Bonjour,
J’ai eu une attaque ce matin, avec l’envoi d’environ 35 000 emails depuis mon serveur.
Je ne sais pas trop comment m’y prendre pour régler ce problème, surtout empêcher ce flood.
Pour commencer j’ai fait :
J’obtiens ceci (échantillon) :
[code]62CD0258989F 4018 Wed Aug 13 09:45:03 www-data@ns1.mondomaine.tld
(delivery temporarily suspended: connect to mx3.bol.com.br[200.147.36.13]:25: Connection timed out)
brunomensatti@bol.com.br
6BF392585DCD 4018 Wed Aug 13 08:53:11 www-data@ns1.mondomaine.tld
(connect to grego.hardonline.com.br[189.126.224.17]:25: Connection timed out)
aciaof@hardonline.com.br[/code]
Tous les emails se finissent par .com.br
Je regarde le contenu d’un email :
[code]*** ENVELOPE RECORDS deferred/8/8BEE125896F6 ***
message_size: 3978 670 1 0 3978
message_arrival_time: Wed Aug 13 09:43:25 2014
create_time: Wed Aug 13 09:43:25 2014
named_attribute: log_ident=8BEE125896F6
named_attribute: rewrite_context=local
sender: www-data@ns1.mondomain.tld
named_attribute: log_client_name=localhost.localdomain
named_attribute: log_client_address=127.0.0.1
named_attribute: log_client_port=56729
named_attribute: log_message_origin=localhost.localdomain[127.0.0.1]
named_attribute: log_helo_name=localhost
named_attribute: log_protocol_name=ESMTP
named_attribute: client_name=localhost.localdomain
named_attribute: reverse_client_name=localhost.localdomain
named_attribute: client_address=127.0.0.1
named_attribute: client_port=56729
named_attribute: helo_name=localhost
named_attribute: protocol_name=ESMTP
named_attribute: client_address_type=2
warning_message_time: Wed Aug 13 10:43:25 2014
named_attribute: dsn_orig_rcpt=rfc822;brui@ig.com.br
original_recipient: brui@ig.com.br
recipient: brui@ig.com.br
*** MESSAGE CONTENTS deferred/8/8BEE125896F6 ***
Received: from localhost (localhost.localdomain [127.0.0.1])
by ns1.mondomaine.tld (Postfix) with ESMTP id 8BEE125896F6
for brui@ig.com.br; Wed, 13 Aug 2014 09:43:25 +0200 (CEST)
X-Virus-Scanned: Debian amavisd-new at ns1.mondomaine.tld
X-Amavis-Alert: BAD HEADER SECTION, Non-encoded 8-bit data (char F4 hex):
Subject: Fw:Enc: Caixa Econ\303\264mica Federal Au[…]
Received: from ns1.mondomaine.tld ([127.0.0.1])
by localhost (ns1.mondomaine.tld [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id w64Kwc_Wqb0y for brui@ig.com.br;
Wed, 13 Aug 2014 09:43:25 +0200 (CEST)
Received: by ns1.mondomaine.tld (Postfix, from userid 33)
id 0EBA925874B4; Wed, 13 Aug 2014 08:42:07 +0200 (CEST)
To: brui@ig.com.br
Subject: Fw:Enc: Caixa Econômica Federal Autenticação: N78L41A35P6 13/08/2014 08:37:57
X-PHP-Originating-Script: 1000:send.php?.php
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
From: brui@ig.com.br
Message-Id: 20140813071020.0EBA925874B4@ns1.mondomaine.tld
Date: Wed, 13 Aug 2014 08:42:07 +0200 (CEST)

Prezado Cliente :
Seja bem vindo (a) ao Caixa Internet Banking.
Informamos que desde o dia
20º de Julho de 2014, o sistema de
identificação da Caixa Econômica
Federal atualizou, e para garantirmos o acesso aos serviços
Internet Banking CAIXA, é de extrema
importância confirmar essa atualização.
Caso o recadastramento
não seja efetuado, você não terá
acesso aos serviços Caixa Internet
Banking e seu acesso em todos os canais Caixa serão bloqueados.
Para acessar o auto-atendimento é necessário efetuar
nesta máquina, o recadastramento da
solução de segurança da Internet Banking, para
continuar utilizando de nossos serviços.
Clique no link abaixo e siga as
instruções atentamente.
http://www.caixa.com.br/ver/cadastro
(Atualização e privada para você cliente,
não compartilhe este aplicativo)
Atenção:
Caso não conste em nossa rede de atendimento a
atualização, sua conta será bloqueada
e o desbloqueio só poderá ser realizado nas
agências da Caixa Econômica Federal.

*** HEADER EXTRACTED deferred/8/8BEE125896F6 ***
*** MESSAGE FILE END deferred/8/8BEE125896F6 ***[/code]
J’ai l’impression que c’est envoyé depuis un fichier “send.php” sur mon serveur, non ?
De même, j’ai l’impression, que c’est envoyé depuis mon serveur ? et non mon serveur qui répond à une requête ?
Je me dis, si c’est envoyé depuis mon serveur, je vais tenter de trouver le fichier (j’ai aussi fait un updatedb au cas où) :
/boot/grub/sendkey.mod
/etc/amavis/en_US/template-spam-sender.txt
/etc/amavis/en_US/template-virus-sender.txt
/etc/fail2ban/action.d/sendmail-buffered.conf
/etc/fail2ban/action.d/sendmail-whois-lines.conf
/etc/fail2ban/action.d/sendmail-whois.conf
/etc/fail2ban/action.d/sendmail.conf
/etc/init.d/sendsigs
/etc/rc0.d/K04sendsigs
/etc/rc6.d/K04sendsigs
/usr/lib/sendmail
/usr/lib/grub/i386-pc/sendkey.mod
/usr/sbin/sendmail
/usr/share/doc/amavisd-new/README.sendmail-dual.gz
/usr/share/doc/amavisd-new/README.sendmail-dual.old.gz
/usr/share/doc/amavisd-new/README.sendmail.gz
/usr/share/doc/libmailtools-perl/demos/send_demo
/usr/share/doc/libmime-tools-perl/examples/mimesend
/usr/share/doc/libmime-tools-perl/examples/mimesender
/usr/share/doc/tcpdump/examples/send-ack.awk
/usr/share/man/fr/man2/mq_timedsend.2.gz
/usr/share/man/fr/man2/send.2.gz
/usr/share/man/fr/man2/sendfile.2.gz
/usr/share/man/fr/man2/sendfile64.2.gz
/usr/share/man/fr/man2/sendmmsg.2.gz
/usr/share/man/fr/man2/sendmsg.2.gz
/usr/share/man/fr/man2/sendto.2.gz
/usr/share/man/fr/man3/mq_send.3.gz
/usr/share/man/fr/man3/mq_timedsend.3.gz
/usr/share/man/fr/man3/res_send.3.gz
/usr/share/man/fr/man3/svc_sendreply.3.gz
/usr/share/man/fr/man3/tcsendbreak.3.gz
/usr/share/man/man1/sendmail.1.gz
/usr/share/perl5/Mail/Mailer/sendmail.pm
/usr/share/squirrelmail/locale/bn_BD/LC_MESSAGES/restrict_senders.mo
/usr/share/squirrelmail/locale/de_DE/LC_MESSAGES/restrict_senders.mo
/usr/share/squirrelmail/locale/fy/LC_MESSAGES/restrict_senders.mo
/usr/share/squirrelmail/locale/km/LC_MESSAGES/restrict_senders.mo
/usr/share/squirrelmail/locale/lt_LT/LC_MESSAGES/restrict_senders.mo
/usr/share/squirrelmail/locale/nl_NL/LC_MESSAGES/restrict_senders.mo
/usr/share/squirrelmail/locale/nn_NO/LC_MESSAGES/restrict_senders.mo
/usr/share/squirrelmail/locale/sv_SE/LC_MESSAGES/restrict_senders.mo
/usr/share/squirrelmail/locale/vi_VN/LC_MESSAGES/restrict_senders.mo
/usr/share/vim/vim73/ftplugin/gitsendemail.vim
/usr/share/vim/vim73/syntax/gitsendemail.vim
/usr/share/vim/vim73/syntax/sendpr.vim
/var/www/postfixadmin/sendmail.php
/var/www/postfixadmin/templates/sendmail.php
Le fichier ne s’y trouve pas !
J’ai regardé les fichiers
/var/log/apache2/access.log et /var/log/apache2/error.log
Dans error.log j’ai quelques erreurs comme :
J’ai scanné son ftp, il y a une tonne de documents, en espagnol, dont des documents pour envoyer en masse des emails… mais j’ai l’impression que cette tentative n’a pas fonctionnée, enfin, sinon ca serait pas dans erreur non ?
dans access.log je n’ai rien trouvé de spécial …
Des idées de la manière d’agir ? quoi cherché ?
Je suppose qu’il utilise une faille d’un de mes sites pour utiliser un lien de son site (où plutôt d’un site qu’il a piraté)
Son piratage continue… Il laisse la machine tourner…
J’ai stoppé et redémarré Apache voir si au moins ca peut le stopper quelques temps histoire de vider un peu les emails.
J’ai fail2ban mais je ne l’ai activé que pour SSH et ftp, car pour les emails, lorsque c’était activé, ca me bloquait aussi mes emails mais je m’y suis peut être mal pris… et je n’ai peut être pas bien configuré certains logiciels
Du coup, si vous avez des idées :
-de ce que je pourrais chercher (mots clefs, fichiers logs, etc.)
-Bloquer > fail2ban, autre configuration
-Autres idées…
Pour infos, le piratage a commencé vers 7h00 et a continué jusqu’à 11h, avoir redémarré Apache a apparemment stoppé temporairement le flood
Sinon j’ai une Debian 7.6, Dovecot, Postfix, SpamAssassin
Merci à vous par avance !