Bonjour tout le monde
Si vous en avez la patience, pourriez-vous m'éclairer sur un problème que je ne comprends pas.
Le site d'un de mes clients s'est fait hacké la semaine dernière et j'ai passé un merveilleux week-end à faire table rase de toute donnée de ce site, Joomla et PhpBB (ftp + bdd). Tout réinstallé à neuf avec pour seul élément récupéré la bdd du forum phpbb, impossible de faire sans pour mon client (j'ai zyeuté la bdd et il me semble que tout est ok, plus de membres suspects et aucune table suspecte non plus).
Inutile de vous dire que j'ai appris plus en 3 jours d'incident qu'en un an de gestion de site web pépère (j'ai surtout appris que j'avais mal fait mon boulot d'ailleurs...). Et j'ai installé plusieurs sécurités (.htaccess et .htpasswd + changement mdp + cryptage fichier config de phpbb + ...)
Donc, tout est ok, dans le manager OVH, plus de mails indésirables depuis le 15, le bonheur absolu donc.
Et là, horreur et damnation, ce matin, je reçois un mail me signalant [OVH-Mail] delivery failure report.
D'après mes recherches de la semaine dernière + recherches de ce matin, voici ce que j'ai cru comprendre :
** si dans "Suivi Emails Automatisés", j'ai des emails signalés et listés, c'est qu'ils ont été envoyés par la fonction php mail() utilisée quelque part sur le site
** si je reçois un "delivery failure" par mail, c'est que ces abus sont passés par la boite mail concernée
Donc je suis allée voir, par le manager, dans la boite mail de mon client pour checker et rien à faire, c'est un vide intersidéral.
Un petit coup d'oeil nerveux dans le mamanger du côté des suivis m'a informée qu'aucun abus n'existait plus depuis le 15/08 (enfin bon, jusqu'à minuit cette nuit... deviens pessimiste moi...).
J'ai vu dans des discus précédentes que vous demandiez le code source du delivery failure alors voici la bête :
From - Tue Aug 20 07:15:00 2013
X-Account-Key: account3
X-UIDL: 23949.Tfc3p8GXyQVTa52+DGPf9AzAQKU=
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: root@admin.ovh.net
Received: from zimbra82-e14.priv.proxad.net (LHLO
zimbra82-e14.priv.proxad.net) (172.20.243.235) by
zimbra82-e14.priv.proxad.net with LMTP; Tue, 20 Aug 2013 02:29:54 +0200
(CEST)
Received: from admin.ovh.net (mx27-g26.priv.proxad.net [172.20.243.97])
by zimbra82-e14.priv.proxad.net (Postfix) with ESMTP id C032020294
for ; Tue, 20 Aug 2013 02:29:54 +0200 (CEST)
Received: from admin.ovh.net ([213.186.33.53])
by mx1-g20.free.fr (MXproxy) for mail-chose@free.fr;
Tue, 20 Aug 2013 02:29:54 +0200 (CEST)
X-ProXaD-SC: state=HAM score=0
Received: by admin.ovh.net (Postfix, from userid 0)
id AC7EC19413; Tue, 20 Aug 2013 02:29:54 +0200 (CEST)
To: mail-chose@free.fr
From: noanswer@ovh.net
Subject: [OVH-Mail] delivery failure report
Message-Id: <20130820002954.AC7EC19413@admin.ovh.net>
Date: Tue, 20 Aug 2013 02:29:54 +0200 (CEST)
Errors for site-de-mon-client
Date : 2013-08-19
Email : dss67imingkai@aircolehaan.com
Errors : 1
Message : Remote host said: 550 Mailbox not found. http:service.mail.qq.comcgi-binhelpsubtype=1id=20022no=1000728 Giving up on 64.71.138.90.
Email : dss07imingkai@aircolehaan.com
Errors : 1
Message : Remote host said: 550 Mailbox not found. http:service.mail.qq.comcgi-binhelpsubtype=1id=20022no=1000728 Giving up on 64.71.138.53.
Email : 1d1vmingkai@aircolehaan.com
Errors : 1
Message : Remote host said: 550 Mailbox not found. http:service.mail.qq.comcgi-binhelpsubtype=1id=20022no=1000728 Giving up on 64.71.138.53.
Email : 9cramingkai@aircolehaan.com
Errors : 1
Message : Remote host said: 550 Mailbox not found. http:service.mail.qq.comcgi-binhelpsubtype=1id=20022no=1000728 Giving up on 64.71.138.53.
Alors je comprends bien en lisant ces infos que les boites mail n'existent pas mais vu que je n'ai pas envoyé ces mails (mon client non plus), d'où partent-ils ? J'ai checké la boite directe de mon client et la boite "mail-chose@free.fr".
Je n'ai rien dans la boite mail de mon client et je me sens impuissante sur ce coup-là...
J'ai lu dans le forum que "il est possible qu'un tiers utilise TON adresse mail dans le champs "Return-Path" ou "From". " => comment puis-je savoir si c'est le cas ?
Je voudrais juste comprendre
Je vais peut-être ouvrir un ticket incident mais je ne suis pas sûre que j'aurai une explication.
Voilà, excusez-moi pour la longueur de ce message et j'espère que vous pourrez m'éclairer un peu.