OVH Community, votre nouvel espace communautaire.

IP en SPAM, impossible de trouver l'origine


TBC_Ly0n
06/08/2016, 00h03
A partir des logs, des mails, on retrouve normalement d'où ça vient sans trop de soucis.
Un find bien placé dans /home permet souvent de retrouver une partie des failles.

Nowwhat
04/08/2016, 09h02
Quelque chose comme https://blog.rimuhosting.com/2012/09...n-your-server/ est indépendant de qmail.

absolom
03/08/2016, 22h04
Merci pour l'aide.

Oui, j'ai déjà tracé les envois PHP via le changement de sendmail, mais rien.

Pour répondre à @buddy je migre sur debian + virtualmin.

Avec qmail, les logs sont minimes, et smail-smtp ne trace rien ...

Nowwhat
03/08/2016, 21h31
Citation Envoyé par absolom
Merci pour la réponse, j'étais sur que je n'aurais que ce genre de réponse ... .....
T'as pas tord.
Sache quand même que 'qmail' devient vraiment rare sur le marché, donc l'expérience aussi - donc les techniques pour déboguer sont moins connus qu'avant.
Mais : bonne nouvelle : "Internet" a une bonne mémoire.
Ce qu'il faut que tu cherche est : détailler comment les mails sont injecté dans qmail (ton serveur mail) par le PHP, autrement dit, tes sites.
Cette partie doit être rendu plus 'verbeux'.
Le log de ton serveur mail va être très volumineux, mais t'auras vite les détails qui t’indique que fichier PHP injecte quel mail quand.
Et là, tu trouveras qui des tes sites ont des failles.

Je sais que c'est possible avec postfix, et je suis sur que c'est aussi possible avec qmail.

Par exemple : ceci me semble logique et évident : how to find who is sending mail qmail PHP

buddy
03/08/2016, 20h49
Bonjour,

si tu regardes la queue des mails tu n'as aucune indication sur l'utilisateur qui envoie les mails ?

la R2, tu peux avoir ce que tu veux à jour, elle n'est plus à jour et abandonnée. Donc il peut toujours y avoir des failles dans les logiciels qui tournent dessus ..
Je ne connais pas plus que çà la R2. mais oui, quitte la vite.

j'espère que tu ne migres pas vers la release 3 (elle est déjà en fin de vie).

Quant à l'abandon de la R2, disons qu'elle est EOL depuis 2 ans non ? çà aurait laissé le temps de migrer ..

absolom
03/08/2016, 19h49
Merci pour la réponse, j'étais sur que je n'aurais que ce genre de réponse ...
Oui, c'est ma faute, le serveur n'est pas à jour, je le sais et je migre petit à petit mais le contexte n'est pas évident.

Ceci dit, il y a certainement un script qui envoi des emails et c'est pour le trouver que j'ai besoin d'aide.

J'ai fais les recherches habituelles sur les logs apache (mais il y a une centaine de sites) sur les POST, les modifications de fichiers, les script PERL qui tourneraient encore, les répertoires temporaires, mis à jour les CMS et autres scripts PHP mais la, je sèche ...

altivec
03/08/2016, 19h44
Merci pour la réponse, je me doutais que je n'aurais que ça ...

Je suis bien conscient du problème, et je migre petit à petit aussi vite et bien que je peux sur un serveur plus récent.

En attendant, il y a certainement un script qui envoi des emails et je ne trouve pas, c'est la que j'ai besoin d'aide.

'IP n'est pas bkacklistée.

Nowwhat
03/08/2016, 19h05
Citation Envoyé par absolom
.....
Si vous avez des pistes, je suis preneur.
Simple.
Accélère le transfert vers un système plus récent. Évite à tout prix que le lettre "R" est dans le nom de ton futur OS.
Rester avec un R2 : ça revient à supplier sur le net entier pour "des problèmes".
De plus, avant qu'on te bloque, ton serveur a du participer à pomper des pourriels jusqu'à la fin (donc ton IP est foutu aussi pour envoyer tes mails).
Dans le future, pense à surveiller tes mails sortant. Fabrique des stats. Genre simple comme https://www.test-domaine.fr/munin/pa...x.html#postfix voir plus intelligent.

absolom
03/08/2016, 15h34
Bonjour,

J'ai une IP bloquée sur le port 25 par ovh pour spam.
Les message-id sont vides, donc pas moyen de trouver l'origine.

Ça fait moment que je cherche en vain ...

Le serveur est en release 2 (je sais), les sites sont en cours de transfert, il est prévu un abandon mais c'est pas si simple.

J'ai pas mal de failure notice.

Si vous avez des pistes, je suis preneur.

Merci d'avance,

Aurélien.