Bonjour à tous,
voilà je viens de passer la journée à comprendre ce qu'il s'est passé et je n'ai aucune explication.
Ce matin je codais tranquillement un script PHP permettant d'envoyer un mail le tout sur mon serveur dev.
Ne recevant pas la totalité des mails je suis allais voir ce qu'il se passait au niveau de postfix et là surprise, plus de 1000 mails en queue et ce n'était pas les miens ! Ceux-ci visaient des adresses italiennes.
J'ai analysé tous les logs et impossible de remonter l'origine !
- J'ai vérifié s'il n'y avait pas de script php vérollé bien que je sois le seul à avoir accès à mon serveur en local => RAS,
- J'ai vérifié mes ports depuis l'extérieur (il n'y a aucune redirection WAN -> LAN) rien d'ouvert => RAS (les seuls ports accessibles sont les ports HTTP et HTTPS).
- Logs apache => aucune connexion bizarre
J'ai juste fait la bêtise de faire un flush des mails en attente du coup je ne peux plus lire les en-têtes...
Donc si quelqu'un peut avoir une explication je suis preneur... J'en suis à me demander si c'est pas mon PC qui est vérolé et qu'un malware a scanné les ports du réseau local et a trouvé le port 25 ouvert du seveur.
Enfin il y a juste une chose qui a attiré mon attention, j'ai vu qu'hier il y a eu des tentatives d'accès (4) à mon interface zabbix :
Et en faisant un htop tout à l'heure j'ai vu que zabbix me pompait énormément de CPU par rapport à d'habitude j'ai dû le redémarrer et l'utilisation des ressources est devenue comme avant...
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4 185.56.80.187 - - [19/Nov/2017:14:36:31 +0100] "POST /zabbix/jsrpc.php HTTP/1.1" 200 1401 "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_6; en-US) AppleWebKit/533.20.25 (KHTML, like Gecko) Version/5.0.4 Safari/533.20.27" 185.56.80.187 - - [19/Nov/2017:14:36:32 +0100] "POST /zabbix/api_jsonrpc.php HTTP/1.1" 200 415 "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_6; en-US) AppleWebKit/533.20.25 (KHTML, like Gecko) Version/5.0.4 Safari/533.20.27" 185.56.80.187 - - [19/Nov/2017:14:36:32 +0100] "POST /zabbix/api_jsonrpc.php HTTP/1.1" 200 391 "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_6; en-US) AppleWebKit/533.20.25 (KHTML, like Gecko) Version/5.0.4 Safari/533.20.27" 185.56.80.187 - - [19/Nov/2017:14:36:32 +0100] "POST /zabbix/api_jsonrpc.php HTTP/1.1" 200 1256 "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_6; en-US) AppleWebKit/533.20.25 (KHTML, like Gecko) Version/5.0.4 Safari/533.20.27
Du coup je me connecte sur zabbix pour regarder mes graphs et comme par hasard ce pompage de ressource durée depuis le 19/11/2017 14h36... Coïncidence ?
Merci à vous !
Rémi
Partager