Urgent srv Exch sous attaque
Le
Naej
Bonjour,
Voila j'ai une urgence a vous soumettre:
Depuis hiers mon serveur Exchange 2003 (sur SBS r2) semble etre la cible
d'une attaque . mes files d'attentes sont pleines de connexions non desirées
et des dizaines de milliers de spam partent de mon serveur. au point qu'il
n'a plus les ressources pour les services habituels.
En fait j'avais quelques pb de communication avec certains domaines de
messagerie, aussi la qqjours auparavant j'ai touché aux regles d'acces
(propriétés du serveur virtuel smtp).
Certain utilisateurs qui se connectaient depuis des laisons L2tp n'arrivais
pas à communiquer avec certains domaines de messageries.
J'ai pensé que c'etait un pb lié au Restriction de relais.
J'ai momentanément laissé ouverte la liste des machines autorisées a relayer
en 24h ca n'a pas manqué, hiers je me suis appercut que mon serveur n'etait
plus dispo, et je me suis appercut que mes files d'attente etait plus que
bondées.
J'ai remis les restriction sur le relais mais en vain des que je redémare
mon serveur smtp des centaines de connection (je les ais limité a 50 depuis)
sont etablies pour des milliers de messages, en qq secondes.
J'ai suprimé l'option "autoriser les ordinateurs authentifiés à relayer" je
n'ai authorisé que ma plage d'adresse IP interne ( en esperant qu'il
reconaitra les pc qui se connectent en L2tp comme faisant partie de la plage
en question), mais des que je redémarre le serveur SMTP, toujours la meme
chose.
Je viens aussi d'activer le controle de connection limité a la plage
d'adress interne. apres test j'ai toujours pletore de connections et de
messages dès que je remet en route le serveur smtp.
D'autre part, lorsque j'essais de figer les files d'attentes je n'arrive
pas pour autant à suprimer les message qu'elles contiennent (plus de 10 000
pour certaines en quelques secondes)
En fait je me demande si je n'ai pas un troyen installé sur ce serveur tout
neuf car une chose m'etonne j'ai tres peu de process qui tournent (du moins
process visible dans le gestionaire des taches) une dizaine à peine. et
surtout aucun des process que je vois n'utilisent de ressource CPU alors que
ma CPU tourne a fond. des que je mets le smtp en marche.
Pour l'instant j'ai du couper la messagerie, mais je ne peux pas rester tres
longtemps dans cet etat. j'attends vos lumières avec une grande
impatience
Merci de votre aide
--
"La folie est de toujours se comporter de la même manière et de s'attendre à
un résultat différent." A.E.
Voila j'ai une urgence a vous soumettre:
Depuis hiers mon serveur Exchange 2003 (sur SBS r2) semble etre la cible
d'une attaque . mes files d'attentes sont pleines de connexions non desirées
et des dizaines de milliers de spam partent de mon serveur. au point qu'il
n'a plus les ressources pour les services habituels.
En fait j'avais quelques pb de communication avec certains domaines de
messagerie, aussi la qqjours auparavant j'ai touché aux regles d'acces
(propriétés du serveur virtuel smtp).
Certain utilisateurs qui se connectaient depuis des laisons L2tp n'arrivais
pas à communiquer avec certains domaines de messageries.
J'ai pensé que c'etait un pb lié au Restriction de relais.
J'ai momentanément laissé ouverte la liste des machines autorisées a relayer
en 24h ca n'a pas manqué, hiers je me suis appercut que mon serveur n'etait
plus dispo, et je me suis appercut que mes files d'attente etait plus que
bondées.
J'ai remis les restriction sur le relais mais en vain des que je redémare
mon serveur smtp des centaines de connection (je les ais limité a 50 depuis)
sont etablies pour des milliers de messages, en qq secondes.
J'ai suprimé l'option "autoriser les ordinateurs authentifiés à relayer" je
n'ai authorisé que ma plage d'adresse IP interne ( en esperant qu'il
reconaitra les pc qui se connectent en L2tp comme faisant partie de la plage
en question), mais des que je redémarre le serveur SMTP, toujours la meme
chose.
Je viens aussi d'activer le controle de connection limité a la plage
d'adress interne. apres test j'ai toujours pletore de connections et de
messages dès que je remet en route le serveur smtp.
D'autre part, lorsque j'essais de figer les files d'attentes je n'arrive
pas pour autant à suprimer les message qu'elles contiennent (plus de 10 000
pour certaines en quelques secondes)
En fait je me demande si je n'ai pas un troyen installé sur ce serveur tout
neuf car une chose m'etonne j'ai tres peu de process qui tournent (du moins
process visible dans le gestionaire des taches) une dizaine à peine. et
surtout aucun des process que je vois n'utilisent de ressource CPU alors que
ma CPU tourne a fond. des que je mets le smtp en marche.
Pour l'instant j'ai du couper la messagerie, mais je ne peux pas rester tres
longtemps dans cet etat. j'attends vos lumières avec une grande
impatience
Merci de votre aide
--
"La folie est de toujours se comporter de la même manière et de s'attendre à
un résultat différent." A.E.
Poser une question
une toute petite dizaine dans le gestionnaire des taches... cela vous semble
normal ?
Merci encore
--
"La folie est de toujours se comporter de la même manière et de s'attendre à
un résultat différent...." A.E.
"Naej" 46d3c95f$0$27385$
pour le futur, ne soyez jamais open relay.
Pour maintenant, vous pouvez vider tous les messages (ou du moins les
mettres tous en quarantaine dans un dossier temporaire, et chercher ensuite
les mails pour votre domaine (F3 est votre ami ;))
Pour savoir si vous êtes sur les listes noires:
http://www.mxtoolbox.com/blacklists.aspx
Une fois le servive smtp démarré, pour être sûr que vous n'êtes pas open
relay:
http://www.abuse.net/relay.html
Bon courage,
--
Cordialement,
Mathieu CHATEAU
http://lordoftheping.blogspot.com
"Naej" news:46d3c95f$0$27385$
Merci pour les liens... je ne suis plus en open relay, pourtant des millier
de mail arrivent dans mon systeme et demande des centaine de connections.
lorsque je fige les files d'attente, tous ces mails se regroupent dans la
file d'attente " Dépot de messages suspendu" (du moins les nouveaux mails
qui ne cessent d'arriver). j'ai fermé depuis longtemps le relay, mais ca
continu. comme si un process sur mon serveur envoyait du spam en continu.
j'ia remarqué aussi que mon process "inetinfo.exe" utilisait une grande
quantitié de memoire dés que je redémarre le "serveur virtuel smtp".
cela va faire 24h et tous les users sont tjrs bloqués.
merci encore de votre aide à tous.
--
"La folie est de toujours se comporter de la même manière et de s'attendre à
un résultat différent...." A.E.
Déplacer tous les mails en attentes dans un dossier temporaire.
Par défaut, les mails en attentes sont dans:
c:inetpubmailrootqueue et/ou pickup
une fois le service redémarré, si des mails s'entassent de nouveau, bloquez
la file
ouvrez les mails avec notepad sur le serveur:
-Ils viennent de l'exterieur vers votre domaine : vous subissez une
avanlanche de spam. Essayez de bloquer les adresses IP si il y en a peu
-Ils viennent de l'extérieur vers l'extérieur:vous être toujours open relay
-ils viennent depuis un pc contaminé chez vous: débranchez le + scan
antivirus & co
--
Cordialement,
Mathieu CHATEAU
http://lordoftheping.blogspot.com
"Naej" news:46d3f99f$0$25918$
FilesExchsrvrMailrootvsi 1Queue
parcontre avant d'arriver a ce resultat j'ai du jouer avec les filtres de
connection d'exp et dest, restriction d'acces etc..bref je ne subit plus une
avalanche de spam, par contre si j'arrive encore à envoyer quelques
messages, je ne recois plus rien .
je me suis connecté en telnet (depuis le serveur en question, je ne sais pas
si ca fausse les tests) sur le serveur smtp,
lorsque je fait
MAIL FROM:
501 5.5.4 Invalid Address
et avec une adresse interne :
250 2.0.0 Resetting
MAIL FROM:
454 5.7.3 Client does not have permission to submit mail to this server.
Perte de la connexion à l'hôte.
si je comprends bien les mails arrivant de l'exterieur recoivent un code
d'erreur sur l'adresse et en interne les utilisateur n'ont pas le droit
d'envoyer des mail ( ce qui contredit le fait que j'arrive bien envoyer des
mail a l'exterieur). mais peut etre est ce du au fait que je fait le telnet
depuis le serveur en question ?
Il faut absolument que je retablisse l'arrivées des mails... ca va faire 48h
et je ne comprends pas ce qui empeche la reception.
Merci de votre aide
--
"La folie est de toujours se comporter de la même manière et de s'attendre à
un résultat différent...." A.E.
"Mathieu CHATEAU"