Discussion :

[den66]

Bonjour à tous
Je crains que ce soit un problème de sécurité mais je n'en suis pas sur...

Voilà, je ne comprends pas mais quand je regarde les logs de postfix (/var/log/mail.log) je vois des choses comme ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
Aug 21 14:17:25 den02 postfix/smtp[967]: 7DB024D874: to=<lucad63@tiscalinet.it>, relay=etb-4.mail.tiscali.it[213.205.33.61]:25, delay=236935, delays=236811/0.07/123/0, dsn=4.0.0, status=deferred (host etb-4.mail.tiscali.it[213.205.33.61] refused to talk to me: 554 cmgw-2.mail.tiscali.it  ZoHe1t0231D2zH201 IP: 46.226.109.56, You are not allowed to send mail. Please see http://csi.cloudmark.com/reset-request/?ip=46.226.109.56 if you feel this is in error.)
Aug 21 14:17:27 den02 postfix/smtp[1069]: A3B8653282: to=<marko.pt@tiscalinet.it>, relay=etb-1.mail.tiscali.it[213.205.33.64]:25, delay=74208, delays=74084/0.49/124/0, dsn=4.0.0, status=deferred (host etb-1.mail.tiscali.it[213.205.33.64] refused to talk to me: 554 cmgw-3.mail.tiscali.it  ZoHg1t01K1D2zH201 IP: 46.226.109.56, You are not allowed to send mail. Please see http://csi.cloudmark.com/reset-request/?ip=46.226.109.56 if you feel this is in error.)
Aug 21 14:17:27 den02 postfix/smtp[1061]: 77B9F54302: to=<blackwhite84@tiscali.it>, relay=etb-3.mail.tiscali.it[213.205.33.61]:25, delay=418099, delays=417974/0.48/125/0, dsn=4.0.0, status=deferred (host etb-3.mail.tiscali.it[213.205.33.61] refused to talk to me: 554 cmgw-1.mail.tiscali.it  ZoHg1t01V1D2zH201 IP: 46.226.109.56, You are not allowed to send mail. Please see http://csi.cloudmark.com/reset-request/?ip=46.226.109.56 if you feel this is in error.)
Aug 21 14:17:27 den02 postfix/smtp[1057]: 71CF853977: to=<fiocco.an@tiscali.it>, relay=etb-3.mail.tiscali.it[213.205.33.62]:25, delay=59130, delays=59005/0.35/125/0, dsn=4.0.0, status=deferred (host etb-3.mail.tiscali.it[213.205.33.62] refused to talk to me: 554 cmgw-1.mail.tiscali.it  ZoHh1t00x1D2zH201 IP: 46.226.109.56, You are not allowed to send mail. Please see http://csi.cloudmark.com/reset-request/?ip=46.226.109.56 if you feel this is in error.)
Aug 21 14:17:31 den02 postfix/smtp[1093]: 10E814C651: to=<mkafterblu@tiscalinet.it>, relay=etb-4.mail.tiscali.it[213.205.33.63]:25, delay=43674, delays=43546/0.1/128/0, dsn=4.0.0, status=deferred (host etb-4.mail.tiscali.it[213.205.33.63] refused to talk to me: 554 cmgw-1.mail.tiscali.it  ZoHl1t00N1D2zH201 IP: 46.226.109.56, You are not allowed to send mail. Please see http://csi.cloudmark.com/reset-request/?ip=46.226.109.56 if you feel this is in error.)
Aug 21 14:18:02 den02 postfix/smtpd[1516]: warning: hostname static196-113-236-206-196.adsl196-8.iam.net.ma does not resolve to address 196.206.236.113: Name or service not known

Ou ce qui me semble pire des choses comme ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
Aug 22 16:27:38 den02 postfix/qmgr[17471]: 4CD2C21210: from=<stacy_ramos@3atp.org>, size=1206, nrcpt=1 (queue active)
Aug 22 16:27:38 den02 postfix/qmgr[17471]: 4932021240: from=<nadine_glover@inaden.org>, size=1206, nrcpt=1 (queue active)
Aug 22 16:27:38 den02 postfix/qmgr[17471]: 437472126D: from=<guadalupe_reid@inaden.org>, size=1224, nrcpt=1 (queue active)

Avec des adresses mail sur les noms de domaine qui sont sur le serveur.

Du coup, j'ai désinstallé postfix et l'ai réinstallé... mais le premier type de log est vite réapparu. Aussi je l'ai arrêté et si quelqu'un peut me dire ce qu'il se passe ce serait super. Merci d'avance pour votre aide.
Denis

[manry]

Salut, je remarque tu as des messages en queue,

avec un postif lancé que te renvoie la commande

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

postqueue -p

ou bien

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

mailq

au choix.

Une fois fait, note l'ID d'un mail qui te semble bizzare et fais un

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

postcat -q ID

qui te donnera plus de détails sur le mail en question.

[den66]

Merci manry.
Je teste cela... mais ça va envoyé tous les mail en queue qui sont des mails dont je suis certains qu'il n'ont rien à voir avec les trois site peu fréquenté qui sont sur le serveur.
Je reviens au plus tard demain avec les résultats.
Encore merci pour ton aide.
Denis

[den66]

J'ai trouve un mail du 22 et quand je fais postcat -q ID j'ai un mail de cul !
Sexy Leticia toys her dans un mail html avec tout le reste... !
Je vais étudier le lien que tu m'a donné.
Encore merci.

[manry]

Tu fais maintenant parti d'un réseau de spam, maintenant tu as plus bpc de solutions:

dans un premier temps tu stop tes services succeptibles d'envoyer des mails (rapidement histoire de pas te faire blacklister ton ip), puis:

- soit tu efface toutes les données de ton site et tu repars sur une version clean mais ton problème de sécu n'est pas corrigé et tu te refera hack plus tard
- soit tu coup l'accès au serveur et tu analyse les logs (au besoin fais toi aider par quelqu'un pour l'analyse des logs) et fais un audit de tes applications ou même mieux de ton serveur complet, il est possible qu'ils soient passés par ailleurs que ton appli web...

tu peux aussi regarder les mails si tu as de la chance parfois tu as des indices sur le fichier qui a généré le spam (du déjà vu) mais c'est plutôt rare

@+

[den66]

Ouais... c'est la merde !

J'ai essayé ça :
# trouver la ligne "mail.log" et la compléter comme ceci :
mail.log = /var/log/mail.php.log

Mais ça ne fonctionne pas.
Donc d'après toi le truc est planqué dans un fichier sur un des sites. Du coup, si je transfère mes sites sur un autre serveur je vais transférer les fichiers coupables...

Tu connais quelqu'un qui fait des audits !