Mon serveur sert de relay à spam

Le
AIexis
Bonjour à tous,
Me voilà devant un problème dont je ne trouve pour l'instant aucune
solution.
J'ai un serveur avec IIS installé et un serveur SMTP. Régulièrement
depuis 4 jours, le serveur SMTP est bombardé de requêtes pour balancer
des spams.
Normalement ça ne devrait pas passer (pas de relai), mais ça passe
quand même. Pourquoi? l'IP entrante de la connexion est 127.0.0.1 ! Et
c'est une IP que je dois autoriser pour PHP (installé sur le même
serveur).
J'ai donc pensé que ça pouvait venir d'une faille d'un script PHP,
mais que neni, même lorsque je désactive PHP j'ai également des
connexions avec la boucle locale. En attendant, j'ai enlevé 127.0.0.1
dans l'autorisation de relai, mais ça n'est pas une solution pour moi.

En bref, y'a un "truc" sur le serveur qui balance des spams en
utilisant l'IP 127.0.0.1 mais c'est pas PHP.

Une idée?
merci!
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
jbongran
Le #19666451
"AIexis" news:
Bonjour à tous,
Me voilà devant un problème dont je ne trouve pour l'instant aucune
solution.
J'ai un serveur avec IIS installé et un serveur SMTP. Régulièrement
depuis 4 jours, le serveur SMTP est bombardé de requêtes pour balancer
des spams.
Normalement ça ne devrait pas passer (pas de relai), mais ça passe
quand même. Pourquoi? l'IP entrante de la connexion est 127.0.0.1 ! Et
c'est une IP que je dois autoriser pour PHP (installé sur le même
serveur).
J'ai donc pensé que ça pouvait venir d'une faille d'un script PHP,
mais que neni, même lorsque je désactive PHP j'ai également des
connexions avec la boucle locale. En attendant, j'ai enlevé 127.0.0.1
dans l'autorisation de relai, mais ça n'est pas une solution pour moi.

En bref, y'a un "truc" sur le serveur qui balance des spams en
utilisant l'IP 127.0.0.1 mais c'est pas PHP.

Une idée?
merci!


Plusieurs possibilités:
L'adresse 127.0.0.1 est spoofée, un firewall en entrée de ton réseau devrait
bloquer ces requêtes.
Ta machine est "infectée" par une cochonnerie, il faut investiguer avec les
outils traditionnels (antivirus, antimalware)

Quelques "trucs":
Changer le port smtp par défaut de ton serveur smtp, cela n'empêchera pas
ton serveur d'envoyer des mails depuis PHP (après motification du port)
Désactiver les connexions anonymes sur le serveur smtp
un netstat -anbp tcp te donnera le nom de l'exécutable qui se connecte sur
le port 25
L'activation des logs et des champs pertinents (comprendre ceux qui seront
renseignés) pour le serveur smtp permet parfois d'avoir des pistes en
regardant le champs correspondant au logiciel client utilisé
N'hésites pas à poster une transaction smtp issue de ton log...
Alexis
Le #19671211
On 30 juin, 00:41, "jbongran"
"AIexis" Bonjour à tous,
Me voilà devant un problème dont je ne trouve pour l'instant aucune
solution.
J'ai un serveur avec IIS installé et un serveur SMTP. Régulièrement
depuis 4 jours, le serveur SMTP est bombardé de requêtes pour balance r
des spams.
Normalement ça ne devrait pas passer (pas de relai), mais ça passe
quand même. Pourquoi? l'IP entrante de la connexion est 127.0.0.1 ! Et
c'est une IP que je dois autoriser pour PHP (installé sur le même
serveur).
J'ai donc pensé que ça pouvait venir d'une faille d'un script PHP,
mais que neni, même lorsque je désactive PHP j'ai également des
connexions avec la boucle locale. En attendant, j'ai enlevé 127.0.0.1
dans l'autorisation de relai, mais ça n'est pas une solution pour moi.

En bref, y'a un "truc" sur le serveur qui balance des spams en
utilisant l'IP 127.0.0.1 mais c'est pas PHP.

Une idée?
merci!

Plusieurs possibilités:
L'adresse 127.0.0.1 est spoofée, un firewall en entrée de ton résea u devrait
bloquer ces requêtes.
Ta machine est "infectée" par une cochonnerie, il faut investiguer avec les
outils traditionnels (antivirus, antimalware)

Quelques "trucs":
Changer le port smtp par défaut de ton serveur smtp, cela n'empêchera pas
ton serveur d'envoyer des mails depuis PHP (après motification du port)
Désactiver les connexions anonymes sur le serveur smtp
un netstat -anbp tcp te donnera le nom de l'exécutable qui se connecte sur
le port 25
L'activation des logs et des champs pertinents (comprendre ceux qui seron t
renseignés) pour le serveur smtp permet parfois d'avoir des pistes en
regardant le champs correspondant au logiciel client utilisé
N'hésites pas à poster une transaction smtp issue de ton log...



Salut Jbongran, merci pour ta réponse.
Depuis mon premier message, j'ai un petit peu avancé. En regardant de
plus près un de ces spams, je me suis aperçu qu'il y avait un "message
ID" (je sais pas ce que c'est) qui contenait une série de caractères
hexa + @mazda-mx6.com
J'ai donc viré ce site de mon serveur, et depuis, plus rien. Donc
c'était peut-être bien une faille d'un script php de ce site. Le truc
c'est que quand je désactivais php ça spammait quand même. Pour ça
j'ai pas d'explication... surement un truc que j'ai mal fait, pas
désactivé correctement, ou peut-être un espèce d'effet "à
retardement" (oui, désolé, c'est pas très scientifique :D )

Cela dit, je retiens bien tes conseils, parce que c'était peut-être
une coïncidence (je me méfie), et ça n'a peut-être aucun rapport av ec
le fait que j'ai déplacé ce site sur un autre serveur. Si ça
recommence, je vais effectivement changer le port SMTP ça coute rien.
Et dommage que je connaissais pas cette commande netstat -anbp tcp,
parce que ça m'aurait certainement fait gagner pas mal de temps :-/
(je viens d'essayer la commande, ça me sort tellement de résultats que
je ne peux pas en voir le 10ème... y'a un moyen d'enregistrer dans un
log?)

A bientôt et merci encore!
jbongran
Le #19737391
"Alexis" news:

Et dommage que je connaissais pas cette commande netstat -anbp tcp,
parce que ça m'aurait certainement fait gagner pas mal de temps :-/
(je viens d'essayer la commande, ça me sort tellement de résultats que
je ne peux pas en voir le 10ème... y'a un moyen d'enregistrer dans un
log?)

A bientôt et merci encore!

Une petite recherche sur "find" ou cmd dans l'aide de Windows devrait
t'aider à filtrer la sortie de netstat.
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/ntcmds_o.mspx?mfr=true
Le tout peut être ajouté dans un fichier avec un redirecteur tel que ">"
Par exemple:
netstat -anbp tcp|find /i ":25" >> c:netstat.txt
ou encore écraser le fichier à chaque occurrence:
netstat -anbp tcp|find /i ":25" > c:netstat.txt

Voila
Publicité
Poster une réponse
Anonyme