Forum Linux.debian/ubuntu Probleme de spam à partir de mon serveur

Posté par . Licence CC by-sa
Tags : aucun
1
6
jan.
2015

Bonjour J'ai actuellement un serveur sous linux.

Depuis quelque temps mon serveur est utilisé pour spammer

Quelqu'un aurait il des pistes de recherches pour savoir quels sont les fichiers incriminés.

Ou faut il regarder ?

Les logs, ou se trouvent ils ?

Que faut il rechercher ?

Mon niveau ?

Je suis capable de me connecter SSH, YES en SSH

Merci d'avance pour vos réponses et votre patience

Christian

  • # mauvaise configuration

    Posté par . Évalué à 2.

    AMA le plus probable est une mauvaise configuration du serveur mail, je t'invite à faire un test open relay sur http://mxtoolbox.com/diagnostic.aspx

    le cadre gris doit se terminer par
    RCPT TO: test@example.com
    454 4.7.1 test@example.com: Relay access denied [733 ms]

    • [^] # Re: mauvaise configuration

      Posté par . Évalué à 1.

      Bonjour.

      Merci de votre réponse.

      MxToolBox me dit: OK - Not an open relay

      Je penche plutôt pour un Cms non à jour, c'est pour cela que je pose la question par rapport aux logs.

      Respectueusement, Christian

      • [^] # Re: mauvaise configuration

        Posté par (page perso) . Évalué à 3.

        Si tu regardes dans les logs du mailer (sendmail, exim, postfix…) tu verras vite qui envoie des mails. C'est c'est l'utilisateur 'www-data' (ou apache ou…) alors c'est clairement un site.

        Tu peux ensuite soit activer le logging des sujets des mails (Exim: "+subject" dans log_selector), et tu auras les sujets des mails qui te diront peut-être quel site est concerné; soit croiser les logs du mailer à ceux d'apache (une requête web à 0, 1 ou 2 seconde(s) avant l'envoi du mail t'indiquera quel site/page envoie le mail)

        La gelée de coings est une chose à ne pas avaler de travers.

        • [^] # Re: mauvaise configuration

          Posté par . Évalué à 1.

          Bonjour Lol Zimmerli

          Merci de votre réponse.

          Avez vous une idée de ou peux se trouver le répertoire Postfix et les logs qui vont avec?

          Merci d'avance, Christian

          • [^] # Re: mauvaise configuration

            Posté par . Évalué à 2.

            Avez vous une idée de ou peux se trouver le répertoire Postfix et les logs qui vont avec?

            dans tout systeme il y a une logique,
            sous linux, les fichiers de configuration sont generalement sous /etc/
            et les fichiers de logs sous /var/log

            evidemment si tu as compilé ton propre postfix, tu peux lui avoir dit de prendre ses fichiers de configuration ailleurs,
            et tu as peut-etre personnalisé ces fichiers pour que les logs aillent aussi ailleurs que dans /var/log…

            mais ca il n'y a que toi pour le savoir.

            • [^] # Re: mauvaise configuration

              Posté par . Évalué à 1.

              RE-Bonjour

              En fait les ails semblent envoyés par la boite www-data@adressedemonserveur.org

              Evidemment cette boite n'existe pas

              Merci de votre réponse

              • [^] # Re: mauvaise configuration

                Posté par (page perso) . Évalué à 4.

                www-data est l'utilisateur du serveur web sous debian.

                Tu as donc un site avec une faille de sécurité qui a été exploitée, et ton pc est maintenant vérolé.

                Tu constate l'envoi de mail, mais il est probable que d'autres actions soient réalisées sans que tu ne t'en rende compte : il est probable que ton serveur soit contrôlé à distance via IRC (pour envoyer des mails, servir d'espace de téléchargement, scanner d'autres sites vulnérables, ou tout ce que tu peux imaginer).

                Commence par arrêter ton serveur web, et il va falloir prendre le temps de décortiquer ce qui ne tourne plus rond :

                • logs des sites
                • date de modifications des fichiers
                • etc…

                Bon courage.

                • [^] # Re: mauvaise configuration

                  Posté par . Évalué à 1.

                  Bonjour

                  Bon eh bien je suis dans le C…

                  Je sais pas comment je vais faire…

                  Merci, Christian

                  • [^] # Re: mauvaise configuration

                    Posté par (page perso) . Évalué à 2.

                    Commence par :

                    sudo service apache2 stop : ça va couper ton serveur web
                    sudo service apache2 start (quand tu auras besoin de le redémarrer)

                    Ensuite, dis nous un peu quel site est hébergé dessus ? Tu as des contrats de maintenance ou c'est juste un site perso ?

                    Qui s'est chargé de faire l'installation ?

                • [^] # Re: mauvaise configuration

                  Posté par . Évalué à 2.

                  Tu as donc un site avec une faille de sécurité qui a été exploitée, et ton pc est maintenant vérolé.

                  Pas forcément. L'attaquant peut exploiter un CMS pour écrire sans pour autant avoir le contrôle total.

                  Ça nous est arrivé sur notre serveur avec une appli maison codée de façon naïve qui permettait d'écrire n'importe où par n'importe qui (en gros).

                  Tu peux logger les appels à la fonction mail() de php:

                  http://php.net/manual/en/mail.configuration.php

                  et laisser tourner un peu pour voir.

  • # sans vouloir faire le truc de mauvaise augure

    Posté par (page perso) . Évalué à 1.

    Il faut réinstaller from scratch……

    cela prend moins de temps que de chercher à droite et gauche sans savoir si on a bien compris.

    Une sauvegarde d'avant le problème … et hop..

    • [^] # Re: sans vouloir faire le truc de mauvaise augure

      Posté par (page perso) . Évalué à 5.

      et hop…

      …le problème risque de revenir si l'on n'a pas compris ce qui a merdé.

      Quelle que soit la décision prise, il ne faut surtout pas la prendre à chaud. La priorité pour moi est de couper le service (il y a déjà suffisamment de spam sur le net, inutile d'en rajouter), mais surtout pas de réinstaller tout de suite, ni redémarrer la machine ( pour ne pas perdre le /tmp )

      À tête reposée :

      1. Identifier les sites

        • lister les sites installés sur le serveur (surtout ceux en php)
        • lister les sites qui n'ont pas été installés via les paquets officiels
        • lister tous les plugins intallés
      2. Archiver les logs.

      3. Faire des recherches à coup de find pour voir ce qui a été modifié récemment, dans les répertoires accessibles par tomcat; regarder aussi ce qui traîne dans /tmp, /var/tmp etc…

      4. Analyser, décortiquer, comprendre

      5. Corriger : est-ce qu'il manque des règles fail2ban, est-ce qu'il faut installer modsecurity etc.

      et seulement alors on peut réinstaller. La sécurité ne s'improvise pas, mais on ne l'apprend souvent qu'après coup…

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.