infection (ainsi qu'identifier le PID du bot, pour éventuellement récupérer l'agent pathogène pour éventuellement l'analyser/le disséquer post-mortem).

[rhinoceros]

Le souci c'est que les messages interceptés par OVH en tant que SPAM ne figurent pas dans la queue de postfix ni mailq !!
Donc je ne peux pas analyser le contenu du emails.
Je sais pas l'origine des ces mails.

@supersnail

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

locate auth.log

Aucun résultat !

Une autre piste ?

[supersnail]

Bonjour,

C'est dans /var/log normalement (à moins que tu utilises systemd auquel cas il faudrait ressortir les logs via un journalctl -u sshd).

Sinon que renvoie netstat -p ? T'as regardé les logs de ton serveur web ? (dans /var/log/httpd/ si tu utilises apache, et /var/log/nginx/ pour nginx)

[ericduval]

Bonjour,

Si tu soupçonnes que les courriers émis le sont via un de tes sites WEB
et que tu utilises PHP alors il est facile de tracer la chose avec une config un peu comme celle-ci :

Dans ton VirtualHost tu ajoutes les directives :

php_admin_value mail.log <path>/phpmail.log
php_admin_flag mail.add_x_header on

php_admin_value sendmail_path "/usr/sbin/sendmail -t -i"
et pour tracer tu remplaces par
php_admin_value sendmail_path "/usr/sbin/no-sendmail"

Tu peux faire pointer no-sendmail vers un script, ici en PERL :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
 
#! /usr/bin/perl
 
$phpmaillog = '<path>/mail.log';
$fmail = '<path>/phpmail.' . $$;
 
open (FIC,'>>'.$phpmaillog);
open (FMAIL,'>'.$fmail);
 
print (FIC "============================================\n");
 
print ( FIC "DATE = " . `date` . "\n" );
 
print (FIC $_,$ENV{$_},"\n") foreach (keys %ENV);
 
print (FIC "--------------------------------------------\n");
 
while (<STDIN>) { print FIC; print FMAIL; }
 
print (FIC "============================================\n");
 
close(FIC);
close(FMAIL);
 
exec "/usr/sbin/sendmail -t -i < $fmail";
 
exit 0;

Sinon, n'autoriser que des connexions SMTP authentifiées sur ton port de submission (587)
et éventuellement le port 465.

[c_hristophe]

Si tu héberges du Wordpress ( plugin pas mis à jour "ou pas").
Ce sont très souvent des plugins hackés qui servent à envoyer du SPAM !