attack
Ok.
Pour ne plus avoir de problème avec les emails vers ed2k. Si le compte est actif demande à son user un email valide. Sinon bloque le.
@buddy: oui, c'est clair.
J'ai simplement répondu à la question de patmax:
Envoyé par
patmax
Comment je peu faire pour savoir d'ou ils viennent ?
et l’identification/réponse est clairement mentionné dans les logs (aussi)
Les identifiants des messages sont bien ce que j ai mis en gras cf la source que j ai donné plus haut.
Chaque mail à forcément un identifiant unique .
Pour moi, les identifiants sont les suivants ( je te les ai mis en gras )
559D2144528 615 Sat May 25 18:08:23 www-data@mondomaine
(connect to emule-ed2k.fr[199.59.243.107]:25: Connection timed out)
staff@emule-ed2k.fr
A4ADB144533 617 Fri May 24 16:20:45 www-data@mondomaine
(connect to emule-ed2k.fr[199.59.243.108]:25: Connection timed out)
staff@emule-ed2k.fr
C3E65144373 619 Fri May 24 16:16:24 www-data@mondomaine
(connect to emule-ed2k.fr[199.59.243.105]:25: Connection timed out)
staff@emule-ed2k.fr
Donc, fort probablement Apache, avec l'aide de PHP, a du poster ces messages.
Le 'mondomaine' indique le site, qui est fort probablement contaminé, exploité par un tiers pour que ton serveur devient engin de spam.
Donc, supprimer ces mails c'est une chose.
Enlever cette nouvelle faculté de ton serveur un autre.
Trouver la faille est le plus important.
Envoyé par
Athar
Perso, avant de bêtement supprimer les mails en queue, j'irais les analyser, afin de savoir d'où ils proviennent, ce n'est que mon avis...
Comment je peu faire pour savoir d'ou ils viennent ?
Perso, avant de bêtement supprimer les mails en queue, j'irais les analyser, afin de savoir d'où ils proviennent, ce n'est que mon avis...
Pour moi, les identificants sont les suivvants ( je te les ai mis en gras )
559D2144528 615 Sat May 25 18:08:23 www-data@mondomaine
(connect to emule-ed2k.fr[199.59.243.107]:25: Connection timed out)
staff@emule-ed2k.fr
A4ADB144533 617 Fri May 24 16:20:45 www-data@mondomaine
(connect to emule-ed2k.fr[199.59.243.108]:25: Connection timed out)
staff@emule-ed2k.fr
C3E65144373 619 Fri May 24 16:16:24 www-data@mondomaine
(connect to emule-ed2k.fr[199.59.243.105]:25: Connection timed out)
staff@emule-ed2k.fr
Merci pour ton aide, quand je fais.
Il me donne une liste.
-Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient-------
5CAD514450A 631 Thu May 23 18:43:28 www-data@mondomaine
(connect to hi.com[205.178.189.129]:25: Connection timed out)
helloman@hi.com
559D2144528 615 Sat May 25 18:08:23 www-data@mondomaine
(connect to emule-ed2k.fr[199.59.243.107]:25: Connection timed out)
staff@emule-ed2k.fr
A4ADB144533 617 Fri May 24 16:20:45 www-data@mondomaine
(connect to emule-ed2k.fr[199.59.243.108]:25: Connection timed out)
staff@emule-ed2k.fr
C3E65144373 619 Fri May 24 16:16:24 www-data@mondomaine
(connect to emule-ed2k.fr[199.59.243.105]:25: Connection timed out)
staff@emule-ed2k.fr
754E3144537 642 Tue May 21 21:24:56 www-data@mondomaine
(Host or domain name not found. Name service error for name=gmail.fr type=MX: Ho st not found, try again)
anynamous64@gmail.fr
Et quand je met.
Il marque "postsuper: warning: invalid mail queue id:
staff@emule-ed2k.fr"
Je dois mettre quoi comme identifiant ?
Merci beaucoup
Salut,
pour voir les emails en attente
tu repères l'identifiant de celui qui concerne ed2K.fr
puis tu le supprime
Code:
postsuper -d identifiant
source :
http://achtusses.sarpedon.net/?p=45
Contact moi via Skype (cela sera plus pratique, rien n'empêchera de poster ici au final pour la solution si solution il y a^^).
Après, d'après les logs, le mail change d'ID (celui qui va a destination de emule truc chose).
Par contre, tu devrais supprimer ce log la, sinon les robots vont ce faire une joie de récup les emails présent dedans qui sont peut être eux valide.
Oui se trouve se fichier, car le serveur c'est pas mon truc, et c'est pas moi qui a fais l'installation du serveur.
Dans le fichier log des mail j'ai ça.
May 26 16:53:08 server postfix/smtp[23281]: connect to emule-ed2k.fr[199.59.243.105]:25: Connection timed out
May 26 16:53:29 server postfix/smtp[23281]: connect to emule-ed2k.fr[199.59.243.106]:25: Connection timed out
May 26 16:53:50 server postfix/smtp[23281]: connect to emule-ed2k.fr[199.59.243.109]:25: Connection timed out
May 26 16:54:11 server postfix/smtp[23281]: connect to emule-ed2k.fr[199.59.243.108]:25: Connection timed out
May 26 16:54:11 server postfix/smtp[23281]: C3E65144373: to=, relay=none, delay=175066, delays=174961/0.02/105/0, dsn=4.4.1, status=deferred (connect to emule-ed2k.fr[199.59.243.108]:25: Connection timed out)
May 26 16:57:26 server postfix/qmgr[743]: A4ADB144533: from=, size=617, nrcpt=1 (queue active)
May 26 16:57:47 server postfix/smtp[23521]: connect to emule-ed2k.fr[199.59.243.105]:25: Connection timed out
May 26 16:58:08 server postfix/smtp[23521]: connect to emule-ed2k.fr[199.59.243.108]:25: Connection timed out
May 26 16:58:29 server postfix/smtp[23521]: connect to emule-ed2k.fr[199.59.243.109]:25: Connection timed out
May 26 16:58:50 server postfix/smtp[23521]: connect to emule-ed2k.fr[199.59.243.106]:25: Connection timed out
May 26 16:59:11 server postfix/smtp[23521]: connect to emule-ed2k.fr[199.59.243.107]:25: Connection timed out
May 26 16:59:11 server postfix/smtp[23521]: A4ADB144533: to=, relay=none, delay=175106, delays=175001/0.01/105/0, dsn=4.4.1, status=deferred (connect to emule-ed2k.fr[199.59.243.107]:25: Connection timed out)
May 26 17:00:01 server postfix/pickup[19551]: AB9321443A5: uid=106 from=
May 26 17:00:01 server postfix/cleanup[23678]: AB9321443A5: message-id=<20130526150001.AB9321443A5@server.localdomain>
May 26 17:00:01 server postfix/qmgr[743]: AB9321443A5: from=, size=664, nrcpt=1 (queue active)
May 26 17:00:01 server postfix/smtp[23521]: connect to mxb.ovh.net[213.186.37.67]:25: Connection refused
May 26 17:00:01 server postfix/smtp[23521]: AB9321443A5: to=, orig_to=, relay=mxb.ovh.net[213.186.39.173]:25, delay=0.33, delays=0.21/0/0.03/0.09, dsn=5.0.0, status=bounced (host mxb.ovh.net[213.186.39.173] said: 550 See http://spf.pobox.com/why.html?sender...=3.mxb.ovh.net (#5.7.1) (in reply to RCPT TO command))
May 26 17:00:01 server postfix/cleanup[23678]: D870B1444F1: message-id=<20130526150001.D870B1444F1@server.localdomain>
May 26 17:00:01 server postfix/qmgr[743]: D870B1444F1: from=<>, size=2760, nrcpt=1 (queue active)
May 26 17:00:01 server postfix/bounce[23683]: AB9321443A5: sender non-delivery notification: D870B1444F1
May 26 17:00:01 server postfix/qmgr[743]: AB9321443A5: removed
May 26 17:00:01 server postfix/smtp[23521]: connect to mxb.ovh.net[213.186.37.67]:25: Connection refused
May 26 17:00:02 server postfix/smtp[23521]: D870B1444F1: to=, relay=mxb.ovh.net[213.186.35.149]:25, delay=0.34, delays=0/0/0.04/0.3, dsn=2.0.0, status=sent (250 ok 1369574969 qp 11427)
May 26 17:00:02 server postfix/qmgr[743]: D870B1444F1: removed
May 26 17:01:10 server postfix/pickup[19551]: 866351443A5: uid=33 from=
May 26 17:01:10 server postfix/cleanup[23678]: 866351443A5: message-id=<20130526150110.866351443A5@server.localdomain>
May 26 17:01:10 server postfix/qmgr[743]: 866351443A5: from=, size=2449, nrcpt=1 (queue active)
May 26 17:01:11 server postfix/smtp[23521]: 866351443A5: to=, relay=smtp-in.sfr.fr[93.17.128.123]:25, delay=0.7, delays=0.1/0/0.16/0.45, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 0CB691C00085)
May 26 17:01:11 server postfix/qmgr[743]: 866351443A5: removed
May 26 17:02:26 server postfix/qmgr[743]: 559D2144528: from=, size=615, nrcpt=1 (queue active)
May 26 17:02:26 server postfix/qmgr[743]: 754E3144537: from=, size=642, nrcpt=1 (queue active)
May 26 17:02:42 server postfix/smtp[23872]: 754E3144537: to=, relay=none, delay=416265, delays=416250/0/16/0, dsn=4.4.3, status=deferred (Host or domain name not found. Name service error for name=gmail.fr type=MX: Host not found, try again)
May 26 17:02:47 server postfix/smtp[23521]: connect to emule-ed2k.fr[199.59.243.105]:25: Connection timed out
May 26 17:03:08 server postfix/smtp[23521]: connect to emule-ed2k.fr[199.59.243.108]:25: Connection timed out
May 26 17:03:29 server postfix/smtp[23521]: connect to emule-ed2k.fr[199.59.243.106]:25: Connection timed out
May 26 17:03:50 server postfix/smtp[23521]: connect to emule-ed2k.fr[199.59.243.107]:25: Connection timed out
May 26 17:04:11 server postfix/smtp[23521]: connect to emule-ed2k.fr[199.59.243.109]:25: Connection timed out
May 26 17:04:11 server postfix/smtp[23521]: 559D2144528: to=, relay=none, delay=82548, delays=82443/0/105/0, dsn=4.4.1, status=deferred (connect to emule-ed2k.fr[199.59.243.109]:25: Connection timed out)
May 26 17:20:02 server postfix/pickup[24256]: 0632F1443A5: uid=106 from=
May 26 17:20:02 server postfix/cleanup[24963]: 0632F1443A5: message-id=<20130526152002.0632F1443A5@server.localdomain>
May 26 17:20:02 server postfix/qmgr[743]: 0632F1443A5: from=, size=664, nrcpt=1 (queue active)
May 26 17:20:02 server postfix/smtp[24967]: 0632F1443A5: to=, orig_to=, relay=mxb.ovh.net[213.186.37.103]:25, delay=0.35, delays=0.2/0.03/0.06/0.05, dsn=5.0.0, status=bounced (host mxb.ovh.net[213.186.37.103] said: 550 See http://spf.pobox.com/why.html?sender...11.mxb.ovh.net (#5.7.1) (in reply to RCPT TO command))
May 26 17:20:02 server postfix/cleanup[24963]: 37D3B1444F1: message-id=<20130526152002.37D3B1444F1@server.localdomain>
May 26 17:20:02 server postfix/qmgr[743]: 37D3B1444F1: from=<>, size=2762, nrcpt=1 (queue active)
May 26 17:20:02 server postfix/bounce[24976]: 0632F1443A5: sender non-delivery notification: 37D3B1444F1
May 26 17:20:02 server postfix/qmgr[743]: 0632F1443A5: removed
May 26 17:20:02 server postfix/smtp[24967]: connect to mxb.ovh.net[213.186.38.144]:25: Connection refused
May 26 17:20:02 server postfix/smtp[24967]: 37D3B1444F1: to=, relay=mxb.ovh.net[213.186.37.103]:25, delay=0.69, delays=0/0/0.02/0.66, dsn=2.0.0, status=sent (250 ok 1369573347 qp 10313)
May 26 17:20:02 server postfix/qmgr[743]: 37D3B1444F1: removed
Comment je peu corriger cette fail ?
D'avance merci pour votre aide.
Il doit être dans la mailq, donc va lire le mail et tu pourra avoir déjà quelques infos supplémentaires (mail automatique, ou spam (et donc faille)).
Bonjour,
J'ai donc fais une recherche et effectivement j'ai un membre qui est inscris avec l'email "emule-ed2k.fr" mais depuis 6 mois, pour quoi mon serveur lui envois un mail de plus le membre ne viens plus sur le site depuis aussi 6 mois.
Envoyé par
Jappy
...
pour bloquer en urgence cette adresse ... fichier /etc/hosts
ajoute ligne 127.0.0.1 emule-ed2k.fr
comme ca les mails resteront chez toi
Ben voyons, il va se bombarder lui même
Je conseille d'installer Munin, pour que tu possède ce genre des données visuelles:
https://www.papy-team.org/munin/org/...x.html#postfix C'est vite vu quand ton postfix fait des heures supp pour des étrangers.
si tu as de la difficulté a envoyer mail a l'extérieur , possible que ovh t'ai bloqué ton port 25
pour bloquer en urgence cette adresse ... fichier /etc/hosts
ajoute ligne 127.0.0.1 emule-ed2k.fr
comme ca les mails resteront chez toi
beh il faut déjà trouver qui l'a envoyé et éventuellement trouvé la faille ...
Tu as quoi sur ton serveur ? un site ? un forum ? tout tes scripts sont à jour ?
as-tu une base de données avec des utilisateurs enregistrés via leur adresse mail ?
Si oui il y a t il un utilisateur avec un email du type
adresse@emule-ed2k.fr ?
Si non, ton serveur a une faille exploitée visiblement ...
Par contre j'ai toujours les messages dans mes logs.
May 25 09:37:47 server postfix/smtp[15621]: connect to emule-ed2k.fr[199.59.243.109]:25: Connection timed out
May 25 09:38:08 server postfix/smtp[15621]: connect to emule-ed2k.fr[199.59.243.107]:25: Connection timed out
May 25 09:38:29 server postfix/smtp[15621]: connect to emule-ed2k.fr[199.59.243.106]:25: Connection timed out
May 25 09:38:50 server postfix/smtp[15621]: connect to emule-ed2k.fr[199.59.243.108]:25: Connection timed out
Comment empècher que mon serveur envois des mails a cette adresse ?
Merci
Bonjour,
Je viens de re faire un test et a la fin il me marque "All tested completed! No relays accepted by remote host!"
DOnc pour le moment il est plus en relays, mais le serveur ne plante plus non plus donc c'est peut être la cause.
Pour ma signature, non c'est plus le même serveur, la je suis sur (Debian) PHP/5.3.3-7+squeeze15.
Avez-vous une solution pour mon problème de relays comment je dois faire ?
Merci beaucoup pour vos aides
Oups j'avais pas fais attention a la fin du test, la il marque "Port 25 is Closed at mon ip
Test aborted."
Il ne fait plus le test
Pour le mail non aucune idée de cette adresse
et le reste ? il y a 15 tests normalement ..
quelle est la conclusion finale ?
All tested completed! No relays accepted by remote host! ? ou autre chose ?
sais-tu si un email a été volontairement envoyé depuis ton serveur vers emule-ed2K.FR?
Voila la réponse.
[Method 0]
<<< 220 server.localdomain ESMTP Postfix (Debian/GNU)
>>> HELO mailradar.com
<<< 250 server.localdomain
>>> MAIL FROM:
<<< 250 2.1.0 Ok
>>> RCPT TO:
<<< 554 5.7.1 : Relay access denied
>>> QUIT
<<< 221 2.0.0 Bye
3 fois
ha oui ... çà m'apprendra à lire en diagonale ...
donc 2 possibilités,
soit tu as essayé d'envoyer un email à
xxx@emule-ed2k.fr
soit ton serveur est open relay smtp ou piraté/hacké ...
enfin y a anguille sous roche là dessous ..
pour info emule-ed2k.fr n'a aucun serveur MX, ton serveur tente de se connecter à l'adresse ip du site web. ( ip qui varie car je suppose que cette page a été posée sur un cluster de mutualisé avec plusieurs ips)
EDIT : tu peux tester ici pour voir si ton serveur est open relay :
http://www.mailradar.com/openrelay/
Pour info, postfix est déjà sur "true"
Merci pour votre aide, pour info je suis sur debian.
Je vais déjà voir pour activer sur fail2ban postfix.
Athar tu as une idée pour bloquer ?
Hum...
"May 24 20:46:10 server postfix/smtp[28765]: connect to emule-ed2k.fr[199.59.243.106]:25: Connection timed out "
Pour moi, c'est son serveur qui tente de ce connecter sur l'IP distante, pas l'inverse. Dans ce cas, bloquer en entrée ne servira a rien également.
salut,
c'est surtout que çà n'est pas la même ip qui apparaît tout le temps ...
moi j'aurais taper
iptables -I INPUT -s 199.59.243.0/24 -j DROP
c'est un peu radical, çà bloque tout de
199.59.243.1 à 199.59.243.254
tu as pensé à installer aussi fail2ban ??
si oui active le module postfix.
Edit: sous ubuntu
sudo iptables -I INPUT -s 199.59.243.0/24 -j DROP
Bonsoir a tous, une petite aide svp.
Je crois que j'ai des attack sur le serveur la seul chose que je vois dans les logs c'est souvent cette ligne.
May 24 20:45:07 server postfix/smtp[28765]: connect to emule-ed2k.fr[199.59.243.105]:25: Connection timed out
May 24 20:45:28 server postfix/smtp[28765]: connect to emule-ed2k.fr[199.59.243.107]:25: Connection timed out
May 24 20:45:49 server postfix/smtp[28765]: connect to emule-ed2k.fr[199.59.243.109]:25: Connection timed out
May 24 20:46:10 server postfix/smtp[28765]: connect to emule-ed2k.fr[199.59.243.106]:25: Connection timed out
J'ai donc bloqué les ip avec la commande.
sudo iptables -I INPUT 1 -s 199.59.243.109 -j DROP
Et j'ai toujours c'est ligne dans les logs, donc l'ip n'est pas bloqué ?
Comment faire pour bloquer c'est ips ?
D'avance merci