OVH Community, votre nouvel espace communautaire.

Attaque malgré chkuser


jwhosting
07/01/2010, 15h37
Mes coordonnées sont dans ma signature ;-)

anouar
07/01/2010, 15h17
C bon mon problème est reglé. je te remercie pour ton aide apprécié, j'espére qu'on restera en contact

jwhosting
07/01/2010, 13h15
j'ai rien compris à ton message

anouar
07/01/2010, 12h27
Oui justement, pour le moment ça marche, je veux pas modifier le mot de passe FTP, parce que ça va tout affecter ...

jwhosting
07/01/2010, 12h16
D'après le site de Joomla la dernière est 1.5.15, et pas mal de failles de sécurité depuis, donc faut mettre à jour tout le temps ce cms ...

anouar
07/01/2010, 12h10
Bonjour,

voici la version joomla de mon client: Joomla 1.5

jwhosting
07/01/2010, 12h02
est ce que ton joomla est à jour ?

anouar
07/01/2010, 11h32
Bonjour,

Justement c'est un fichier injecté depuis lequel il se sert pour envoyer les spams.

reste à savoir comment il a pu faire ça, parce que dans les logs de mon serveur FTP, j'ai pas des accés qui echoue, donc déja là je suis sur qu'il n'as pas craquer le code, mais peut etre qu'il passé par joomla.

TBC_Ly0n
07/01/2010, 11h31
Le traitement antispam / antivirus doit être fait AVANT que le mail ne rentre dans la file, pendant que la connexion est encore ouverte. De cette manière, la transmission est déterministe.

Toorop
07/01/2010, 11h12
Citation Envoyé par SAP Team - Loup
On ne détecte un spam que lorsqu'il est arrivé en queue, et transmis au service Antispam et est considéré comme spam. On ne peut pas dire qu'un mail est un SPAM au milieu de 1000 autres tentatives qui elles sont de vraies spams, mais qui n'aboutissent pas non plus et même pas mises en queue.Et pour les gens qui se trompent vraiment alors, on les considère aussi comme spammeurs? Ca c'est fort en revanche ...
Mais bon vend lui une solution hein je te laisse faire le commercial
Si tu n'as rien d'autre a faire que de troller, fait le ailleurs, le rapport signal/bruit de ce forum est suffisamment faible....

@anouar: Le joomla etait a jour ?
En fait ce que tu reçois sont les bounces des spams envoyés depuis ton serveur via une quelconque faille (certainement un formulaire...).
Si tu as sous la main quelques un des ces bounces, tu devrais avoir le messages d'origine inclus, essayes dans ce cas de faire une corelation entre la date/heure d'emission des spams d'origines et tes log http. Ca te permettra de trouver pour ou le spammeur est passé.
Un conseil en passant, dans tes logs du premier post tu as des adresses mails correspondant aux domaines que tu heberges, meme si elles ne sont pas valides evite de les rendre publiques...

anouar
07/01/2010, 11h10
Bonjour,

Merci jwhosting, je vien de le faire en fail2ban, j'ai changé le mot de passe FTP du client, il etait super facile "123456" un mot de passe ça ??

Merci heureusement que je ne suis pas blacklisté sinon

anouar
07/01/2010, 11h08
Bonjour,

justement les spams etaient dans la queue c comme ça que j'ai pu savoir que ya qlq chose qui ne va pas alors là je vais faire le commercial....

jwhosting
07/01/2010, 11h07
Avec fail2ban

anouar
07/01/2010, 11h05
Bonjour,

Comment je peux interdire l'accès FTP aprés un nombre de tentative 3 par exemple j'utilise ProFTP comme serveur FTP.

anouar
07/01/2010, 10h52
Bonjour,

Alors là non je bien de trouver une injection de code chez un client qui utilise joomla, j'ai enlevé le script nommé sys.system.php et go.go.php et mnt ça marche, reste à savoir comment il a pu injecté le code.

Merci bcq pour votre aide.

Toorop
07/01/2010, 10h43
Citation Envoyé par anouar
Bonjour,

Peut être que j'ai fait n'importe quoi, mais là quand je fais un chmod 0 sur /usr/sbin/sendmail, je ne reçoit plus de spam, aucun spam, donc est ce t-il possible que les mails sont envoyés depuis un script php ??

Merci pour vos réponse.
Vu tes logs on voit bien que les tentatives ne sont pas locales, les remotes correspondent aux adresses IP des "serveurs" qui te spament.

Toorop
07/01/2010, 10h41
Citation Envoyé par SAP Team - Loup
Sauf que là ce n'est pas du SPAM, un spam c'est un mail qui transite et analysé comme mail spam, là c'est une tentative d'envoi de mail vers une adresse inexistante.
Bien sur ces messages sont parfaitement legitimes, c'est juste que les emetteurs sont neuneu et se trompent d'adresses de destination.
Sinon c'est pas con ton idée, pour ne plus avoir de spam il suffirait de ne pas les detecter ? magnifique

"Les spammeurs ne s'embetent pas a envoyer vers des adresses qu'ils savent valides"

Ah bon et depuis quand? En général les spammeurs/pisheurs aiment bien envoyer des spam à/avec des adresses emails valides ....
Leur but est bien entendu que leurs spams aboutissent, mais c'est plus economique de balancer des attaques par dictionnaire en se disant que sur la mlasse certaines adresses vont etre valides plutot que de chercher des adresses valides par d'autres moyens.
Sans compter que ça presente d'autres avantages dans la mesure ou les adresses d'expediteurs sont le plus souvent spoofées du coup:
- Sur les serveurs qui ne font pas de detection de validité des adresses au niveau SMTP le spam va bouncer vers une nouvelle victime.
- Avec les systemes antispam a 2 cts basés sur des challenges reponses la demande de confirmation va etre emise et le systeme va servir en quelque sorte de relais a spam (un spam envoyé pour un spam reçu).

anouar
07/01/2010, 10h35
Bonjour,

Peut être que j'ai fait n'importe quoi, mais là quand je fais un chmod 0 sur /usr/sbin/sendmail, je ne reçoit plus de spam, aucun spam, donc est ce t-il possible que les mails sont envoyés depuis un script php ??

Merci pour vos réponse.

Toorop
07/01/2010, 09h39
Il n'y a rien "d'anormal" dans ce que tu decris.
Les spammeurs ne s'embetent pas a envoyer vers des adresses qu'ils savent valides (envoyer des tonnes de mails ne leur coutent rien) ils savent que dans le lot certaines adresses seront valides.

Donc tu ne pourras pas empêcher les spammeurs d'envoyer des spams vers ton domaine.
Ensuite si spamassassin ne les detecte pas tous, c'est a toi de le configurer, l'entrainer pour qu'il les detecte.

anouar
07/01/2010, 01h00
Salut encore,

j'ai déja installé spamassassin, et apparrement ça marche, j'ai fait le test et il detecte bien les spams, seulement il ne detecte rien quant a ce probleme.

je sais pas trop quoi faire, j'ai essayé plusieurs truc... rltsmtpd, simscan ...
sans succès toujours des spams dans la queue.

Edit: Les spammers envoient du spam sur mon serveur, comme si je suis en open relay. quand j'envoi moi meme un spam sur une adresse existante, spamassassin le detecte.

jwhosting
06/01/2010, 23h24
tu te plains que des spammeurs t'envoient des emails à une adresse qui existe ? ce n'est pas le travail de chkuser de bloquer ça ... il te faut un antispam (plusieurs solutions existent ...)

anouar
06/01/2010, 22h45
Salut,

Je me retrouve avec le meme probleme que toi, si tu as réussi à le surmonter, je me demande si tu peux m'aider à le surmonter aussi.

Merci par avance.

vandevan
02/09/2008, 14h34
Bonjour,

j'ai relevé il y a quelques semaines une utilisation intensive de mon nom de domaine pour envoyer des emails (pas un open relay). J'ai trouver pas mal de discutions qui m'ont permis de mettre en place différents protections (checkuser, et un systeme de controle des IP pour vérifier d'ou partent les email).
Le système fonctionne, mais les "attaques" n'ont pas cessées comme le montre un extrait de mes log de ce midi :
@4000000048bcf5831908beac CHKUSER rejected rcpt: from remote rcpt : not existing recipient
@4000000048bcf5871c682204 CHKUSER rejected rcpt: from remote rcpt : not existing recipient
@4000000048bcf69003dd43f4 CHKUSER relaying rcpt: from remote rcpt : client allowed to relay
@4000000048bcf6fa3ad7ed3c CHKUSER rejected rcpt: from remote rcpt : not existing recipient
@4000000048bcf7602be9340c CHKUSER rejected rcpt: from remote rcpt : not existing recipient
@4000000048bcf7bb2952c604 CHKUSER rejected rcpt: from remote rcpt : not existing recipient
@4000000048bcf86913b4e624 CHKUSER rejected rcpt: from remote <[77.70.107.218]:unknown:77.70.107.218> rcpt : not existing recipient
@4000000048bcf8ac30b9d2d4 CHKUSER rejected rcpt: from remote rcpt : not existing recipient
@4000000048bcf8be3325681c CHKUSER rejected rcpt: from remote <127.190.42.59.broad.gz.gd.dynamic.163data.com.cn: unknown:59.42.190.127> rcpt : not existing recipient
@4000000048bcf8c53112475c CHKUSER rejected rcpt: from remote rcpt : not existing recipient
@4000000048bcf9842cf1beb4 CHKUSER rejected rcpt: from remote rcpt : not existing recipient
@4000000048bcf98e29924bbc CHKUSER rejected rcpt: from remote rcpt : not existing recipient
@4000000048bcf99015fa1364 CHKUSER rejected rcpt: from remote <18971109193.user.veloxzone.com.br:unknown:189.71. 109.193> rcpt : not existing recipient
@4000000048bcfa1d3210084c CHKUSER rejected rcpt: from remote rcpt : not existing recipient
@4000000048bcfa3e1a949e6c CHKUSER rejected rcpt: from remote <[61.47.1.174]:unknown:61.47.1.174> rcpt : not existing recipient
@4000000048bcfa6a323e349c CHKUSER rejected rcpt: from remote rcpt : not existing recipient
@4000000048bcfa91006518dc CHKUSER rejected rcpt: from remote <196.207.21.190.accesskenya.com:unknown:196.207.21 .190> rcpt : not existing recipient
@4000000048bcfbff2d1fbc24 CHKUSER rejected rcpt: from remote <[59.92.122.242]:unknown:59.92.122.242> rcpt : not existing recipient
@4000000048bcfcea200cfe84 CHKUSER rejected rcpt: from remote <[91.149.180.88]:unknown:91.149.180.88> rcpt : not existing recipient
@

comme les spammeur utilisent par moment une adresse qui existe vraiment de temps un temps un message est accepté par chkuser (forcement).
J'en appel a vos connaissances. Que puis-je faire pour faire cesser cela (je rappel que ça fait au moins 6 semaines que chkuser est en place et sans réaction des spammers).

D'avance merci.