OVH Community, votre nouvel espace communautaire.

Décrypter le mailfrom de spam?


fritz2cat
23/04/2015, 15h11
Citation Envoyé par pat007
Je connaissais pas Zulu Time !
Et ça veut dire quoi ?...
UTC = GMT+0000 http://en.wikipedia.org/wiki/Coordinated_Universal_Time
0000 -> Zero
En aviation Alpha Bravo Charlie ... X-Ray Yankee Zulu (http://en.wikipedia.org/wiki/Coordinated_Universal_Time)

Bonne lecture

JuGU
23/04/2015, 13h38
@pat007 Je t'invite à demander sur le ticket incident plus de détails sur les mails considérés en spam, un administrateur reviendra vers toi sous 24h à 48h.

pat007
22/04/2015, 20h10
Je connaissais pas Zulu Time !
Et ça veut dire quoi ?...

janus57
22/04/2015, 18h55
Bonjour,

bon malheureusement les logs de spam ne sont pas très parlant, un entête de mail aurait été intéressant pour trouver le fichier source (si OVH a activé ceci sur le mutualisé, mais je pense que oui).

Sinon les logs mails sont en UTC et les logs apache en GMT+2/UTC+2, donc faut regarder les logs apache entre 17H30 et 18H pour essayer trouver un appel a un script "étranger" (si je dit pas de conneries).

Du coup les seules ligne qui ressort sont celle-ci :
Code:
[17/Apr/2015:17:33:40 +0200] "GET /wp-content/themes/ultrawebstudio/css/images/backgrounds/header_bg1.png HTTP/1.1" 404 4777 "http://aubelio.fr/wp-content/themes/ultrawebstudio/css/screen.php?ver=1.0" "Mozilla/5.0 (Windows NT 6.3; WOW64; rv:37.0) Gecko/20100101 Firefox/37.0"
[17/Apr/2015:17:33:40 +0200] "GET /wp-content/themes/ultrawebstudio/css/images/backgrounds/header_bg2.png HTTP/1.1" 404 4777 "http://aubelio.fr/wp-content/themes/ultrawebstudio/css/screen.php?ver=1.0" "Mozilla/5.0 (Windows NT 6.3; WOW64; rv:37.0) Gecko/20100101 Firefox/37.0"
[17/Apr/2015:17:33:40 +0200] "GET /wp-content/themes/ultrawebstudio/css/images/backgrounds/black_20.png HTTP/1.1" 404 4780 "http://aubelio.fr/wp-content/themes/ultrawebstudio/css/screen.php?ver=1.0" "Mozilla/5.0 (Windows NT 6.3; WOW64; rv:37.0) Gecko/20100101 Firefox/37.0"
Soit 2secondes avant le logs de spam.

Mais il faudrait voir avec le support pour avoir un entête de mail qui a spammé, car là ce sont juste les spam détecté par le système de OVH pour la mise en mode "hack" si sa se trouve cela avait déjà commencé un peu avant avec un mail de test ou autre (je sais pas comment fonctionne les méchant script qui font ce genre de choses...).

Et cela pourrais très bien être un script qui se fait appeler tout seule par wordpress ou un fichier de thème modifié quelques jours avant.

Cordialement, janus57

fritz2cat
22/04/2015, 18h41
Je disais "heure de Paris ou Zulu time" .

C'est Zulu time: 2015-04-17T15:33:42Z

pat007
22/04/2015, 18h30
Merci beaucoup Janus!
En fait c'est moi qui faisait des test sur les formulaires et qui faisait aussi des CHMOD.
Selon les dernières infos que j'ai ^pu avoir de OVH la vient du fait que WP n'était pas à jour, et ce même avec des dossiers et fichiers verrouillés (505 et 404).
Le log de spam est ici
Encore merci !

janus57
22/04/2015, 16h19
Bonjour,

et les logs des spams ?

Sinon chose intéressante, dans les logs on vois une IP qui modifie des chose dans l'administration et qui tout d'un coup (17/Apr/2015:11:07:42 +0200) fait une demande de mot de passe oublié, je ne sais pas si c'est voulu, mais perso je trouve cela suspect de faire une demande de mot de passe oublié alors que quelques minutes avant on touche à la partie admin du site.

Code:
[17/Apr/2015:10:55:07 +0200] "GET /wp-admin/plugins.php HTTP/1.1" 200 10168 "http://aubelio.fr/wp-admin/admin.php?page=wpcf7&message=saved&post=861" "Mozilla/5.0 (Windows NT 6.3; WOW64; rv:37.0) Gecko/20100101 Firefox/37.0"
[...]
[17/Apr/2015:11:07:31 +0200] "GET /wp-login.php?action=lostpassword HTTP/1.1" 200 1402 "http://www.aubelio.fr/wp-login.php" "Mozilla/5.0 (Windows NT 6.3; WOW64; rv:37.0) Gecko/20100101 Firefox/37.0"
[17/Apr/2015:11:07:42 +0200] "POST /wp-login.php?action=lostpassword HTTP/1.1" 302 26 "http://aubelio.fr/wp-login.php?action=lostpassword" "Mozilla/5.0 (Windows NT 6.3; WOW64; rv:37.0) Gecko/20100101 Firefox/37.0"
[...]
[17/Apr/2015:11:51:29 +0200] "GET /wp-login.php HTTP/1.1" 200 1463 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64; rv:37.0) Gecko/20100101 Firefox/37.0"
[17/Apr/2015:11:51:31 +0200] "GET /wp-login.php?action=lostpassword HTTP/1.1" 200 1402 "http://www.aubelio.fr/wp-login.php" "Mozilla/5.0 (Windows NT 6.3; WOW64; rv:37.0) Gecko/20100101 Firefox/37.0"
[17/Apr/2015:11:51:32 +0200] "GET /wp-admin/images/wordpress-logo.svg?ver=20131107 HTTP/1.1" 200 1521 "http://aubelio.fr/wp-admin/css/login.min.css?ver=4.0.1" "Mozilla/5.0 (Windows NT 6.3; WOW64; rv:37.0) Gecko/20100101 Firefox/37.0"
[17/Apr/2015:11:51:36 +0200] "POST /wp-login.php?action=lostpassword HTTP/1.1" 302 26 "http://aubelio.fr/wp-login.php?action=lostpassword" "Mozilla/5.0 (Windows NT 6.3; WOW64; rv:37.0) Gecko/20100101 Firefox/37.0"
[17/Apr/2015:11:51:37 +0200] "GET /wp-login.php?checkemail=confirm HTTP/1.1" 200 1468 "http://aubelio.fr/wp-login.php?action=lostpassword" "Mozilla/5.0 (Windows NT 6.3; WOW64; rv:37.0) Gecko/20100101 Firefox/37.0"
Sinon perso je vois énormément de :
Code:
[17/Apr/2015:15:44:04 +0200] "POST /concours-promotions-gfi/ HTTP/1.1" 200 153 "http://aubelio.fr/concours-promotions-gfi/" "Mozilla/5.0 (Windows NT 6.3; WOW64; rv:37.0) Gecko/20100101 Firefox/37.0"
et sur toute la journée (mais de la même IP)

Et après je vois l’installe du plugin "Fast Secure Contact Form" (https://wordpress.org/plugins/si-contact-form/), après que la page "concours-promotions-gfi" est subit plein de requêtes "POST" ce qui laisse suggérer que quelqu'un a utilisé le formulaire.

Cordialement, janus57

fritz2cat
22/04/2015, 16h13
Il y a des trucs bizarres comme ceci:

76.10.173.252 aubelio.fr - [17/Apr/2015:04:08:35 +0200] "GET /wp-content/uploads/2014/04/logohome.jpg HTTP/1.1" 404 14233 "http://trace-route.nl/gfi/gfi-22fee-mailarchiver-2013-7cf05-crack" "Mozilla/5.0 (Windows NT 6.1; rv:37.0) Gecko/20100101 Firefox/37.0"
Adresse IP 76.10.173.252 au Canada.
On essaie d'aller chercher un jpg sur ton répertoire /uploads/2014/04/
Le fichier ne s'y trouve pas.
Il est référencé par http://trace-route.nl/gfi/gfi-22fee-...13-7cf05-crack et cette page existe.
Il y a un lien commun: gfi

Je conseillerais de voir en profondeur si le répertoire uploads ne contient pas du malware (ou s'il n'en a pas contenu).

Pour le reste du log, il faudrait des outils automatisés pour en extraire le contenu utile et je n'en possède pas.
Savoir si les heures mentionnées sont en heure de Paris ou en Zulu time.
Avoir un échantillon de spam ou au moins les heures exactes des incidents.

Savoir si dans les adresses de retour des mails, la valeur numérique après U (12345 dans le message n° 1 que tu as trafiqué) correspond bien à ton user quand tu te connectes en FTP et que tu fais un 'ls -l'
Sinon les mails ne viennent pas de chez toi.

pat007
22/04/2015, 15h45
log Web ici.
Merci !

fritz2cat
22/04/2015, 14h37
Poste-les sur pastebin.com et mets le lien ici.

Pour le second site c'est un cas fréquent où un 2è site (en test, mal configuré, oublié ...) est en fait le coupable.

pat007
22/04/2015, 14h26
Je sais pas si je peux mettre tous les logs sur le forums comme ça ?

janus57
22/04/2015, 14h10
Bonjour,

il serait peut être intéressant de voir les logs à l'heure du SPAM 2H avant et 2H après le spam ou cas ou le logs des spam la date soit en UTC.

Sinon regarder les logs de connexion TCP sortant serait aussi une idée.

EDIT :
montrer un log de spam au complet pourrait aussi aider, car il ne semble pas complet dans le premier post.

Cordialement, janus57

pat007
22/04/2015, 14h02
Merci pour ton temps.
Non pas d'autres sites sur cet hébergement pourquoi ?

fritz2cat
22/04/2015, 13h54
Baidu (109.128.89.36 109.131.62.227 109.132.250.247 109.133.101.79 109.133.161.184 123.125.71.101 123.125.71.13 123.125.71.14 123.125.71.41 123.125.71.45 123.125.71.51 etc ) c'est tout du vent. Ils polluent tout le monde.

Pour le reste un seul visiteur qui n'a pas l'air bien méchant...

As-tu un second site à l'abandon sur ton hébergement ?

pat007
22/04/2015, 12h37
Merci pour la réponse.
Les spams ont été envoyé à partir de 15:33 jusqu'à 16:00.
J'ai essayé de vérifier les connexions Web à cette heure.
Les visites plus proches sont
XXX aubelio.fr - [17/Apr/2015:15:31:57 +0200] "GET /wp-content/uploads/2014/12/h1.jpg HTTP/1.1" 304 - "http://aubelio.fr/espace-var-2/gfi-endpointsecurity/" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.118 Safari/537.36"
XXX aubelio.fr - [17/Apr/2015:15:31:57 +0200] "GET /wp-content/themes/ultrawebstudio/images/backgrounds/box-shadow.png HTTP/1.1" 304 - "http://aubelio.fr/wp-content/themes/ultrawebstudio/style.css?ver=1.0" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.118 Safari/537.36"
YYY aubelio.fr - [17/Apr/2015:15:32:26 +0200] "GET /feed/ HTTP/1.1" 304 - "-" "Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)"
XXX www.aubelio.fr - [17/Apr/2015:15:33:35 +0200] "GET / HTTP/1.1" 301 - "-" "Advanced Monitoring Agent HTTP Retriever 1.1"
XXX aubelio.fr - [17/Apr/2015:15:33:36 +0200] "GET / HTTP/1.1" 200 21189 "-" "Advanced Monitoring Agent HTTP Retriever 1.1"
XXX www.aubelio.fr - [17/Apr/2015:15:35:07 +0200] "GET / HTTP/1.1" 301 - "-" "Advanced Monitoring Agent HTTP Retriever 1.1"
XXX aubelio.fr - [17/Apr/2015:15:35:08 +0200] "GET / HTTP/1.1" 200 21189 "-" "Advanced Monitoring Agent HTTP Retriever 1.1"

fritz2cat
22/04/2015, 11h49
Est-ce que tu peux mettre en corrélation les dates et heures de tes spams envoyés avec les dates et heures des pages visitées ?

pat007
22/04/2015, 09h44
J'ai étudié les log de mon site et j'ai bcp de mal à trouver quoi que ce soit qui ressemble à une connexion suspecte...
Vous pouvez me donner quelques tuyaux pour les logs?
D'avance merci.

pat007
21/04/2015, 16h50
Oui mais justement la réponse ne m'a pas bcp aidé, je ne sais pas du tout l'origine de ce souci de spam...

JuGU
21/04/2015, 15h56
Je remarque que mon collègue t'a déjà répondu par mail via le support, je t'invite à répondre à ce mail si tu as des questions complémentaires.

pat007
21/04/2015, 15h25
C'est envoyé merci d'avance.

JuGU
21/04/2015, 15h07
Ou alors peux-tu me communiquer ton nic handle ? Je t'enverrai un mail via le support pour prendre les informations.

pat007
21/04/2015, 14h56
Je peux vous l'envoyer en privé ?

JuGU
21/04/2015, 13h14
Bonjour pat007.

Peux-tu me communiquer le nom de domaine concerné pour que je puisse vérifier s'il te plaît ?

Merci d'avance.

pat007
21/04/2015, 10h45
Salut à tous.
suite à un blocage de l'envoi d'email sur mon site, j'ai reçu un listing de OVH avec "id,""tracerId"",""date"",""username"",""mailfrom" ",""messageId"",""subject"",rcpttos ...
Comment interpréter un mailfrom du genre bounce-id=D123=U12345.xxlplan.ovh.net=123456789012345@56. mail-out.ovh.net ?
D'avance merci pour tout tuyau.

Patrick.