OVH Community, votre nouvel espace communautaire.

attack


buddy
27/05/2013, 15h59
Ok.

Pour ne plus avoir de problème avec les emails vers ed2k. Si le compte est actif demande à son user un email valide. Sinon bloque le.

Nowwhat
27/05/2013, 15h28
@buddy: oui, c'est clair.
J'ai simplement répondu à la question de patmax:
Citation Envoyé par patmax
Comment je peu faire pour savoir d'ou ils viennent ?
et l’identification/réponse est clairement mentionné dans les logs (aussi)

buddy
27/05/2013, 14h32
Les identifiants des messages sont bien ce que j ai mis en gras cf la source que j ai donné plus haut.
Chaque mail à forcément un identifiant unique .

Nowwhat
27/05/2013, 08h29
Pour moi, les identifiants sont les suivants ( je te les ai mis en gras )
559D2144528 615 Sat May 25 18:08:23 www-data@mondomaine
(connect to emule-ed2k.fr[199.59.243.107]:25: Connection timed out)
staff@emule-ed2k.fr

A4ADB144533 617 Fri May 24 16:20:45 www-data@mondomaine
(connect to emule-ed2k.fr[199.59.243.108]:25: Connection timed out)
staff@emule-ed2k.fr

C3E65144373 619 Fri May 24 16:16:24 www-data@mondomaine
(connect to emule-ed2k.fr[199.59.243.105]:25: Connection timed out)
staff@emule-ed2k.fr
Donc, fort probablement Apache, avec l'aide de PHP, a du poster ces messages.
Le 'mondomaine' indique le site, qui est fort probablement contaminé, exploité par un tiers pour que ton serveur devient engin de spam.
Donc, supprimer ces mails c'est une chose.
Enlever cette nouvelle faculté de ton serveur un autre.
Trouver la faille est le plus important.

patmax
26/05/2013, 19h28
Citation Envoyé par Athar
Perso, avant de bêtement supprimer les mails en queue, j'irais les analyser, afin de savoir d'où ils proviennent, ce n'est que mon avis...
Comment je peu faire pour savoir d'ou ils viennent ?

Athar
26/05/2013, 18h59
Perso, avant de bêtement supprimer les mails en queue, j'irais les analyser, afin de savoir d'où ils proviennent, ce n'est que mon avis...

buddy
26/05/2013, 18h54
Pour moi, les identificants sont les suivvants ( je te les ai mis en gras )
559D2144528 615 Sat May 25 18:08:23 www-data@mondomaine
(connect to emule-ed2k.fr[199.59.243.107]:25: Connection timed out)
staff@emule-ed2k.fr

A4ADB144533 617 Fri May 24 16:20:45 www-data@mondomaine
(connect to emule-ed2k.fr[199.59.243.108]:25: Connection timed out)
staff@emule-ed2k.fr

C3E65144373 619 Fri May 24 16:16:24 www-data@mondomaine
(connect to emule-ed2k.fr[199.59.243.105]:25: Connection timed out)
staff@emule-ed2k.fr

patmax
26/05/2013, 18h53
Merci pour ton aide, quand je fais.

sudo postqueue -p
Il me donne une liste.
-Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient-------
5CAD514450A 631 Thu May 23 18:43:28 www-data@mondomaine
(connect to hi.com[205.178.189.129]:25: Connection timed out)
helloman@hi.com

559D2144528 615 Sat May 25 18:08:23 www-data@mondomaine
(connect to emule-ed2k.fr[199.59.243.107]:25: Connection timed out)
staff@emule-ed2k.fr

A4ADB144533 617 Fri May 24 16:20:45 www-data@mondomaine
(connect to emule-ed2k.fr[199.59.243.108]:25: Connection timed out)
staff@emule-ed2k.fr

C3E65144373 619 Fri May 24 16:16:24 www-data@mondomaine
(connect to emule-ed2k.fr[199.59.243.105]:25: Connection timed out)
staff@emule-ed2k.fr

754E3144537 642 Tue May 21 21:24:56 www-data@mondomaine
(Host or domain name not found. Name service error for name=gmail.fr type=MX: Ho st not found, try again)
anynamous64@gmail.fr
Et quand je met.

sudo postsuper -d staff@emule-ed2k.fr
Il marque "postsuper: warning: invalid mail queue id: staff@emule-ed2k.fr"

Je dois mettre quoi comme identifiant ?
Merci beaucoup

buddy
26/05/2013, 18h34
Salut,

Code:
postqueue -p
pour voir les emails en attente
tu repères l'identifiant de celui qui concerne ed2K.fr

puis tu le supprime
Code:
postsuper -d identifiant
source :http://achtusses.sarpedon.net/?p=45

Athar
26/05/2013, 18h04
Contact moi via Skype (cela sera plus pratique, rien n'empêchera de poster ici au final pour la solution si solution il y a^^).

Après, d'après les logs, le mail change d'ID (celui qui va a destination de emule truc chose).

Par contre, tu devrais supprimer ce log la, sinon les robots vont ce faire une joie de récup les emails présent dedans qui sont peut être eux valide.

patmax
26/05/2013, 17h28
Oui se trouve se fichier, car le serveur c'est pas mon truc, et c'est pas moi qui a fais l'installation du serveur.

Dans le fichier log des mail j'ai ça.

May 26 16:53:08 server postfix/smtp[23281]: connect to emule-ed2k.fr[199.59.243.105]:25: Connection timed out
May 26 16:53:29 server postfix/smtp[23281]: connect to emule-ed2k.fr[199.59.243.106]:25: Connection timed out
May 26 16:53:50 server postfix/smtp[23281]: connect to emule-ed2k.fr[199.59.243.109]:25: Connection timed out
May 26 16:54:11 server postfix/smtp[23281]: connect to emule-ed2k.fr[199.59.243.108]:25: Connection timed out
May 26 16:54:11 server postfix/smtp[23281]: C3E65144373: to=, relay=none, delay=175066, delays=174961/0.02/105/0, dsn=4.4.1, status=deferred (connect to emule-ed2k.fr[199.59.243.108]:25: Connection timed out)
May 26 16:57:26 server postfix/qmgr[743]: A4ADB144533: from=, size=617, nrcpt=1 (queue active)
May 26 16:57:47 server postfix/smtp[23521]: connect to emule-ed2k.fr[199.59.243.105]:25: Connection timed out
May 26 16:58:08 server postfix/smtp[23521]: connect to emule-ed2k.fr[199.59.243.108]:25: Connection timed out
May 26 16:58:29 server postfix/smtp[23521]: connect to emule-ed2k.fr[199.59.243.109]:25: Connection timed out
May 26 16:58:50 server postfix/smtp[23521]: connect to emule-ed2k.fr[199.59.243.106]:25: Connection timed out
May 26 16:59:11 server postfix/smtp[23521]: connect to emule-ed2k.fr[199.59.243.107]:25: Connection timed out
May 26 16:59:11 server postfix/smtp[23521]: A4ADB144533: to=, relay=none, delay=175106, delays=175001/0.01/105/0, dsn=4.4.1, status=deferred (connect to emule-ed2k.fr[199.59.243.107]:25: Connection timed out)
May 26 17:00:01 server postfix/pickup[19551]: AB9321443A5: uid=106 from=
May 26 17:00:01 server postfix/cleanup[23678]: AB9321443A5: message-id=<20130526150001.AB9321443A5@server.localdomain>
May 26 17:00:01 server postfix/qmgr[743]: AB9321443A5: from=, size=664, nrcpt=1 (queue active)
May 26 17:00:01 server postfix/smtp[23521]: connect to mxb.ovh.net[213.186.37.67]:25: Connection refused
May 26 17:00:01 server postfix/smtp[23521]: AB9321443A5: to=, orig_to=, relay=mxb.ovh.net[213.186.39.173]:25, delay=0.33, delays=0.21/0/0.03/0.09, dsn=5.0.0, status=bounced (host mxb.ovh.net[213.186.39.173] said: 550 See http://spf.pobox.com/why.html?sender...=3.mxb.ovh.net (#5.7.1) (in reply to RCPT TO command))
May 26 17:00:01 server postfix/cleanup[23678]: D870B1444F1: message-id=<20130526150001.D870B1444F1@server.localdomain>
May 26 17:00:01 server postfix/qmgr[743]: D870B1444F1: from=<>, size=2760, nrcpt=1 (queue active)
May 26 17:00:01 server postfix/bounce[23683]: AB9321443A5: sender non-delivery notification: D870B1444F1
May 26 17:00:01 server postfix/qmgr[743]: AB9321443A5: removed
May 26 17:00:01 server postfix/smtp[23521]: connect to mxb.ovh.net[213.186.37.67]:25: Connection refused
May 26 17:00:02 server postfix/smtp[23521]: D870B1444F1: to=, relay=mxb.ovh.net[213.186.35.149]:25, delay=0.34, delays=0/0/0.04/0.3, dsn=2.0.0, status=sent (250 ok 1369574969 qp 11427)
May 26 17:00:02 server postfix/qmgr[743]: D870B1444F1: removed
May 26 17:01:10 server postfix/pickup[19551]: 866351443A5: uid=33 from=
May 26 17:01:10 server postfix/cleanup[23678]: 866351443A5: message-id=<20130526150110.866351443A5@server.localdomain>
May 26 17:01:10 server postfix/qmgr[743]: 866351443A5: from=, size=2449, nrcpt=1 (queue active)
May 26 17:01:11 server postfix/smtp[23521]: 866351443A5: to=, relay=smtp-in.sfr.fr[93.17.128.123]:25, delay=0.7, delays=0.1/0/0.16/0.45, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 0CB691C00085)
May 26 17:01:11 server postfix/qmgr[743]: 866351443A5: removed
May 26 17:02:26 server postfix/qmgr[743]: 559D2144528: from=, size=615, nrcpt=1 (queue active)
May 26 17:02:26 server postfix/qmgr[743]: 754E3144537: from=, size=642, nrcpt=1 (queue active)
May 26 17:02:42 server postfix/smtp[23872]: 754E3144537: to=, relay=none, delay=416265, delays=416250/0/16/0, dsn=4.4.3, status=deferred (Host or domain name not found. Name service error for name=gmail.fr type=MX: Host not found, try again)
May 26 17:02:47 server postfix/smtp[23521]: connect to emule-ed2k.fr[199.59.243.105]:25: Connection timed out
May 26 17:03:08 server postfix/smtp[23521]: connect to emule-ed2k.fr[199.59.243.108]:25: Connection timed out
May 26 17:03:29 server postfix/smtp[23521]: connect to emule-ed2k.fr[199.59.243.106]:25: Connection timed out
May 26 17:03:50 server postfix/smtp[23521]: connect to emule-ed2k.fr[199.59.243.107]:25: Connection timed out
May 26 17:04:11 server postfix/smtp[23521]: connect to emule-ed2k.fr[199.59.243.109]:25: Connection timed out
May 26 17:04:11 server postfix/smtp[23521]: 559D2144528: to=, relay=none, delay=82548, delays=82443/0/105/0, dsn=4.4.1, status=deferred (connect to emule-ed2k.fr[199.59.243.109]:25: Connection timed out)
May 26 17:20:02 server postfix/pickup[24256]: 0632F1443A5: uid=106 from=
May 26 17:20:02 server postfix/cleanup[24963]: 0632F1443A5: message-id=<20130526152002.0632F1443A5@server.localdomain>
May 26 17:20:02 server postfix/qmgr[743]: 0632F1443A5: from=, size=664, nrcpt=1 (queue active)
May 26 17:20:02 server postfix/smtp[24967]: 0632F1443A5: to=, orig_to=, relay=mxb.ovh.net[213.186.37.103]:25, delay=0.35, delays=0.2/0.03/0.06/0.05, dsn=5.0.0, status=bounced (host mxb.ovh.net[213.186.37.103] said: 550 See http://spf.pobox.com/why.html?sender...11.mxb.ovh.net (#5.7.1) (in reply to RCPT TO command))
May 26 17:20:02 server postfix/cleanup[24963]: 37D3B1444F1: message-id=<20130526152002.37D3B1444F1@server.localdomain>
May 26 17:20:02 server postfix/qmgr[743]: 37D3B1444F1: from=<>, size=2762, nrcpt=1 (queue active)
May 26 17:20:02 server postfix/bounce[24976]: 0632F1443A5: sender non-delivery notification: 37D3B1444F1
May 26 17:20:02 server postfix/qmgr[743]: 0632F1443A5: removed
May 26 17:20:02 server postfix/smtp[24967]: connect to mxb.ovh.net[213.186.38.144]:25: Connection refused
May 26 17:20:02 server postfix/smtp[24967]: 37D3B1444F1: to=, relay=mxb.ovh.net[213.186.37.103]:25, delay=0.69, delays=0/0/0.02/0.66, dsn=2.0.0, status=sent (250 ok 1369573347 qp 10313)
May 26 17:20:02 server postfix/qmgr[743]: 37D3B1444F1: removed
Comment je peu corriger cette fail ?
D'avance merci pour votre aide.

Athar
26/05/2013, 15h39
Il doit être dans la mailq, donc va lire le mail et tu pourra avoir déjà quelques infos supplémentaires (mail automatique, ou spam (et donc faille)).

patmax
26/05/2013, 12h04
Bonjour,
J'ai donc fais une recherche et effectivement j'ai un membre qui est inscris avec l'email "emule-ed2k.fr" mais depuis 6 mois, pour quoi mon serveur lui envois un mail de plus le membre ne viens plus sur le site depuis aussi 6 mois.

Nowwhat
25/05/2013, 18h18
Citation Envoyé par Jappy
...
pour bloquer en urgence cette adresse ... fichier /etc/hosts
ajoute ligne 127.0.0.1 emule-ed2k.fr

comme ca les mails resteront chez toi
Ben voyons, il va se bombarder lui même

Je conseille d'installer Munin, pour que tu possède ce genre des données visuelles: https://www.papy-team.org/munin/org/...x.html#postfix C'est vite vu quand ton postfix fait des heures supp pour des étrangers.

Jappy
25/05/2013, 10h28
si tu as de la difficulté a envoyer mail a l'extérieur , possible que ovh t'ai bloqué ton port 25

pour bloquer en urgence cette adresse ... fichier /etc/hosts
ajoute ligne 127.0.0.1 emule-ed2k.fr

comme ca les mails resteront chez toi

buddy
25/05/2013, 10h12
beh il faut déjà trouver qui l'a envoyé et éventuellement trouvé la faille ...

Tu as quoi sur ton serveur ? un site ? un forum ? tout tes scripts sont à jour ?
as-tu une base de données avec des utilisateurs enregistrés via leur adresse mail ?
Si oui il y a t il un utilisateur avec un email du type adresse@emule-ed2k.fr ?

Si non, ton serveur a une faille exploitée visiblement ...

patmax
25/05/2013, 10h00
Par contre j'ai toujours les messages dans mes logs.

May 25 09:37:47 server postfix/smtp[15621]: connect to emule-ed2k.fr[199.59.243.109]:25: Connection timed out
May 25 09:38:08 server postfix/smtp[15621]: connect to emule-ed2k.fr[199.59.243.107]:25: Connection timed out
May 25 09:38:29 server postfix/smtp[15621]: connect to emule-ed2k.fr[199.59.243.106]:25: Connection timed out
May 25 09:38:50 server postfix/smtp[15621]: connect to emule-ed2k.fr[199.59.243.108]:25: Connection timed out
Comment empècher que mon serveur envois des mails a cette adresse ?
Merci

patmax
25/05/2013, 09h34
Bonjour,
Je viens de re faire un test et a la fin il me marque "All tested completed! No relays accepted by remote host!"
DOnc pour le moment il est plus en relays, mais le serveur ne plante plus non plus donc c'est peut être la cause.
Pour ma signature, non c'est plus le même serveur, la je suis sur (Debian) PHP/5.3.3-7+squeeze15.
Avez-vous une solution pour mon problème de relays comment je dois faire ?
Merci beaucoup pour vos aides

patmax
24/05/2013, 22h44
Oups j'avais pas fais attention a la fin du test, la il marque "Port 25 is Closed at mon ip
Test aborted."
Il ne fait plus le test
Pour le mail non aucune idée de cette adresse

buddy
24/05/2013, 22h33
et le reste ? il y a 15 tests normalement ..

quelle est la conclusion finale ?
All tested completed! No relays accepted by remote host! ? ou autre chose ?

sais-tu si un email a été volontairement envoyé depuis ton serveur vers emule-ed2K.FR?

patmax
24/05/2013, 22h25
Voila la réponse.

[Method 0]
<<< 220 server.localdomain ESMTP Postfix (Debian/GNU)
>>> HELO mailradar.com
<<< 250 server.localdomain
>>> MAIL FROM:
<<< 250 2.1.0 Ok
>>> RCPT TO:
<<< 554 5.7.1 : Relay access denied
>>> QUIT
<<< 221 2.0.0 Bye

3 fois

buddy
24/05/2013, 22h20
ha oui ... çà m'apprendra à lire en diagonale ...
donc 2 possibilités,
soit tu as essayé d'envoyer un email à xxx@emule-ed2k.fr
soit ton serveur est open relay smtp ou piraté/hacké ...

enfin y a anguille sous roche là dessous ..
pour info emule-ed2k.fr n'a aucun serveur MX, ton serveur tente de se connecter à l'adresse ip du site web. ( ip qui varie car je suppose que cette page a été posée sur un cluster de mutualisé avec plusieurs ips)

EDIT : tu peux tester ici pour voir si ton serveur est open relay : http://www.mailradar.com/openrelay/

patmax
24/05/2013, 22h19
Pour info, postfix est déjà sur "true"

patmax
24/05/2013, 22h17
Merci pour votre aide, pour info je suis sur debian.
Je vais déjà voir pour activer sur fail2ban postfix.
Athar tu as une idée pour bloquer ?

Athar
24/05/2013, 22h12
Hum...
"May 24 20:46:10 server postfix/smtp[28765]: connect to emule-ed2k.fr[199.59.243.106]:25: Connection timed out "

Pour moi, c'est son serveur qui tente de ce connecter sur l'IP distante, pas l'inverse. Dans ce cas, bloquer en entrée ne servira a rien également.

buddy
24/05/2013, 21h59
salut,

c'est surtout que çà n'est pas la même ip qui apparaît tout le temps ...

moi j'aurais taper

iptables -I INPUT -s 199.59.243.0/24 -j DROP

c'est un peu radical, çà bloque tout de
199.59.243.1 à 199.59.243.254

tu as pensé à installer aussi fail2ban ??
si oui active le module postfix.

Edit: sous ubuntu

sudo iptables -I INPUT -s 199.59.243.0/24 -j DROP

patmax
24/05/2013, 20h52
Bonsoir a tous, une petite aide svp.
Je crois que j'ai des attack sur le serveur la seul chose que je vois dans les logs c'est souvent cette ligne.

May 24 20:45:07 server postfix/smtp[28765]: connect to emule-ed2k.fr[199.59.243.105]:25: Connection timed out
May 24 20:45:28 server postfix/smtp[28765]: connect to emule-ed2k.fr[199.59.243.107]:25: Connection timed out
May 24 20:45:49 server postfix/smtp[28765]: connect to emule-ed2k.fr[199.59.243.109]:25: Connection timed out
May 24 20:46:10 server postfix/smtp[28765]: connect to emule-ed2k.fr[199.59.243.106]:25: Connection timed out
J'ai donc bloqué les ip avec la commande.
sudo iptables -I INPUT 1 -s 199.59.243.109 -j DROP
Et j'ai toujours c'est ligne dans les logs, donc l'ip n'est pas bloqué ?
Comment faire pour bloquer c'est ips ?
D'avance merci