Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 18/08/2012, à 10:29

orionis54

Serveur mail attaque et satturé

Bonjour a tous.

Voila j'ai un grave problème de sécurité
je possède un  serveur mail (postfix dovecot ldap) sous debian squeez.

le souci est que je me suis rendu compte que quelqu'un essayer d'envoyer de millier de mail via mon serveur.
voila le une partie des log

Aug 18 11:26:00 srv1 postfix/smtp[20613]: 23BE1215EE: to=<cm.roehrs@t-ine.de>, relay=smtp.neuf.fr[93.17.128.85]:25, delay=95886, delays=95879/0.08//0, dsn=4.7.1, status=deferred (host smtp.neuf.fr[93.17.128.85] refused to tato me: 554 5.7.1 <29.158.10.93.rev.sfr.net[93.10.158.29]>: Client host reject Abus detecte GU_SIB_06)
Aug 18 11:26:00 srv1 postfix/smtp[20613]: 23BE1215EE: to=<cm.curonegrusona@tor.it>, relay=smtp.neuf.fr[93.17.128.85]:25, delay=95886, delays=95879/8/7.2/0, dsn=4.7.1, status=deferred (host smtp.neuf.fr[93.17.128.85] refused talk to me: 554 5.7.1 <29.158.10.93.rev.sfr.net[93.10.158.29]>: Client host rcted: Abus detecte GU_SIB_06)

Bref ce qui est les plus chiant c'est que les mail envoyer se font jeter et du coup sa sature mes log, et au bout d'un moment mon var est plein imaginer la suite.

Quelqu’un connait il se type d'attaque et surtout le moyen de la contrer

Merci

Hors ligne

#2 Le 18/08/2012, à 10:38

Pacifick_FR42

Re : Serveur mail attaque et satturé

failtoban ?
Changer le port smpt par default ?
Je suis pas super en sécurité, j'essaye des pistes wink

Hors ligne

#3 Le 18/08/2012, à 10:45

orionis54

Re : Serveur mail attaque et satturé

pour le port smtp il est ferme
il n'y que le stmps ouvert et sur un port non standart ce qui devrai calmer les gens puisque sans le certificat on ne peut envoyer, mais il doit y avoir une brèche quelque part.

Hors ligne

#4 Le 18/08/2012, à 10:51

Pacifick_FR42

Re : Serveur mail attaque et satturé

Les mails partent ?
Tu utilises postfix ?

Dernière modification par Pacifick_FR42 (Le 18/08/2012, à 10:55)

Hors ligne

#5 Le 18/08/2012, à 11:39

orionis54

Re : Serveur mail attaque et satturé

alors mes mail que j'envoi moi partent oui mais ceux de l'attaquant ce font jeter comme sur les log
et oui comme je les citer plus haut dans mon premier post j'utilise postfix, dovecot et ldap

Hors ligne

#6 Le 18/08/2012, à 21:34

Xenom

Re : Serveur mail attaque et satturé

Ton serveur mail envoie ces mails, mais le serveur SMTP de SFR les rejettent, surement à cause de leur trop grand nombre.

Il faut trouver ce qui envoi ces mails, des pistes : Postfix configuré comme relais ouvert, un rootkit/... sur ton serveur, un virus/... sur un autre PC sur le même reseau (avec la même IP en sortie).

Hors ligne

#7 Le 18/08/2012, à 22:44

Pacifick_FR42

Re : Serveur mail attaque et satturé

Si ces mails partent, tu risques d'être blacklister...

Hors ligne

#8 Le 18/08/2012, à 23:35

pires57

Re : Serveur mail attaque et satturé

Regarde ce qui est ouvert sur ton serveur.
Que te renvoie

netstat -tanu 

?
Edit : un moyen de surveiller ton réseau c'est e l'analyser avec Wireshark

Dernière modification par pires57 (Le 18/08/2012, à 23:37)


Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

Hors ligne

#9 Le 21/08/2012, à 18:11

Pseudo supprimé

Re : Serveur mail attaque et satturé

mail parti ou pas ;
Reitérer des requêtes pourries et mal formulées suffit aussi à être blacklister..

#10 Le 28/08/2012, à 07:42

orionis54

Re : Serveur mail attaque et satturé

alors rebonjour désolé pour le retard

Voila le netstat -tanu ma retourner beaucoup de chose mais que des ips Locales

Pour rootkit ou virus je veux bien même si très rares sur Debian, la question est comment les débusquers

Hors ligne

#11 Le 28/08/2012, à 08:47

Pacifick_FR42

Re : Serveur mail attaque et satturé

orionis54 a écrit :

alors rebonjour désolé pour le retard

Voila le netstat -tanu ma retourner beaucoup de chose mais que des ips Locales

Pour rootkit ou virus je veux bien même si très rares sur Debian, la question est comment les débusquers

Pour les rootkit, tu tapes rootkit dans la doc
Pour les virus, il y en a pas (même pas très rare).

Hors ligne

#12 Le 28/08/2012, à 08:51

Pseudo supprimé

Re : Serveur mail attaque et satturé

une étude statistique journalière avec pflogsumm pourrait t'aider à localiser le problème.
Si c'est toukours toujours le même attaquant ou un défaut chronique de ta configuration.

sudo apt-get install pflogsumm
sudo pflogsumm -d yesterday /var/log/mail.log
sudo pflogsumm  /var/log/mail.log* 
geoiplookup -f /usr/share/GeoIP/GeoLiteCity.dat ip_attaquant

Dernière modification par Titouan (Le 28/08/2012, à 09:08)

#13 Le 28/08/2012, à 15:47

orionis54

Re : Serveur mail attaque et satturé

Meci titouan

voici des ip bizarres et cataloguer

Warnings
--------
  smtpd (total: 20)
        14   Illegal address syntax from static.4.165.9.176.clients.your-ser...
         1   117.148.10.106.list.dsbl.org: RBL lookup error: Host or domain ...
         1   164.151.10.106.list.dsbl.org: RBL lookup error: Host or domain ...
         1   188.151.10.106.list.dsbl.org: RBL lookup error: Host or domain ...
         1   172.126.227.212.list.dsbl.org: RBL lookup error: Host or domain...
         1   209.91.211.63.list.dsbl.org: RBL lookup error: Host or domain n...
         1   136.155.220.66.list.dsbl.org: RBL lookup error: Host or domain ...
  trivial-rewrite (total: 20)
        20   do not list domain mediati.info in BOTH mydestination and virtu...

cela vien de plusieurs pays différents, quelqu'un qui doit s'amuser puisque on peut constater des redondances dans une partie des ip

Qu'en pensez vous

Hors ligne

#14 Le 28/08/2012, à 21:25

Pseudo supprimé

Re : Serveur mail attaque et satturé

oups, problème de configuration, semble-t-il !

1/do not list domain mediati.info in BOTH mydestination and virtu...

erreur classique: ne pas lister le domaine mediati.info à la fois dans mydestination et virtual_*
solution: supprimer mydestination avec les méthodes virtual
et comme par défaut, relay_domains = $mydestination , il faut changer.
relay_domains = $mynetworks # par exemple

2/RBL lookup error

problème de résolution dns du serveur RBL que tu utilises. Il faut que tu vérifies si il est toujours d'actualité. exemple
Sinon, tu supprimes les restrictiosn RBL

3/ Illegal address syntax

/etc/host, /etc/mailname, myorigin, mal renseignés, et renvoit parfois unknow dans les logs.

#15 Le 29/08/2012, à 15:34

Pseudo supprimé

Re : Serveur mail attaque et satturé

tiens, je suis tombé sur cela en supprimant mes mails.

""....vous le savez peut-être déjà, dsbl.org est définitivement mis hors ligne depuis hier soir. tous les serveurs postfix qui s'en servent pour vérifier les spammeurs refusent tous les mails externes.
pour remédier à ça, il faut donc enlever le check de dsbl.org de main.cf. .....""
info aux admins: dsbl definitivement out