Bonjour,
Je dispose d’un serveur sous Debian 6.0 et je viens de me rendre compte que ce serveur balançait des centaines de milliers d’email dans la nature. J’ai réussi à stopper l’hémorragie en arrêtant le serveur apache mais dès que je redémarre le serveur apache, cela repart plein pot. J’avais repéré un crontab qui se créait pour www-data et j’ai donc bloqué l’accès à la crontab pour www-tab mais cela ne suffit pas.
J’ai passé un rkhunter --checkall qui n’a rien trouvé. Le apt-get pdate/upgrade dit que tout est à jour.
Quelqu’un aurait une idée ?
merci d’avance,
as tu identifié l’outil qui envoie les mail ? un script php ?
Faut aussi identifier comment il a put poser le fichier, si ton serveur a été craqué, il faut le re installer pour éviter que le loup soit encore dans la bergerie …
Je te renverrai bien sur ce sujet histoire d’y voir ma réponse :
attaques-via-apache-sur-squeeze-t45798.html#p459309
Ce n’est pas forcement l’exploitation de la faille récemment exploité des vielles version de ‘CGI-bin’ mais cherche du côté de vieux scripts moisi en PHP.
Regarde aussi si tu autorise le ‘relais’ mail non sécurisé et si tout tes scripts de ‘phpmailer’ sont sécurisés.
merci de la réponse. Finalement, j’ai trouvé dans le site Web hébergé un script en php activé à distance qui d’une part se dépêchait de mettre en crontab un appel à un script qu’il avait écrit dans /tmp et d’autre part, envoyait lui même des tonnes de mails. Ce qui est bizarre, c’est que clamav et rkhunter ne voyaient rien mais comme le corps du virus était encodé en base64, cela doit être difficile de le repérer.
Bon, tout va bien maintenant mais il va falloir du temps avant que gmail, yahoo, hotmail, free ne me laisse envoyer des mails 