Discussion :

[rere02]

Bonjour à tous,

voilà je viens de passer la journée à comprendre ce qu'il s'est passé et je n'ai aucune explication.

Ce matin je codais tranquillement un script PHP permettant d'envoyer un mail le tout sur mon serveur dev.

Ne recevant pas la totalité des mails je suis allais voir ce qu'il se passait au niveau de postfix et là surprise, plus de 1000 mails en queue et ce n'était pas les miens ! Ceux-ci visaient des adresses italiennes.

J'ai analysé tous les logs et impossible de remonter l'origine !

- J'ai vérifié s'il n'y avait pas de script php vérollé bien que je sois le seul à avoir accès à mon serveur en local => RAS,
- J'ai vérifié mes ports depuis l'extérieur (il n'y a aucune redirection WAN -> LAN) rien d'ouvert => RAS (les seuls ports accessibles sont les ports HTTP et HTTPS).
- Logs apache => aucune connexion bizarre

J'ai juste fait la bêtise de faire un flush des mails en attente du coup je ne peux plus lire les en-têtes...

Donc si quelqu'un peut avoir une explication je suis preneur... J'en suis à me demander si c'est pas mon PC qui est vérolé et qu'un malware a scanné les ports du réseau local et a trouvé le port 25 ouvert du seveur.

Enfin il y a juste une chose qui a attiré mon attention, j'ai vu qu'hier il y a eu des tentatives d'accès (4) à mon interface zabbix :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
185.56.80.187 - - [19/Nov/2017:14:36:31 +0100] "POST /zabbix/jsrpc.php HTTP/1.1" 200 1401 "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_6; en-US) AppleWebKit/533.20.25 (KHTML, like Gecko) Version/5.0.4 Safari/533.20.27"
185.56.80.187 - - [19/Nov/2017:14:36:32 +0100] "POST /zabbix/api_jsonrpc.php HTTP/1.1" 200 415 "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_6; en-US) AppleWebKit/533.20.25 (KHTML, like Gecko) Version/5.0.4 Safari/533.20.27"
185.56.80.187 - - [19/Nov/2017:14:36:32 +0100] "POST /zabbix/api_jsonrpc.php HTTP/1.1" 200 391 "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_6; en-US) AppleWebKit/533.20.25 (KHTML, like Gecko) Version/5.0.4 Safari/533.20.27"
185.56.80.187 - - [19/Nov/2017:14:36:32 +0100] "POST /zabbix/api_jsonrpc.php HTTP/1.1" 200 1256 "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_6; en-US) AppleWebKit/533.20.25 (KHTML, like Gecko) Version/5.0.4 Safari/533.20.27

Et en faisant un htop tout à l'heure j'ai vu que zabbix me pompait énormément de CPU par rapport à d'habitude j'ai dû le redémarrer et l'utilisation des ressources est devenue comme avant...
Du coup je me connecte sur zabbix pour regarder mes graphs et comme par hasard ce pompage de ressource durée depuis le 19/11/2017 14h36... Coïncidence ?

Merci à vous !

Rémi

[mm_71]

Possiblement un bot spammer qui s'acharne. Ajouter

deny from 185.56.80.0/24

dans le htaccess devrait calmer le jeu.

https://ipinfo.io/AS43350/185.56.80.0/24

[rere02]

Possiblement un bot spammer qui s'acharne. Ajouter

deny from 185.56.80.0/24

dans le htaccess devrait calmer le jeu.

https://ipinfo.io/AS43350/185.56.80.0/24

Oui, c'est pour ça j'ai mis mon répertoire zabbix sous htpasswd comme ça problème réglé et sur zabbix j'ai supprimé l'utilisateur guest qui n'avait pas de mot de passe...

Par contre j'aimerais savoir si l'exploit mail vient bien de là, pourtant la connexion sur l'interface web zabbix à eu lieu hier et les spams ont eu lieu aujourd'hui sans qu'aucune autre connexion via apache n'ait été détectée...

A l'occasion il n'y a aucun lien et c'est autre chose. :/ Du coup la question demeure, quel proces a envoyé les mails via postfix ?

[mm_71]

Oui, c'est pour ça j'ai mis mon répertoire zabbix sous htpasswd comme ça problème réglé et sur zabbix j'ai supprimé l'utilisateur guest qui n'avait pas de mot de passe...

Dans le genre trou de sécurité il était joli celui-ci.

Par contre j'aimerais savoir si l'exploit mail vient bien de là, pourtant la connexion sur l'interface web zabbix à eu lieu hier et les spams ont eu lieu aujourd'hui sans qu'aucune autre connexion via apache n'ait été détectée...

Ce qui tendrait à prouver que c'est à partir des informations trouvées sur zabbix que l'auteur à opéré.

Du coup la question demeure, quel proces a envoyé les mails via postfix ?

Sans les en têtes de mails impossible à savoir, mais si les 1000 mails avaient tous le même contenu il est possible que le "modèle" aie été implanté quelque part sur le site ou dans une base de données. Peut-être un truc genre injection SQL ? Seul celui qui a le plein accès au site pourra éventuellement trouver la réponse.
Penser aussi qu'aucun répertoire ne doit être listable.
Si un pirate a installé un truc pourri ce sera dans un répertoire caché et souvent bien caché dans un sous répertoire.