OVH Community, votre nouvel espace communautaire.

Comment identifier un compte spammer ?


Wakker
12/06/2015, 10h04
Merci à vous tous pour vos réponses.
J'ai pu identifier le compte user qui spam. Grâce au rapport fournis automatiquement par OVH lors du blocage du port 25, j'ai pu trouver trace des envois concernés dans : /var/log/mail.log
J'ai changé le mot de passe, avec une syntaxe bien costaud et plus de spam depuis. Concernant la distribution, vous avez raison, il est temps d'agir bien que comme le dit @fritz2cat vu les services qui tournent et ce qu'il y a dessus c'est plutôt "sécure" (ps: c'est vrai que la version 5.3 de PHP, j'en peux plus....). @++

cassiopee
12/06/2015, 00h57
Déjà il faudrait déterminer si Postfix a été utilisé ou non ?

La file d'attente de Postfix est-elle énorme ?
(du genre 10000 messages en attente d'émission)

Un script pirate peut se passer de Postfix et émettre directement des messages
vers Internet, auquel cas, il n'y aura rien dans les logs de Postfix.

Est-ce que tu as un extrait (les entêtes) d'un message de spam émis ?

Il y a souvent l'indication du script PHP émetteur et par là on trouve le compte
utilisateur utilisé/compromis (via son UID).

fritz2cat
11/06/2015, 21h59
Pour moi il n'y a pas trop de risque avec debian 6, il y a juste que les packages restent en retard, apache un peu vulnérable, php 5.3 qui donne des boutons.

Tout dépend donc de ce que tu fais tourner dessus. Avec juste un Postfix et un Spamassassin, et Dovecot ou Courier, je ne pense pas que tu vas facilement te faire hacker.
Si tu as des utilisateurs indélicats par contre, soit ils déposent leur mail en local et cherche "pickup" dans tes logs Postfix, soit ça vient par le réseau et c'est "smtpd" que tu dois rechercher.

Maintenant que debian 8 est sorti, il serait temps de penser à 7... ou faire le grand pas.

janus57
11/06/2015, 15h08
Bonjour,

heu Debian 6.0.9 à jour ???
2014-02-15 : Updated (6.0.9) (press release).

2014-04-24 : Long-Term-Support announced (press release).

2014-05-31 : End of regular security updates (but Long-Term-Support for i386 and amd64 until February 2016). (Debian Security Advisory 2907-1)

2014-07-19 : Updated (6.0.10) (press release).

2016-02-06 : End of LTS security updates for i386 and amd64 (five years after initial release)
De plus pour profiter du LTS faut basculer sur les dépôts LTS (Cf : https://wiki.debian.org/LTS/Using).

Cordialement, janus57

sd82979
11/06/2015, 14h35
Citation Envoyé par Wakker
Déjà pour le serveur c'est une LTS jusqu'en Février 2016,
debian 6 LTS jusque février 2016, ça ne veut pas dire que 6.0.9 est encore supporté (ce qui n'est pas le cas !!!)
il est impératif de mettre ta distribution a jour !!

pour les logs, j'ajouterais /var/log/auth.log

Niloo
11/06/2015, 13h52
Si c'est du mail, tu peux jeter un oeil dans /var/log/mail.log

Wakker
11/06/2015, 11h10
@Nowwhat, merci d'avoir pris le temps de me répondre. Déjà pour le serveur c'est une LTS jusqu'en Février 2016, je m'occupe bien du serveur, je l'invite même au restaurant de temps en temps... Et je n'emprunte ou ne vole aucun scripts ou fichiers de tiers, je suis développeur... C'est un problème relatif a un utilisateur. Je demandais juste plus d'infos sur les logs mon ami

Nowwhat
11/06/2015, 10h40
Bonjour,

Le sujet, on le traite tout le temps. Il s'agit pas UN truc précis qui déconne, mais il faut vérifier pas mal des choses, ça dépend ce que fait avec ton serveur.

On commence avec le plus simple, qui représente le problème le plus gros dans ton cas : Debian 6.0.9.
Une version non mise à jour en plus. T'as même pas la dernière version de la série "6" (Squeeze) ce qui démontre la source de ton soucis.
Tu t'occupe PAS de ton serveur donc il sera hacké, puis hacké, puis hacké, jusqu'à moment que OVH t'informe qu'ils arrente les frais .... (bye bye serveur)

En suite : pour que le hacks s'arrête pour de bon : arrête ton serveur FTP (si t'en a une) et arrête ton serveur web (si t'en a une) [etc pour les autres services].
Puis : enlève TOUT traces (lire: scripts, programmes) que le hackeur a déposé sur ton serveur.
Résultat : le hackeur ne entre plus .... donc ton serveur n’envoie plus de spam. t'es tranquille. Mais bon, plus de site, plus de ça, plus de si ... ton serveur ne fait plus rien.

Attention : AVANT que tu emprunte des script html, PHP, Javascripts etc pour faire tes sites, soi SUR que les scripts sont sur. En cas de doute (normal, pas tout le monde sais lire le html, PHP, etc) : ne l’utilise pas. Car le hackeur, lui, il va l'utiliser (exploiter la failles dans ces scripts).
Il est peut être astucieux de dire que toutes ces scripts doivent être mise à jour (t'aime pas, ok, mais là, t'as pas le choix).


De toute façon, gérer un serveur, t'as pas le choix, c'est comme le permis d'une voiture: tu t'en occupe, ou tu reste sur le trottoir La triche n'est pas possible, les conséquences seront rapidement là.
(ou, bien sur: paie toi un chauffeur == sysadmin !!)

Wakker
11/06/2015, 10h14
Bonjour à tous,

Il arrive régulièrement qu'OVH suspende le port 25 de mon dédié pour détection de spam. Ce serveur tourne sous Debian 6.0.9 avec Postfix Mail Server. Pouvez-vous m'indiquez un moyen de trouver le compte en question. Vous me répondrez les logs, mais lesquels, comment bien les interpreter ? Par avance, merci.