SOS spoofing - Spécialiste contre rémunération

[b]Bonjour à tous !

J’ai un serveur dédié sous Debian et ce serveur est actuellement la cible d’une attaque de type spoofing. Voici un extrait de la file d’attente de mes messages, sous Plesk :[/b]

Objet du mail : 名牌包包、手錶、飾品，父親節、母親節、情人節、生日的最好伴手禮.wwwudeur
Expéditeur : kdnjuvo@yahoo.com.tw
Liste des destinataires :r4615050@yahoo.com.tw jimmy103.tw@yahoo.com.tw

Le mail ci-dessus est un exemple dont voici l’entête :

Received: (qmail 14319 invoked from network); 20 Dec 2011 08:29:43 +0100
Received: from 75-151-188-153-philadelphia.hfc.comcastbusiness.net (HELO rnetzl.com) (75.151.188.153)
by wpc1130.host7x24.com with SMTP; 20 Dec 2011 08:29:38 +0100
Message-ID: 243009f9dc1e4387abfb6ddb6ac8cdd5@d22faa2738f341f9a1a1da73b16194a3
Date: Tue, 20 Dec 2011 07:29:05 GMT
Mime-Version: 1.0
X-mailer: Microsoft Outlook Express 6.00.3790.4082
X-Priority: 3
From: =?utf-8?B?IOaCqOmChOacieiKseWGpOaeiemMouiyt+ecn+WTgeWXjj8/ICBrbWVxbXlo?= kdnjuvo@yahoo.com.tw
To: r4615050@yahoo.com.tw
Subject: =?BIG5?B?MToxple1UKVdpV2hQqTiv/ahQrmiq36hQaT3v8u4YKFCpcC/y7hgoUKxoaRIuGChQqXNpOmqurPMpm6m8aTiwqcud3d3dWRldXI=?=
X-MSMail-Priority: Highest
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106
Content-Type: text/html;
charset="BIG5"
Content-Transfer-Encoding: quoted-printable

[b]Mon serveur en envoie des milliers tous les jours, à mon insu.

Je suis un développeur mais j’ai tout à apprendre au niveau de la sécurité. J’ai optimisé mon pare-feu au mieux, j’ai installé qmHandle pour les traquer comme je peux, mais rien n’y fait.

Je recherche donc un spécialiste qui pourrait intervenir sur mon serveur pour contrer cette attaque et pour sécuriser mon serveur. Il s’agit d’un serveur dédié qui possède la configuration suivante :[/b]

Version de Plesk Control Panel : psa v8.6.0_build86090811.11 os_Debian 4.0
Système d’exploitation : Linux 2.6.24-etchnhalf.1-amd64
Processeur AMD Opteron 1352 (4x 2,1GHz)
RAM 4 Go
Disque dur SATA 2 x 500Go
RAID Raid1
Adresses IP fixes 2

[b]Bien entendu, je lui confierais tous les accès nécessaires : Plesk, SSH, etc.

Bien entendu, je paierai sa prestation.

Le cas échéant, si vous lisez ce message et si vous connaissez vous-même un spécialiste, auriez-vous la gentillesse de m’en communiquer les coordonnées ?

Merci beaucoup.

Charles

NB. Je consulterai ce forum tous les jours et vous pouvez donc me répondre par le biais de ce forum.[/b]

Pas très clair, il faudrait que tu donnes plutôt les logs de ton serveur de mail, il y a deux choses qui peuvent arriver:

1. Quelqu’un envoit des mails en utilisant des adresses de ton deomaine et tu te prends en retour des dizaines de milliers de mails type «compte non existant», j’ai eu cela 3 fois, il n’y a rien à faire sinon faire le gros dos et minimiser le temps de traitement des mails (désactiver antivirus et spamassassin au moins pour ces mails). La con,figration de ta machine n’y est pour rien.

2. Ta machine sert de relais de courrier, il faut dans ce cas eplucher les logs (/var/log/exim/mainlog ou équivalent) et voir l’origine des mails si c’est local ou si c’est une mauvaise configuration.

Les enregistrements DNS de type SPF ne permettent pas de limiter ces cas, justement (à condition que le receveur gère le SPF bien sûr) ?

Bonjour,

Merci à fran.b et à syam !

Je pense que ma machine sert de relais de courrier et je peux vous envoyer les logs que vous voulez. Voici par exemple les logs de /var/log/mail.err et de /var/log/mail.err.0. Ils sont tellement volumineux que je les ai mis en ligne :

cyberlogie.com/jal-20-12-2012-mail-err.txt
cyberlogie.com/jal-20-12-2012-mail.err.0.txt

Les emails incriminés sont faciles à reconnaître. Ils sont du style :

ntyek@vaglrxd.com,
xxm@010-idc.com,
kxoirnbh@kmxa.com,
etc.

Et beaucoup viennent aussi de Taiwan (.tw) ou de Russie (.ru)

Vous voulez d’autres logs ?

Merci mille fois de vous intéresser à ce problème.

A bientôt.

Charles.

名牌包包、手錶、飾品，父親節、母親節、情人節、生日的最好伴手禮 : > Marque de sacs, montres, bijoux, fête des pères, fête des Mères, Saint Valentin, anniversaire de la meilleure Cadeaux

petit pc zombie…

Bonjour Grhim,

Je ne comprends même pas ce que tu veux m’expliquer… Tu vois, j’ai encore beaucoup de choses à apprendre !
Tu pourrais développer un peu ?

Merci beaucoup…

Charles

Grhim, est-ce que tu veux dire que mon serveur est infesté par un ver ou autre parasite que je ne qualifierais pas pour ne pas me faire censurer, et que ce serveur, c’est à dire la machine qui héberge tous mes clients, elle est contrôlée par un pirate ? Tu ne me parles pas de mon PC en ce moment ? Tu me parles du serveur ?

Dis-moi, tu n’aurais pas un élastique, j’ai envie de me pendre…

C’est pour ça que fran.b dans son point (2) conseillait d’éplucher les logs.
Soit ton serveur est effectivement infecté, soit c’est un ou plusieurs PC zombies sur internet qui se servent de ton serveur comme relais.
Malheureusement je ne suis pas du tout au point avec tout ce qui est mails, donc tes logs ne veulent pas dire grand chose pour moi, d’autant que la seule indication en face des adresses qui spamment c’est “remote-handlers” (encore, ça aurait été des adresse IPs…). T’as pas d’autres logs quelque part où l’adresse IP de l’expéditeur apparaît, pour savoir si ça vient de l’extérieur ou bien de ta machine ?

c’est en effet ce que je veux dire !! d’où le mot zombie(s) il faut remonter a la sources afin de voir comment si prend le mister spammer

je regarderais si dans les sources de mails et logs on decouvre quelques chose peut etre du moins le chemin emprunter mais a mon humble avis si c’est un pro il auras bien cacher sa pratique et passer par proxy “elite”…

c’est bien cela aussi !!

Merci à tous !

J’ai des informations à vous fournir, mais je ne sais pas lesquelles peut vous intéresser le plus.

J’ai fait un netstat -antu, le voici :

cyberlogie.com/netstat.txt

Et j’ai fait un ps fauxwww, le voici :

cyberlogie.com/ps-fauxwww.txt

Dans le 1er, vous verrez souvent apparaître l’adresse IP 220.181.12.xxx sur le port 25, il s’agit de spams taiwanais qui ciblent des destinataires en .tw

Dans le second, vous verrez tous les processus actifs.

Grhim, tu parles de remonter à la source ? Mais comment faire ? Par quel bout commencer ?

Merci de votre aide à tous.

Je trouve ce forum formidable !

Bonne soirée…

Charles

fran.b, les logs que j’ai fournis, est-ce qu’ils peuvent te permettre de m’orienter ? Est-ce que tu en veux d’autres ?
Merci…

Le netstat est déjà plus intéressant, au moins on peut voir qui se connecte sur ton SMTP (port 25 local, tes propres connexions SMTP vers d’autres serveurs n’ont pas grand intérêt).

$ cat netstat.txt | grep -F '232.174:25' | sed 's@^.*174:25 \+\([^:]\+\).*$@\1@g' > liste-ip.txt $ cat liste-ip.txt 123.237.252.74 62.193.206.45 50.46.78.226 76.18.200.163 69.6.176.41 173.164.48.234 88.159.165.10 203.143.212.183 213.1.240.69 175.145.0.153 $ cat liste-ip.txt | xargs -n 1 dig > liste-dig.txt $ cat liste-ip.txt | xargs -n 1 whois > liste-whois.txt
Au vu des emplacements géographiques (Inde, France, plusieurs états US différents, Pays-Bas, Australie, Angleterre, Malaisie) je doute que tes clients soient aussi répartis que ça sur le globe donc c’est bien un problème de configuration (serveur configuré en relais ouvert). Et là ça se passe dans je ne sais quel fichier de config de ton MTA (courier si j’ai bien saisi), faut quelqu’un de plus compétent que moi. Ou si t’es pressé (et tu l’es) tu peux aussi lire le manuel et chercher des infos sur le net concernant “courier + relais ouvert”.

À ta place, je couperais le serveur mail le temps de résoudre ce souci car là s’il continue à envoyer des spams comme ça tu vas te faire blacklister ton serveur, et après pour en sortir c’est coton (le plus “simple” étant de changer d’IP publique !). En expliquant bien à tes clients que tu subis une attaque, que c’est indépendant de ta volonté, que tu y travailles 48h/24 etc.
Si tu ne veux pas tout couper, au moins blackliste à la main les IPs qui spamment (évite les françaises dans un premier temps pour éviter de bloquer tes clients) avec iptables, ça sera toujours ça de pris (en espérant qu’il n’y en ait pas d’autres qui arrivent sans arrêt).

Bonjour,

Ton adresse échoue à 6 tests sur 7,
en gros ton serveur est un relai ouvert.
edit : en fait Syam te l’avait déjà dit …

Tu peux aussi activer le grey-listing,
ça devrait déjà stopper l’hémoragie en attendant
que tu aies configuré ton serveur convenablement
sans trop impacter sur son fonctionnement normal.

Tu peux donner le contenu de

/etc/qmail/rcpthosts

À vue de nez ton fichier est absqent ou ne contient rien. Mets-y uniquement le nom du ou des domaines qui ont le droit d’utiliser le serveur SMTP comme serveur d’envoi.

Bonsoir fran.b !

Je ne connaissais pas ce fichier. Je l’ai cherché sur l’intégralité de mon serveur et je ne le trouve pas.

Ceci étant dit, ma config est la suivante :

Version de Plesk Control Panel : psa v8.6.0_build86090811.11 os_Debian 4.0
Système d’exploitation : Linux 2.6.24-etchnhalf.1-amd64

Donc à priori, il devrait plutôt se trouver dans /var/qmail/ ou dans /var/qmail/control/ ? Lequel des deux ? En fouillant un peu sur le Web, j’ai l’impression que c’est la 2ème solution. Tu peux me confirmer ?

Donc je le crée de toutes pièces car il n’existe pas ? Et je fais comme tu m’as dit.

Tu sais quoi, fran.b, j’y crois très fort…

Je le fais cette nuit, si j’ai ta réponse, et je poste le résultat demain !

Encore mille merci…

Charles

Hum, si ce fichier n’existe pas, ton serveur est un serveur ouvert ce qui semble être le cas. Il te suffit de le créer dans ce cas (avec dedans
.tondomaine.org
localhost
)

Ce fichier se trouve là où sont les fichiers de configuration de qmail. Usuellement on met ça dans /etc/qmail et /var/qmail/control est un lien vers /etc/qmail mais ça n’est pas obligatoire. En tout cas oui, ce serait /var/qmail/control.

Il y a longtemps que j’ai installé qmail mais tu trouves dans ce repertoire (enlève les fichiers~)

/etc/qmail/ defaulthost rcpthosts users/ locals rcpthosts~ virtualdomains locals~ rcpthosts.lock virtualdomains~ locals.lock smtproutes virtualdomains.lock me smtproutes~

/var/qmail contient plutôt les fichiers ouverts lors de l’éxécution de qmail (files d’attentes, etc).

fran.b, ca marche !
Merci à toi et merci à tous, pour votre aide.

J’ai donc crée le fichier rcpthosts dans /var/qmail/control/, j’ai fait un /etc/init.d/qmail stop, suivi d’un /etc/init.d/qmail start… et depuis 1 heure, c’est magique : ma file d’attente est vide ! Avant, j’avais un spam par seconde en moyenne et quand j’ai commencé à m’intéresser à ce problème, à cause d’un load average qui tournait autour des 3-4, je me suis aperçu que j’avais plus de 10.000 messages dans ma file d’attente !

Maintenant elle est vide ! Je me répète, mais ça fait tellement de bien

En plus, vous m’avez tous donné envie de poursuivre. C’est un domaine que je ne connais absolument pas, mais alors, qu’est-ce que c’est intéressant ! Et tellement nécessaire, malheureusement.

En tout cas, je reviendrais tous les jours sur ce forum béni des Dieux et qui sait, peut-être un jour, j’arriverai aussi à aider quelqu’un ?

Encore mille merci…

Charles

Content que tu t’en sois sorti.
Pense à la petite coche verte à côté du message qui t’a donné la solution, pour indiquer que ton problème est résolu.

C’est coché !
Youpiii…

Il est pas 1h45 en France, Siam ?
On les voit les passionnés

Bonne nuit !

Charles

Les enregistrements DNS de type SPF ne permettent pas de limiter ces cas, justement (à condition que le receveur gère le SPF bien sûr) ?[/quote]

J’ai oublié de répondre à ça, Sans doute, mais il faut que les serveurs gèrent ces enregistrements. Visiblement ce n’est pas fait par tous.