Discussion :

[erman_yazid]

Bonjour les amis,

Je suis responsable d'un serveur dédié, et j'ai reçu, il y a deux jours, un courrier de la part de l'hébergeur disant qu'on a dépassé la limite d’envoi de messages par jour, et qui est 1000, dans mes fichiers logs, j'ai trouvé qu'un message a été envoyé des milliers fois de anonymous@<le nom de mon serveur>.ip.secureserver.net vers l'adresses émail: psychotron37@yahoo.com

Un extrait du Log:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
Oct 10 00:10:54 <nom de serveur> qmail-queue-handlers[8292]: Handlers Filter before-queue for qmail started ...
Oct 10 00:10:54 <nom de serveur> qmail-queue-handlers[8292]: from=anonymous@<nom de serveur>.ip.secureserver.net
Oct 10 00:10:54 <nom de serveur> qmail-queue-handlers[8292]: to=psychotron37@yahoo.com
Oct 10 00:10:54 <nom de serveur> qmail-queue-handlers[8292]: hook_dir = '/opt/psa/handlers/before-queue'
Oct 10 00:10:54 <nom de serveur> qmail-queue-handlers[8292]: recipient[3] = 'psychotron37@yahoo.com'
Oct 10 00:10:54 <nom de serveur> qmail-queue-handlers[8292]: handlers dir = '/opt/psa/handlers/before-queue/recipient/psychotron37@yahoo.com'
Oct 10 00:10:54 <nom de serveur> qmail-queue-handlers[8292]: starter: submitter[8294] exited normally
Oct 10 00:10:54 <nom de serveur> qmail: 1318230654.099230 new msg 12429470
Oct 10 00:10:54 <nom de serveur> qmail: 1318230654.099249 info msg 12429470: bytes 397 from <anonymous@<nom de serveur>.ip.secureserver.net> qp 8294 uid 33
Oct 10 00:10:54 <nom de serveur> qmail: 1318230654.100644 starting delivery 493: msg 12429470 to remote psychotron37@yahoo.com
Oct 10 00:10:54 <nom de serveur> qmail: 1318230654.100670 status: local 0/10 remote 1/20

Comment je peux lire ce log, et est ce que c'est dangereux comme un problème?quels sont les précautions que je dois faire au plutôt?

[sevyc64]

Dans la mesure ou tu constate bien le problème dans les logs de ton serveur, le problème vient bien de ton serveur/réseau, il ne s'agit pas d'une usurpation d’identité sur internet.

Cela signifie soit que ton serveur a attraper un virus ou un logiciel malveillant, soit que quelqu'un s'y est introduit. On peut aussi imaginer une fonction d'envoi de mail tout à fait légitime qui est partie en vrille.

Au delà du fait que tu risque de te faire blacklister si tu ne corrige pas le problème rapidement, il y a quand même un doute sérieux sur la sécurité de ton serveur avec le risque de vol de données.

LA première chose à faire est de rechercher des logiciels ou code malveillant sur ton serveur avec un antivirus et un antimalware à jour. Si tu héberge un site web, vérifie que les pages et autres scripts n'ont pas été modifier à ton insu.
A vérifier aussi les logs de connections pour identifier un éventuel piratage du serveur, et si possible change les différents mots de passe (à faire au minimum après le nettoyage pour éviter que l'éventuel code malveillant n’envoie les nouveau mdp à son propriétaire)

[erman_yazid]

Merci sevyc64,

Mais est ce que tu peux suggérer des moyen pour rechercher des logiciels ou code malveillant sur mon serveur?! surtout que c'est Linux et n'est pas Windows!

Dans mes log j'ai trouvé ces extraits bizarres:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
Oct 14 09:00:19 ip<nom de serveur> sshd[1114]: reverse mapping checking getaddrinfo for host-81.10.116.195.tedata.net [81.10.116.195] failed - POSSIBLE BREAK-IN ATTEMPT!
Oct 14 09:00:35 ip<nom de serveur> sshd[1114]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=81.10.116.195  user=<username>
Oct 14 09:00:37 ip<nom de serveur> sshd[1114]: Failed password for <username> from 81.10.116.195 port 52110 ssh2
Oct 14 09:00:44 ip<nom de serveur> sshd[1114]: Accepted password for <username> from 81.10.116.195 port 52110 ssh2
Oct 14 09:48:35 ip<nom de serveur> sshd[1200]: Received disconnect from 81.10.116.195: 11: disconnected by user

Si le "reverse mapping" ne signifie pas nécessairement un piratage, c'est peut être moi alors quand j'ai connecté d'une ville jordanienne près de l'Egypte, et c'est l'explication de fait que cet IP est pour un opérateur égyptien alors que personne en Égypte n'a un accès SSH sur mon serveur.

Si je n'ai trouvé aucun acces externe, que je dois faire? est ce que c'est possible pour un hacker ou bien un script d'envoyer des e-mails sans intervention externe?!


et quand je dois changer mes mot de passes?!

[Elendhil]

Oui si ton MTA(ici Qmail apparement) est mal configuré il peut servir de relais à l'envoie de spam c'est en général ce que cherche les "pirates" .
Tu peux recevoir jusqu'à une 20 de tentatives par jour de la part de spammeur qui teste si la configuration du MTA est une passoire et pourrait leur permettre un envoi massif de spams.

anonymous@<le nom de mon serveur>.ip.secureserver.net

Si cette adresse est pas à toi c'est que ton mta est mal configuré , en principe il refuse les mails provenant d'adresse de messagerie qui sont pas dans la bdd.

[erman_yazid]

Merci Elendhil,

Oui, c'est exactement ça mon problème, en fait, j'ai pas d'utilisateur anonymous sur mon serveur!

bon, que est ce que tu suggère a fin de bien configurer mon MTA?!
est ce qu'il y a de tutoriels simples?

[Elendhil]

Je ne peux pas vraiment aider beaucoup plus , je connais pas trop le domaine ...
J'ai juste installé postfix+dovecot+sasl sur mon serveur en suivant un tuto sur le net , tu dois en avoir aussi pour qmail.

J'ai pas gardé le lien du tuto que j'avais suivis , tien je t'en donne un autre après une petite recherche sur google avec les mots clé cité plus haut:

Tutorial postfix

Sinon postfix est peut-être plus simple à installer que Qmail, il y a l'air d'avoir beaucoup plus de tuto complet. J'ai l'impression que Qmail c'est plus orienté vers les gros serveurs de messagerie avec plusieurs milliers d'adresses mails.

Bonne chance.