Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 28/03/2008, à 16:37

B@rtounet

Hacking Squid / Postfix

ca m'était dejà arrivé il y à quelques temps...
Comment expliquez vous qu'on puisse envoyer des mails avec un postfix en passant par squid...

A des fins de tests, j'avais ouvert un proxy squid sur mon serveur dédié, il etait open proxy... pour quelque instant... une heure tout au plus...

à la fin de mes tests, je trouve le serveur anormalement lent... je vérifie un peu les logs de squid...
et là c'est le drame...

1206706455.204   8347 118.168.159.44 TCP_MISS/200 479 CONNECT 59.124.44.99:25 - DIRECT/59.124.44.99 -
1206706455.243   4470 118.168.129.162 TCP_MISS/200 188 CONNECT 203.188.197.9:25 - DIRECT/203.188.197.9 -
1206706455.318   3110 61.59.159.146 TCP_MISS/200 350 CONNECT 122.146.6.19:25 - DIRECT/122.146.6.19 -
1206706455.433   3973 202.66.107.125 TCP_MISS/200 188 CONNECT 203.188.197.10:25 - DIRECT/203.188.197.10 -
1206706455.532   1115 118.168.154.24 TCP_MISS/200 267 CONNECT 212.247.95.234:25 - DIRECT/212.247.95.234 -
1206706455.614   3314 59.104.7.153 TCP_MISS/200 350 CONNECT 203.70.247.27:25 - DIRECT/203.70.247.27 -
1206706455.706  51700 118.168.142.123 TCP_MISS/200 348 CONNECT 64.71.166.220:25 - DIRECT/64.71.166.220 -
1206706455.712  11546 61.59.159.146 TCP_MISS/200 2896 CONNECT 61.63.4.88:25 - DIRECT/61.63.4.88 -
1206706455.713  20847 59.104.7.108 TCP_MISS/200 81 CONNECT 168.95.5.46:25 - DIRECT/168.95.5.46 -
1206706455.723    827 118.168.150.76 TCP_MISS/200 54 CONNECT 210.71.187.212:25 - DIRECT/210.71.187.212 -
1206706455.837  12915 203.67.113.237 TCP_MISS/200 17817 CONNECT 193.172.194.193:25 - DIRECT/193.172.194.193 -
1206706455.873  30108 203.67.113.193 TCP_MISS/200 81 CONNECT 168.95.5.31:25 - DIRECT/168.95.5.31 -
1206706455.982  15949 203.67.113.86 TCP_MISS/200 2609 CONNECT 74.208.5.4:25 - DIRECT/74.208.5.4 -
1206706456.008  59517 203.67.113.204 TCP_MISS/503 0 CONNECT 168.95.6.143:25 - DIRECT/168.95.6.143 -
1206706456.072   3085 118.168.145.147 TCP_MISS/200 349 CONNECT 218.249.111.36:25 - DIRECT/218.249.111.36 -
1206706456.264   5786 203.67.113.164 TCP_MISS/200 327 CONNECT 59.120.168.88:25 - DIRECT/59.120.168.88 -
1206706456.383     91 118.168.138.110 TCP_MISS/200 39 CONNECT 195.116.253.0:25 - DIRECT/195.116.253.0 -

on voit bien que squid essaye de se connecter aux ports 25 d'autre serveurs...
dejà quel est l'interet? sachant que squid fait du http, se connecter sur le port 25 en http ca ne sert à rien....

Mais ce n'est pas le plus grave...
Comme ca m'était dejà arrivé je look la mailq de mon postfix... et là plus de 3000 mails dans la mailq...

je m'empresse de stoper postfix et squid et de supprimer la mailq
en regardant les logs des mails.... je vois que des miliers de mails on été envoyés en direction d'adresse hotmails

Mar 28 15:15:16 serveur postfix/qmgr[13494]: 90CC61C29E: to=<alleyxxx0@hotmail.com>, relay=none, delay=3.8, delays=3.8/0.02/0/0, dsn=4.4.2                                      , status=deferred (delivery temporarily suspended: lost connection with mx1.hotmail.com[65.54.244.136] while sending RCPT TO)
Mar 28 15:15:16 serveur postfix/qmgr[13494]: 90CC61C29E: to=<bxxx9@hotmail.com>, relay=none, delay=3.8, delays=3.8/0.02/0/0, dsn=4.4.2, stat                                      us=deferred (delivery temporarily suspended: lost connection with mx1.hotmail.com[65.54.244.136] while sending RCPT TO)
Mar 28 15:15:16 serveur postfix/qmgr[13494]: 90CC61C29E: to=<churooch@hotmail.com>

D'ou ma question comment peut t'il à partir de squid se connecter à mon postfix et envoyer des mails....??
et dans ce cas pourquoi mon postfix a accepté de les relayer?? la je crosi avoir la réponse... si il est passé par squid l'adresse d'envoi est 127.0.0.1

voici mon postconf

root@serveur:~# postconf -n
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/postfix/aliases
append_dot_mydomain = no
biff = no
config_directory = /etc/postfix
home_mailbox = Maildir/
inet_interfaces = all
mailbox_command = /usr/bin/procmail -Y -a $DOMAIN
mailbox_size_limit = 0
mydestination = smtp.info16.fr, serveur.info16.fr, localhost.kimsufi.com, info16.fr, localhost, bartounet.no-ip.org
myhostname = smtp.info16.fr
mynetworks = 127.0.0.0/8, 91.121.31.206, 82.240.217.196
myorigin = /etc/mailname
recipient_delimiter = +
sender_canonical_maps = hash:/etc/postfix/sender_canonical
smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache
smtpd_banner = $myhostname
smtpd_client_restrictions = permit_mynetworks, reject_rbl_client zen.spamhaus.org, reject_rbl_client bl.spamcop.net, reject_rbl_client list.dsbl.org, reject_rbl_client dnsbl.ahbl.org, reject_rbl_client ircbl.ahbl.org, reject_rbl_client virbl.dnsbl.bit.nl, reject_rbl_client ix.dnsbl.manitu.net, reject_rbl_client blackholes.uceb.org, reject_rbl_client dnsbl-1.uceprotect.net, reject_rbl_client dnsbl-2.uceprotect.net, permit
smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, check_policy_service unix:private/policy, check_policy_service inet:127.0.0.1:60000, check_policy_service inet:127.0.0.1:12525, permit
smtpd_sender_restrictions = reject_unknown_sender_domain, reject_non_fqdn_sender, permit_mynetworks
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
smtpd_use_tls = yes
transport_maps = hash:/etc/postfix/transport
virtual_alias_maps = hash:/etc/postfix/virtual

Uggy va encore rire hmm en disant encore B@rtounet wink

j'ai eut aussi ce genre de log

Mar 28 13:21:43 serveur postfix/smtp[29405]: warning: host 0.0.0.0[0.0.0.0]:25 greeted me with my own hostname smtp.info16.fr
Mar 28 13:21:43 serveur postfix/smtp[29405]: warning: host 0.0.0.0[0.0.0.0]:25 replied to HELO/EHLO with my own hostname smtp.info16.fr

je conclu plus à une faille de sécurité de squid qui permet de prendre la main sur postfix?

Dernière modification par B@rtounet (Le 28/03/2008, à 16:43)

http://blog.info16.fr

Hors ligne

#2 Le 28/03/2008, à 17:08

B@rtounet

Re : Hacking Squid / Postfix

Bon bah j'ai trouvé...
c'est assez simple...
il se connecte en telnet à squid et comme squid est mal configuré il accepte les méthode connect...
donc une fois connecté sur squid il se connect par la méthode CONNECT à info16.fr:25

comme pour postfix la conexion vient de 127.0.0.1 il accepte tout envoie de mail...

je viens de faire le test en ligne de commande a partir d'un poste externe

root@ubuntu:~# telnet info16.fr 3128
Trying 91.121.31.206...
Connected to info16.fr.
Escape character is '^]'.
CONNECT smtp.info16.fr:25 HTTP/1.0

HTTP/1.0 200 Connection established

220 smtp.info16.fr
ehlo fausseadresse@aol.com
250-smtp.info16.fr
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
mail from:fausseadresse@aol.com
250 2.1.0 Ok
rcpt to:antony@fauxdomaine.fr
250 2.1.5 Ok
data
354 End data with <CR><LF>.<CR><LF>
tutu
.
250 2.0.0 Ok: queued as ABBE21B23E
quit
221 2.0.0 Bye

Donc au final, pensez à bien sécuriser votre squid...
Mais une question me vient à l'esprit... a quoi sert l'option dans squid http_access allow all c'est une abhération au niveau de la sécurité

Dernière modification par B@rtounet (Le 28/03/2008, à 17:10)

http://blog.info16.fr

Hors ligne

#3 Le 28/03/2008, à 17:23

Uggy

Re : Hacking Squid / Postfix

Arf.. encore B@rtounet...

Relis mon dernier post
http://forum.ubuntu-fr.org/viewtopic.php?id=137603

Je pige toujours pas pourquoi ton Squid est accessible de l'exterieur ?

Hors ligne

#4 Le 28/03/2008, à 18:20

B@rtounet

Re : Hacking Squid / Postfix

comme je te le dis... c'est pas un squid qui est censé tourner... je le demarre de temps en temps pour des tests réseau

Dernière modification par B@rtounet (Le 28/03/2008, à 18:56)

http://blog.info16.fr

Hors ligne

Pages : 1