Attaque malgré chkuser
jwhosting
07/01/2010, 15h37
Mes coordonnées sont dans ma signature ;-)
C bon mon problème est reglé. je te remercie pour ton aide apprécié, j'espére qu'on restera en contact
jwhosting
07/01/2010, 13h15
j'ai rien compris à ton message
Oui justement, pour le moment ça marche, je veux pas modifier le mot de passe FTP, parce que ça va tout affecter ...
jwhosting
07/01/2010, 12h16
D'après le site de Joomla la dernière est 1.5.15, et pas mal de failles de sécurité depuis, donc faut mettre à jour tout le temps ce cms ...
Bonjour,
voici la version joomla de mon client: Joomla 1.5
jwhosting
07/01/2010, 12h02
est ce que ton joomla est à jour ?
Bonjour,
Justement c'est un fichier injecté depuis lequel il se sert pour envoyer les spams.
reste à savoir comment il a pu faire ça, parce que dans les logs de mon serveur FTP, j'ai pas des accés qui echoue, donc déja là je suis sur qu'il n'as pas craquer le code, mais peut etre qu'il passé par joomla.
TBC_Ly0n
07/01/2010, 11h31
Le traitement antispam / antivirus doit être fait AVANT que le mail ne rentre dans la file, pendant que la connexion est encore ouverte. De cette manière, la transmission est déterministe.
Envoyé par
SAP Team - Loup
On ne détecte un spam que lorsqu'il est arrivé en queue, et transmis au service Antispam et est considéré comme spam. On ne peut pas dire qu'un mail est un SPAM au milieu de 1000 autres tentatives qui elles sont de vraies spams, mais qui n'aboutissent pas non plus et même pas mises en queue.Et pour les gens qui se trompent vraiment alors, on les considère aussi comme spammeurs? Ca c'est fort en revanche ...
Mais bon vend lui une solution hein je te laisse faire le commercial
Si tu n'as rien d'autre a faire que de troller, fait le ailleurs, le rapport signal/bruit de ce forum est suffisamment faible....
@anouar: Le joomla etait a jour ?
En fait ce que tu reçois sont les bounces des spams envoyés depuis ton serveur via une quelconque faille (certainement un formulaire...).
Si tu as sous la main quelques un des ces bounces, tu devrais avoir le messages d'origine inclus, essayes dans ce cas de faire une corelation entre la date/heure d'emission des spams d'origines et tes log http. Ca te permettra de trouver pour ou le spammeur est passé.
Un conseil en passant, dans tes logs du premier post tu as des adresses mails correspondant aux domaines que tu heberges, meme si elles ne sont pas valides evite de les rendre publiques...
Bonjour,
Merci jwhosting, je vien de le faire en fail2ban, j'ai changé le mot de passe FTP du client, il etait super facile "123456" un mot de passe ça ??
Merci heureusement que je ne suis pas blacklisté sinon
Bonjour,
justement les spams etaient dans la queue c comme ça que j'ai pu savoir que ya qlq chose qui ne va pas alors là je vais faire le commercial....
jwhosting
07/01/2010, 11h07
Avec fail2ban
Bonjour,
Comment je peux interdire l'accès FTP aprés un nombre de tentative 3 par exemple j'utilise ProFTP comme serveur FTP.
Bonjour,
Alors là non je bien de trouver une injection de code chez un client qui utilise joomla, j'ai enlevé le script nommé sys.system.php et go.go.php et mnt ça marche, reste à savoir comment il a pu injecté le code.
Merci bcq pour votre aide.
Envoyé par
anouar
Bonjour,
Peut être que j'ai fait n'importe quoi, mais là quand je fais un chmod 0 sur /usr/sbin/sendmail, je ne reçoit plus de spam, aucun spam, donc est ce t-il possible que les mails sont envoyés depuis un script php ??
Merci pour vos réponse.
Vu tes logs on voit bien que les tentatives ne sont pas locales, les remotes correspondent aux adresses IP des "serveurs" qui te spament.
Envoyé par
SAP Team - Loup
Sauf que là ce n'est pas du SPAM, un spam c'est un mail qui transite et analysé comme mail spam, là c'est une tentative d'envoi de mail vers une adresse inexistante.
Bien sur ces messages sont parfaitement legitimes, c'est juste que les emetteurs sont neuneu et se trompent d'adresses de destination.
Sinon c'est pas con ton idée, pour ne plus avoir de spam il suffirait de ne pas les detecter ? magnifique
"Les spammeurs ne s'embetent pas a envoyer vers des adresses qu'ils savent valides"
Ah bon et depuis quand? En général les spammeurs/pisheurs aiment bien envoyer des spam à/avec des adresses emails valides ....
Leur but est bien entendu que leurs spams aboutissent, mais c'est plus economique de balancer des attaques par dictionnaire en se disant que sur la mlasse certaines adresses vont etre valides plutot que de chercher des adresses valides par d'autres moyens.
Sans compter que ça presente d'autres avantages dans la mesure ou les adresses d'expediteurs sont le plus souvent spoofées du coup:
- Sur les serveurs qui ne font pas de detection de validité des adresses au niveau SMTP le spam va bouncer vers une nouvelle victime.
- Avec les systemes antispam a 2 cts basés sur des challenges reponses la demande de confirmation va etre emise et le systeme va servir en quelque sorte de relais a spam (un spam envoyé pour un spam reçu).
Bonjour,
Peut être que j'ai fait n'importe quoi, mais là quand je fais un chmod 0 sur /usr/sbin/sendmail, je ne reçoit plus de spam, aucun spam, donc est ce t-il possible que les mails sont envoyés depuis un script php ??
Merci pour vos réponse.
Il n'y a rien "d'anormal" dans ce que tu decris.
Les spammeurs ne s'embetent pas a envoyer vers des adresses qu'ils savent valides (envoyer des tonnes de mails ne leur coutent rien) ils savent que dans le lot certaines adresses seront valides.
Donc tu ne pourras pas empêcher les spammeurs d'envoyer des spams vers ton domaine.
Ensuite si spamassassin ne les detecte pas tous, c'est a toi de le configurer, l'entrainer pour qu'il les detecte.
Salut encore,
j'ai déja installé spamassassin, et apparrement ça marche, j'ai fait le test et il detecte bien les spams, seulement il ne detecte rien quant a ce probleme.
je sais pas trop quoi faire, j'ai essayé plusieurs truc... rltsmtpd, simscan ...
sans succès toujours des spams dans la queue.
Edit: Les spammers envoient du spam sur mon serveur, comme si je suis en open relay. quand j'envoi moi meme un spam sur une adresse existante, spamassassin le detecte.
jwhosting
06/01/2010, 23h24
tu te plains que des spammeurs t'envoient des emails à une adresse qui existe ? ce n'est pas le travail de chkuser de bloquer ça ... il te faut un antispam (plusieurs solutions existent ...)
Salut,
Je me retrouve avec le meme probleme que toi, si tu as réussi à le surmonter, je me demande si tu peux m'aider à le surmonter aussi.
Merci par avance.
vandevan
02/09/2008, 14h34
Bonjour,
j'ai relevé il y a quelques semaines une utilisation intensive de mon nom de domaine pour envoyer des emails (pas un open relay). J'ai trouver pas mal de discutions qui m'ont permis de mettre en place différents protections (checkuser, et un systeme de controle des IP pour vérifier d'ou partent les email).
Le système fonctionne, mais les "attaques" n'ont pas cessées comme le montre un extrait de mes log de ce midi :
@4000000048bcf5831908beac CHKUSER rejected rcpt: from
remote rcpt : not existing recipient
@4000000048bcf5871c682204 CHKUSER rejected rcpt: from remote rcpt : not existing recipient
@4000000048bcf69003dd43f4 CHKUSER relaying rcpt: from remote rcpt : client allowed to relay
@4000000048bcf6fa3ad7ed3c CHKUSER rejected rcpt: from remote rcpt : not existing recipient
@4000000048bcf7602be9340c CHKUSER rejected rcpt: from remote rcpt : not existing recipient
@4000000048bcf7bb2952c604 CHKUSER rejected rcpt: from remote rcpt : not existing recipient
@4000000048bcf86913b4e624 CHKUSER rejected rcpt: from remote <[77.70.107.218]:unknown:77.70.107.218> rcpt : not existing recipient
@4000000048bcf8ac30b9d2d4 CHKUSER rejected rcpt: from remote rcpt : not existing recipient
@4000000048bcf8be3325681c CHKUSER rejected rcpt: from remote <127.190.42.59.broad.gz.gd.dynamic.163data.com.cn: unknown:59.42.190.127> rcpt : not existing recipient
@4000000048bcf8c53112475c CHKUSER rejected rcpt: from remote rcpt : not existing recipient
@4000000048bcf9842cf1beb4 CHKUSER rejected rcpt: from remote rcpt : not existing recipient
@4000000048bcf98e29924bbc CHKUSER rejected rcpt: from remote rcpt : not existing recipient
@4000000048bcf99015fa1364 CHKUSER rejected rcpt: from remote <18971109193.user.veloxzone.com.br:unknown:189.71. 109.193> rcpt : not existing recipient
@4000000048bcfa1d3210084c CHKUSER rejected rcpt: from remote rcpt : not existing recipient
@4000000048bcfa3e1a949e6c CHKUSER rejected rcpt: from remote <[61.47.1.174]:unknown:61.47.1.174> rcpt : not existing recipient
@4000000048bcfa6a323e349c CHKUSER rejected rcpt: from remote rcpt : not existing recipient
@4000000048bcfa91006518dc CHKUSER rejected rcpt: from remote <196.207.21.190.accesskenya.com:unknown:196.207.21 .190> rcpt : not existing recipient
@4000000048bcfbff2d1fbc24 CHKUSER rejected rcpt: from remote <[59.92.122.242]:unknown:59.92.122.242> rcpt : not existing recipient
@4000000048bcfcea200cfe84 CHKUSER rejected rcpt: from remote <[91.149.180.88]:unknown:91.149.180.88> rcpt : not existing recipient
@
comme les spammeur utilisent par moment une adresse qui existe vraiment de temps un temps un message est accepté par chkuser (forcement).
J'en appel a vos connaissances. Que puis-je faire pour faire cesser cela (je rappel que ça fait au moins 6 semaines que chkuser est en place et sans réaction des spammers).
D'avance merci.