Bonjour J'ai actuellement un serveur sous linux.
Depuis quelque temps mon serveur est utilisé pour spammer
Quelqu'un aurait il des pistes de recherches pour savoir quels sont les fichiers incriminés.
Ou faut il regarder ?
Les logs, ou se trouvent ils ?
Que faut il rechercher ?
Mon niveau ?
Je suis capable de me connecter SSH, YES en SSH
Merci d'avance pour vos réponses et votre patience
Christian
# mauvaise configuration
Posté par cellophane . Évalué à 2.
AMA le plus probable est une mauvaise configuration du serveur mail, je t'invite à faire un test open relay sur http://mxtoolbox.com/diagnostic.aspx
le cadre gris doit se terminer par
RCPT TO: test@example.com
454 4.7.1 test@example.com: Relay access denied [733 ms]
[^] # Re: mauvaise configuration
Posté par christian59 . Évalué à 1.
Bonjour.
Merci de votre réponse.
MxToolBox me dit: OK - Not an open relay
Je penche plutôt pour un Cms non à jour, c'est pour cela que je pose la question par rapport aux logs.
Respectueusement, Christian
[^] # Re: mauvaise configuration
Posté par Lol Zimmerli (site web personnel, Mastodon) . Évalué à 3.
Si tu regardes dans les logs du mailer (sendmail, exim, postfix…) tu verras vite qui envoie des mails. C'est c'est l'utilisateur 'www-data' (ou apache ou…) alors c'est clairement un site.
Tu peux ensuite soit activer le logging des sujets des mails (Exim: "+subject" dans log_selector), et tu auras les sujets des mails qui te diront peut-être quel site est concerné; soit croiser les logs du mailer à ceux d'apache (une requête web à 0, 1 ou 2 seconde(s) avant l'envoi du mail t'indiquera quel site/page envoie le mail)
La gelée de coings est une chose à ne pas avaler de travers.
[^] # Re: mauvaise configuration
Posté par christian59 . Évalué à 1.
Bonjour Lol Zimmerli
Merci de votre réponse.
Avez vous une idée de ou peux se trouver le répertoire Postfix et les logs qui vont avec?
Merci d'avance, Christian
[^] # Re: mauvaise configuration
Posté par NeoX . Évalué à 2.
dans tout systeme il y a une logique,
sous linux, les fichiers de configuration sont generalement sous
/etc/et les fichiers de logs sous
/var/logevidemment si tu as compilé ton propre postfix, tu peux lui avoir dit de prendre ses fichiers de configuration ailleurs,
et tu as peut-etre personnalisé ces fichiers pour que les logs aillent aussi ailleurs que dans /var/log…
mais ca il n'y a que toi pour le savoir.
[^] # Re: mauvaise configuration
Posté par christian59 . Évalué à 1.
RE-Bonjour
En fait les ails semblent envoyés par la boite www-data@adressedemonserveur.org
Evidemment cette boite n'existe pas
Merci de votre réponse
[^] # Re: mauvaise configuration
Posté par chimrod (site web personnel) . Évalué à 4.
www-data est l'utilisateur du serveur web sous debian.
Tu as donc un site avec une faille de sécurité qui a été exploitée, et ton pc est maintenant vérolé.
Tu constate l'envoi de mail, mais il est probable que d'autres actions soient réalisées sans que tu ne t'en rende compte : il est probable que ton serveur soit contrôlé à distance via IRC (pour envoyer des mails, servir d'espace de téléchargement, scanner d'autres sites vulnérables, ou tout ce que tu peux imaginer).
Commence par arrêter ton serveur web, et il va falloir prendre le temps de décortiquer ce qui ne tourne plus rond :
Bon courage.
[^] # Re: mauvaise configuration
Posté par christian59 . Évalué à 1.
Bonjour
Bon eh bien je suis dans le C…
Je sais pas comment je vais faire…
Merci, Christian
[^] # Re: mauvaise configuration
Posté par chimrod (site web personnel) . Évalué à 2.
Commence par :
sudo service apache2 stop: ça va couper ton serveur websudo service apache2 start(quand tu auras besoin de le redémarrer)Ensuite, dis nous un peu quel site est hébergé dessus ? Tu as des contrats de maintenance ou c'est juste un site perso ?
Qui s'est chargé de faire l'installation ?
[^] # Re: mauvaise configuration
Posté par jihele . Évalué à 2.
Pas forcément. L'attaquant peut exploiter un CMS pour écrire sans pour autant avoir le contrôle total.
Ça nous est arrivé sur notre serveur avec une appli maison codée de façon naïve qui permettait d'écrire n'importe où par n'importe qui (en gros).
Tu peux logger les appels à la fonction mail() de php:
http://php.net/manual/en/mail.configuration.php
et laisser tourner un peu pour voir.
# sans vouloir faire le truc de mauvaise augure
Posté par hervé Couvelard . Évalué à 1.
Il faut réinstaller from scratch……
cela prend moins de temps que de chercher à droite et gauche sans savoir si on a bien compris.
Une sauvegarde d'avant le problème … et hop..
[^] # Re: sans vouloir faire le truc de mauvaise augure
Posté par chimrod (site web personnel) . Évalué à 5.
…le problème risque de revenir si l'on n'a pas compris ce qui a merdé.
Quelle que soit la décision prise, il ne faut surtout pas la prendre à chaud. La priorité pour moi est de couper le service (il y a déjà suffisamment de spam sur le net, inutile d'en rajouter), mais surtout pas de réinstaller tout de suite, ni redémarrer la machine ( pour ne pas perdre le /tmp )
À tête reposée :
Identifier les sites
Archiver les logs.
Faire des recherches à coup de find pour voir ce qui a été modifié récemment, dans les répertoires accessibles par tomcat; regarder aussi ce qui traîne dans /tmp, /var/tmp etc…
Analyser, décortiquer, comprendre
Corriger : est-ce qu'il manque des règles fail2ban, est-ce qu'il faut installer modsecurity etc.
et seulement alors on peut réinstaller. La sécurité ne s'improvise pas, mais on ne l'apprend souvent qu'après coup…
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.