Urgent srv Exch sous attaque

Le
Naej
Bonjour,

Voila j'ai une urgence a vous soumettre:

Depuis hiers mon serveur Exchange 2003 (sur SBS r2) semble etre la cible
d'une attaque . mes files d'attentes sont pleines de connexions non desirées
et des dizaines de milliers de spam partent de mon serveur. au point qu'il
n'a plus les ressources pour les services habituels.

En fait j'avais quelques pb de communication avec certains domaines de
messagerie, aussi la qqjours auparavant j'ai touché aux regles d'acces
(propriétés du serveur virtuel smtp).
Certain utilisateurs qui se connectaient depuis des laisons L2tp n'arrivais
pas à communiquer avec certains domaines de messageries.
J'ai pensé que c'etait un pb lié au Restriction de relais.
J'ai momentanément laissé ouverte la liste des machines autorisées a relayer
en 24h ca n'a pas manqué, hiers je me suis appercut que mon serveur n'etait
plus dispo, et je me suis appercut que mes files d'attente etait plus que
bondées.

J'ai remis les restriction sur le relais mais en vain des que je redémare
mon serveur smtp des centaines de connection (je les ais limité a 50 depuis)
sont etablies pour des milliers de messages, en qq secondes.

J'ai suprimé l'option "autoriser les ordinateurs authentifiés à relayer" je
n'ai authorisé que ma plage d'adresse IP interne ( en esperant qu'il
reconaitra les pc qui se connectent en L2tp comme faisant partie de la plage
en question), mais des que je redémarre le serveur SMTP, toujours la meme
chose.

Je viens aussi d'activer le controle de connection limité a la plage
d'adress interne. apres test j'ai toujours pletore de connections et de
messages dès que je remet en route le serveur smtp.

D'autre part, lorsque j'essais de figer les files d'attentes je n'arrive
pas pour autant à suprimer les message qu'elles contiennent (plus de 10 000
pour certaines en quelques secondes)

En fait je me demande si je n'ai pas un troyen installé sur ce serveur tout
neuf car une chose m'etonne j'ai tres peu de process qui tournent (du moins
process visible dans le gestionaire des taches) une dizaine à peine. et
surtout aucun des process que je vois n'utilisent de ressource CPU alors que
ma CPU tourne a fond. des que je mets le smtp en marche.

Pour l'instant j'ai du couper la messagerie, mais je ne peux pas rester tres
longtemps dans cet etat. j'attends vos lumières avec une grande
impatience

Merci de votre aide

--
"La folie est de toujours se comporter de la même manière et de s'attendre à
un résultat différent." A.E.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Naej
Le #883479
PS : dans winmsd je vois presqu'un 60 aine de process qui tournent contre
une toute petite dizaine dans le gestionnaire des taches... cela vous semble
normal ?
Merci encore

--
"La folie est de toujours se comporter de la même manière et de s'attendre à
un résultat différent...." A.E.
"Naej" 46d3c95f$0$27385$



Mathieu CHATEAU
Le #883478
Bonjour,

pour le futur, ne soyez jamais open relay.
Pour maintenant, vous pouvez vider tous les messages (ou du moins les
mettres tous en quarantaine dans un dossier temporaire, et chercher ensuite
les mails pour votre domaine (F3 est votre ami ;))

Pour savoir si vous êtes sur les listes noires:
http://www.mxtoolbox.com/blacklists.aspx

Une fois le servive smtp démarré, pour être sûr que vous n'êtes pas open
relay:
http://www.abuse.net/relay.html

Bon courage,

--
Cordialement,
Mathieu CHATEAU
http://lordoftheping.blogspot.com


"Naej" news:46d3c95f$0$27385$
Bonjour,

Voila j'ai une urgence a vous soumettre:

Depuis hiers mon serveur Exchange 2003 (sur SBS r2) semble etre la cible
d'une attaque . mes files d'attentes sont pleines de connexions non
desirées et des dizaines de milliers de spam partent de mon serveur. au
point qu'il n'a plus les ressources pour les services habituels.

En fait j'avais quelques pb de communication avec certains domaines de
messagerie, aussi la qqjours auparavant j'ai touché aux regles d'acces
(propriétés du serveur virtuel smtp).
Certain utilisateurs qui se connectaient depuis des laisons L2tp
n'arrivais pas à communiquer avec certains domaines de messageries.
J'ai pensé que c'etait un pb lié au Restriction de relais.
J'ai momentanément laissé ouverte la liste des machines autorisées a
relayer en 24h ca n'a pas manqué, hiers je me suis appercut que mon
serveur n'etait plus dispo, et je me suis appercut que mes files d'attente
etait plus que bondées.

J'ai remis les restriction sur le relais mais en vain des que je redémare
mon serveur smtp des centaines de connection (je les ais limité a 50
depuis) sont etablies pour des milliers de messages, en qq secondes.

J'ai suprimé l'option "autoriser les ordinateurs authentifiés à relayer"
je n'ai authorisé que ma plage d'adresse IP interne ( en esperant qu'il
reconaitra les pc qui se connectent en L2tp comme faisant partie de la
plage en question), mais des que je redémarre le serveur SMTP, toujours la
meme chose.

Je viens aussi d'activer le controle de connection limité a la plage
d'adress interne. apres test j'ai toujours pletore de connections et de
messages dès que je remet en route le serveur smtp.

D'autre part, lorsque j'essais de figer les files d'attentes... je
n'arrive pas pour autant à suprimer les message qu'elles contiennent (plus
de 10 000 pour certaines en quelques secondes)

En fait je me demande si je n'ai pas un troyen installé sur ce serveur
tout neuf car une chose m'etonne j'ai tres peu de process qui tournent (du
moins process visible dans le gestionaire des taches) une dizaine à peine.
et surtout aucun des process que je vois n'utilisent de ressource CPU
alors que ma CPU tourne a fond.... des que je mets le smtp en marche.

Pour l'instant j'ai du couper la messagerie, mais je ne peux pas rester
tres longtemps dans cet etat.... j'attends vos lumières avec une grande
impatience

Merci de votre aide

--
"La folie est de toujours se comporter de la même manière et de s'attendre
à un résultat différent...." A.E.



Naej
Le #883477
"Mathieu CHATEAU"
Bonjour,

pour le futur, ne soyez jamais open relay.
Pour maintenant, vous pouvez vider tous les messages (ou du moins les
mettres tous en quarantaine dans un dossier temporaire, et chercher
ensuite les mails pour votre domaine (F3 est votre ami ;))

Pour savoir si vous êtes sur les listes noires:
http://www.mxtoolbox.com/blacklists.aspx

Une fois le servive smtp démarré, pour être sûr que vous n'êtes pas open
relay:
http://www.abuse.net/relay.html

Bon courage,

--
Cordialement,
Mathieu CHATEAU
http://lordoftheping.blogspot.com


Merci pour les liens... je ne suis plus en open relay, pourtant des millier
de mail arrivent dans mon systeme et demande des centaine de connections.
lorsque je fige les files d'attente, tous ces mails se regroupent dans la
file d'attente " Dépot de messages suspendu" (du moins les nouveaux mails
qui ne cessent d'arriver). j'ai fermé depuis longtemps le relay, mais ca
continu. comme si un process sur mon serveur envoyait du spam en continu.
j'ia remarqué aussi que mon process "inetinfo.exe" utilisait une grande
quantitié de memoire dés que je redémarre le "serveur virtuel smtp".

cela va faire 24h et tous les users sont tjrs bloqués.
merci encore de votre aide à tous.



--
"La folie est de toujours se comporter de la même manière et de s'attendre à
un résultat différent...." A.E.

Mathieu CHATEAU
Le #883476
le service smtp tourne avec inetinfo (IIS), c'est donc normal.

Déplacer tous les mails en attentes dans un dossier temporaire.
Par défaut, les mails en attentes sont dans:
c:inetpubmailrootqueue et/ou pickup
une fois le service redémarré, si des mails s'entassent de nouveau, bloquez
la file
ouvrez les mails avec notepad sur le serveur:
-Ils viennent de l'exterieur vers votre domaine : vous subissez une
avanlanche de spam. Essayez de bloquer les adresses IP si il y en a peu
-Ils viennent de l'extérieur vers l'extérieur:vous être toujours open relay
-ils viennent depuis un pc contaminé chez vous: débranchez le + scan
antivirus & co


--
Cordialement,
Mathieu CHATEAU
http://lordoftheping.blogspot.com


"Naej" news:46d3f99f$0$25918$
"Mathieu CHATEAU"
Bonjour,

pour le futur, ne soyez jamais open relay.
Pour maintenant, vous pouvez vider tous les messages (ou du moins les
mettres tous en quarantaine dans un dossier temporaire, et chercher
ensuite les mails pour votre domaine (F3 est votre ami ;))

Pour savoir si vous êtes sur les listes noires:
http://www.mxtoolbox.com/blacklists.aspx

Une fois le servive smtp démarré, pour être sûr que vous n'êtes pas open
relay:
http://www.abuse.net/relay.html

Bon courage,

--
Cordialement,
Mathieu CHATEAU
http://lordoftheping.blogspot.com


Merci pour les liens... je ne suis plus en open relay, pourtant des
millier de mail arrivent dans mon systeme et demande des centaine de
connections.
lorsque je fige les files d'attente, tous ces mails se regroupent dans la
file d'attente " Dépot de messages suspendu" (du moins les nouveaux mails
qui ne cessent d'arriver). j'ai fermé depuis longtemps le relay, mais ca
continu. comme si un process sur mon serveur envoyait du spam en continu.
j'ia remarqué aussi que mon process "inetinfo.exe" utilisait une grande
quantitié de memoire dés que je redémarre le "serveur virtuel smtp".

cela va faire 24h et tous les users sont tjrs bloqués.
merci encore de votre aide à tous.



--
"La folie est de toujours se comporter de la même manière et de s'attendre
à un résultat différent...." A.E.




Naej
Le #883472
Merci au detail prés que j'ai trouvé les mail en attente dans C:Program
FilesExchsrvrMailrootvsi 1Queue
parcontre avant d'arriver a ce resultat j'ai du jouer avec les filtres de
connection d'exp et dest, restriction d'acces etc..bref je ne subit plus une
avalanche de spam, par contre si j'arrive encore à envoyer quelques
messages, je ne recois plus rien .

je me suis connecté en telnet (depuis le serveur en question, je ne sais pas
si ca fausse les tests) sur le serveur smtp,
lorsque je fait

MAIL FROM:
501 5.5.4 Invalid Address

et avec une adresse interne :

250 2.0.0 Resetting
MAIL FROM:
454 5.7.3 Client does not have permission to submit mail to this server.

Perte de la connexion à l'hôte.

si je comprends bien les mails arrivant de l'exterieur recoivent un code
d'erreur sur l'adresse et en interne les utilisateur n'ont pas le droit
d'envoyer des mail ( ce qui contredit le fait que j'arrive bien envoyer des
mail a l'exterieur). mais peut etre est ce du au fait que je fait le telnet
depuis le serveur en question ?

Il faut absolument que je retablisse l'arrivées des mails... ca va faire 48h
et je ne comprends pas ce qui empeche la reception.
Merci de votre aide
--
"La folie est de toujours se comporter de la même manière et de s'attendre à
un résultat différent...." A.E.


"Mathieu CHATEAU"
le service smtp tourne avec inetinfo (IIS), c'est donc normal.

Déplacer tous les mails en attentes dans un dossier temporaire.
Par défaut, les mails en attentes sont dans:
c:inetpubmailrootqueue et/ou pickup
une fois le service redémarré, si des mails s'entassent de nouveau,
bloquez la file
ouvrez les mails avec notepad sur le serveur:
-Ils viennent de l'exterieur vers votre domaine : vous subissez une
avanlanche de spam. Essayez de bloquer les adresses IP si il y en a peu
-Ils viennent de l'extérieur vers l'extérieur:vous être toujours open
relay
-ils viennent depuis un pc contaminé chez vous: débranchez le + scan
antivirus & co



Naej
Le #883263
En fait lorsque je vérifie l'Etat de mon serveur dans la console "first
organization, outils, analyse et états"
mon serveur apparait dans un état "critique: service non exectuté"
et je ne vois pas ou je dois le relancer ( s'il se relance).
ca vous dis qqch ?


--
"La folie est de toujours se comporter de la même manière et de s'attendre à
un résultat différent...." A.E.
Mathieu CHATEAU
Le #883262
Bonjour,

vérifier les services windows exchange.

--
Cordialement,
Mathieu CHATEAU
http://lordoftheping.blogspot.com


"Naej" news:46d58010$0$25925$
En fait lorsque je vérifie l'Etat de mon serveur dans la console "first
organization, outils, analyse et états"
mon serveur apparait dans un état "critique: service non exectuté"
et je ne vois pas ou je dois le relancer ( s'il se relance).
ca vous dis qqch ?


--
"La folie est de toujours se comporter de la même manière et de s'attendre
à un résultat différent...." A.E.



Mathieu CHATEAU
Le #883261
Bonjour,

dans les propriétés du service smtp
onglès acces
authentification
cocher connexion anonyme

onglet connexion
tous sauf la liste ci-dessous
laisser vide

Relais
uniquement la liste ci-dessous
mettre votre réseau interne
--
Cordialement,
Mathieu CHATEAU
http://lordoftheping.blogspot.com


"Naej" news:46d5615f$0$25918$
Merci au detail prés que j'ai trouvé les mail en attente dans C:Program
FilesExchsrvrMailrootvsi 1Queue
parcontre avant d'arriver a ce resultat j'ai du jouer avec les filtres de
connection d'exp et dest, restriction d'acces etc..bref je ne subit plus
une avalanche de spam, par contre si j'arrive encore à envoyer quelques
messages, je ne recois plus rien .

je me suis connecté en telnet (depuis le serveur en question, je ne sais
pas si ca fausse les tests) sur le serveur smtp,
lorsque je fait

MAIL FROM:
501 5.5.4 Invalid Address

et avec une adresse interne :

250 2.0.0 Resetting
MAIL FROM:
454 5.7.3 Client does not have permission to submit mail to this
server.

Perte de la connexion à l'hôte.

si je comprends bien les mails arrivant de l'exterieur recoivent un code
d'erreur sur l'adresse et en interne les utilisateur n'ont pas le droit
d'envoyer des mail ( ce qui contredit le fait que j'arrive bien envoyer
des mail a l'exterieur). mais peut etre est ce du au fait que je fait le
telnet depuis le serveur en question ?

Il faut absolument que je retablisse l'arrivées des mails... ca va faire
48h et je ne comprends pas ce qui empeche la reception.
Merci de votre aide
--
"La folie est de toujours se comporter de la même manière et de s'attendre
à un résultat différent...." A.E.


"Mathieu CHATEAU"
le service smtp tourne avec inetinfo (IIS), c'est donc normal.

Déplacer tous les mails en attentes dans un dossier temporaire.
Par défaut, les mails en attentes sont dans:
c:inetpubmailrootqueue et/ou pickup
une fois le service redémarré, si des mails s'entassent de nouveau,
bloquez la file
ouvrez les mails avec notepad sur le serveur:
-Ils viennent de l'exterieur vers votre domaine : vous subissez une
avanlanche de spam. Essayez de bloquer les adresses IP si il y en a peu
-Ils viennent de l'extérieur vers l'extérieur:vous être toujours open
relay
-ils viennent depuis un pc contaminé chez vous: débranchez le + scan
antivirus & co







el mucho
Le #879212
L'homme,

C'est c'est même pire, je ne comprend plus rien, quand je fais des mails,
mon domaine est remplacé par @123.com dans les mails, bizard.

mais fils d'attentes sont tjours foules,
Quand je tape la resolution nsllokup, et que je demande de resoudre 123.com
pire je n'ai pas d'adresse IP; encore bizard !



Bonjour,

pour le futur, ne soyez jamais open relay.
Pour maintenant, vous pouvez vider tous les messages (ou du moins les
mettres tous en quarantaine dans un dossier temporaire, et chercher ensuite
les mails pour votre domaine (F3 est votre ami ;))

Pour savoir si vous tes sur les listes noires:
http://www.mxtoolbox.com/blacklists.aspx

Une fois le servive smtp dmarr, pour tre sr que vous n'tes pas open
relay:
http://www.abuse.net/relay.html

Bon courage,

--
Cordialement,
Mathieu CHATEAU
http://lordoftheping.blogspot.com


"Naej" news:46d3c95f$0$27385$
Bonjour,

Voila j'ai une urgence a vous soumettre:

Depuis hiers mon serveur Exchange 2003 (sur SBS r2) semble etre la cible
d'une attaque . mes files d'attentes sont pleines de connexions non
desires et des dizaines de milliers de spam partent de mon serveur. au
point qu'il n'a plus les ressources pour les services habituels.

En fait j'avais quelques pb de communication avec certains domaines de
messagerie, aussi la qqjours auparavant j'ai touch aux regles d'acces
(proprits du serveur virtuel smtp).
Certain utilisateurs qui se connectaient depuis des laisons L2tp
n'arrivais pas communiquer avec certains domaines de messageries.
J'ai pens que c'etait un pb li au Restriction de relais.
J'ai momentanment laiss ouverte la liste des machines autorises a
relayer en 24h ca n'a pas manqu, hiers je me suis appercut que mon
serveur n'etait plus dispo, et je me suis appercut que mes files d'attente
etait plus que bondes.

J'ai remis les restriction sur le relais mais en vain des que je redmare
mon serveur smtp des centaines de connection (je les ais limit a 50
depuis) sont etablies pour des milliers de messages, en qq secondes.

J'ai suprim l'option "autoriser les ordinateurs authentifis relayer"
je n'ai authoris que ma plage d'adresse IP interne ( en esperant qu'il
reconaitra les pc qui se connectent en L2tp comme faisant partie de la
plage en question), mais des que je redmarre le serveur SMTP, toujours la
meme chose.

Je viens aussi d'activer le controle de connection limit a la plage
d'adress interne. apres test j'ai toujours pletore de connections et de
messages ds que je remet en route le serveur smtp.

D'autre part, lorsque j'essais de figer les files d'attentes... je
n'arrive pas pour autant suprimer les message qu'elles contiennent (plus
de 10 000 pour certaines en quelques secondes)

En fait je me demande si je n'ai pas un troyen install sur ce serveur
tout neuf car une chose m'etonne j'ai tres peu de process qui tournent (du
moins process visible dans le gestionaire des taches) une dizaine peine.
et surtout aucun des process que je vois n'utilisent de ressource CPU
alors que ma CPU tourne a fond.... des que je mets le smtp en marche.

Pour l'instant j'ai du couper la messagerie, mais je ne peux pas rester
tres longtemps dans cet etat.... j'attends vos lumires avec une grande
impatience

Merci de votre aide

--
"La folie est de toujours se comporter de la mme manire et de s'attendre
un rsultat diffrent...." A.E.






Naej
Le #878978
Pour Info IDEM j'ai de nombreuses connections sur ce domaine "@123.com".
j'ai suivi les recommendations de Mathieu (vider les files d'attentes etc...
voir le fil ) ca m'a deja désengorgé le serveur.
Par contre, je vois que mon serveur ouvre toujours de nombreuses connections
vers ce type de domaines, les messages envoyés sont des réponses de
"postmaster" pour signifier que tel ou tel adresse de messagerie ne fait pas
partie de l'organisation mais les messages en question ne partent pas et
restent dans les files d'attentes.
Il doit etre possible de ne pas répondre au message qui ne sont pas adressé
a une adresse valide (d'ailleur dans le filtrage des destinataires il est
possible de cocher "Filtrer les destinataires qui ne sont pas dans le
répertoire") ?
le danger serait que par deduction on devine mes adresse interne. mais alors
comment eviter ces connections parasite ?
Si j'active le filtre des destinataires, je risque de recevoir plus de spam
sur les adresses valide ?
faut il alors activer le filtre bayesien ( "filtrage de message
intelligent") j'ai essayé de le faire mais je ne suis pas sur que ce soit le
serveur qui filtre ou le client outlook ?


J'ai redirigé mon smtp vers le smtp du provider, ca me permet de vider les
files d'attente mais ca ne fait que renvoyer le pb ailleurs.

question subsidiaire : l'acces distant (que j'utilise pour connecter des
client outlook a l'exterieur sur exchange ) est il limité à 5 connections ?
en fait, j'ai plein d'utilisateurs qui ont un retour d'erreur 800 quand ils
lancent le "gestionnaire de connection a SBS".

Merci

--
"La folie est de toujours se comporter de la même manière et de s'attendre à
un résultat différent...." A.E.


"el mucho" news:

L'homme,

C'est c'est même pire, je ne comprend plus rien, quand je fais des mails,
mon domaine est remplacé par @123.com dans les mails, bizard.

mais fils d'attentes sont tjours foules,
Quand je tape la resolution nsllokup, et que je demande de resoudre
123.com
pire je n'ai pas d'adresse IP; encore bizard !



Publicité
Poster une réponse
Anonyme