Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Mon serveur sert de relay à spam

3 réponses
Avatar
AIexis
Bonjour =E0 tous,
Me voil=E0 devant un probl=E8me dont je ne trouve pour l'instant aucune
solution.
J'ai un serveur avec IIS install=E9 et un serveur SMTP. R=E9guli=E8rement
depuis 4 jours, le serveur SMTP est bombard=E9 de requ=EAtes pour balancer
des spams.
Normalement =E7a ne devrait pas passer (pas de relai), mais =E7a passe
quand m=EAme. Pourquoi? l'IP entrante de la connexion est 127.0.0.1 ! Et
c'est une IP que je dois autoriser pour PHP (install=E9 sur le m=EAme
serveur).
J'ai donc pens=E9 que =E7a pouvait venir d'une faille d'un script PHP,
mais que neni, m=EAme lorsque je d=E9sactive PHP j'ai =E9galement des
connexions avec la boucle locale. En attendant, j'ai enlev=E9 127.0.0.1
dans l'autorisation de relai, mais =E7a n'est pas une solution pour moi.

En bref, y'a un "truc" sur le serveur qui balance des spams en
utilisant l'IP 127.0.0.1 mais c'est pas PHP.

Une id=E9e?
merci!

3 réponses

Avatar
jbongran
"AIexis" a écrit dans le message de
news:
Bonjour à tous,
Me voilà devant un problème dont je ne trouve pour l'instant aucune
solution.
J'ai un serveur avec IIS installé et un serveur SMTP. Régulièrement
depuis 4 jours, le serveur SMTP est bombardé de requêtes pour balancer
des spams.
Normalement ça ne devrait pas passer (pas de relai), mais ça passe
quand même. Pourquoi? l'IP entrante de la connexion est 127.0.0.1 ! Et
c'est une IP que je dois autoriser pour PHP (installé sur le même
serveur).
J'ai donc pensé que ça pouvait venir d'une faille d'un script PHP,
mais que neni, même lorsque je désactive PHP j'ai également des
connexions avec la boucle locale. En attendant, j'ai enlevé 127.0.0.1
dans l'autorisation de relai, mais ça n'est pas une solution pour moi.

En bref, y'a un "truc" sur le serveur qui balance des spams en
utilisant l'IP 127.0.0.1 mais c'est pas PHP.

Une idée?
merci!


Plusieurs possibilités:
L'adresse 127.0.0.1 est spoofée, un firewall en entrée de ton réseau devrait
bloquer ces requêtes.
Ta machine est "infectée" par une cochonnerie, il faut investiguer avec les
outils traditionnels (antivirus, antimalware)

Quelques "trucs":
Changer le port smtp par défaut de ton serveur smtp, cela n'empêchera pas
ton serveur d'envoyer des mails depuis PHP (après motification du port)
Désactiver les connexions anonymes sur le serveur smtp
un netstat -anbp tcp te donnera le nom de l'exécutable qui se connecte sur
le port 25
L'activation des logs et des champs pertinents (comprendre ceux qui seront
renseignés) pour le serveur smtp permet parfois d'avoir des pistes en
regardant le champs correspondant au logiciel client utilisé
N'hésites pas à poster une transaction smtp issue de ton log...
Avatar
Alexis
On 30 juin, 00:41, "jbongran" wrote:
"AIexis" a écrit dans le message denews:9fe6c92d
Bonjour à tous,
Me voilà devant un problème dont je ne trouve pour l'instant aucune
solution.
J'ai un serveur avec IIS installé et un serveur SMTP. Régulièrement
depuis 4 jours, le serveur SMTP est bombardé de requêtes pour balance r
des spams.
Normalement ça ne devrait pas passer (pas de relai), mais ça passe
quand même. Pourquoi? l'IP entrante de la connexion est 127.0.0.1 ! Et
c'est une IP que je dois autoriser pour PHP (installé sur le même
serveur).
J'ai donc pensé que ça pouvait venir d'une faille d'un script PHP,
mais que neni, même lorsque je désactive PHP j'ai également des
connexions avec la boucle locale. En attendant, j'ai enlevé 127.0.0.1
dans l'autorisation de relai, mais ça n'est pas une solution pour moi.

En bref, y'a un "truc" sur le serveur qui balance des spams en
utilisant l'IP 127.0.0.1 mais c'est pas PHP.

Une idée?
merci!

Plusieurs possibilités:
L'adresse 127.0.0.1 est spoofée, un firewall en entrée de ton résea u devrait
bloquer ces requêtes.
Ta machine est "infectée" par une cochonnerie, il faut investiguer avec les
outils traditionnels (antivirus, antimalware)

Quelques "trucs":
Changer le port smtp par défaut de ton serveur smtp, cela n'empêchera pas
ton serveur d'envoyer des mails depuis PHP (après motification du port)
Désactiver les connexions anonymes sur le serveur smtp
un netstat -anbp tcp te donnera le nom de l'exécutable qui se connecte sur
le port 25
L'activation des logs et des champs pertinents (comprendre ceux qui seron t
renseignés) pour le serveur smtp permet parfois d'avoir des pistes en
regardant le champs correspondant au logiciel client utilisé
N'hésites pas à poster une transaction smtp issue de ton log...



Salut Jbongran, merci pour ta réponse.
Depuis mon premier message, j'ai un petit peu avancé. En regardant de
plus près un de ces spams, je me suis aperçu qu'il y avait un "message
ID" (je sais pas ce que c'est) qui contenait une série de caractères
hexa + @mazda-mx6.com
J'ai donc viré ce site de mon serveur, et depuis, plus rien. Donc
c'était peut-être bien une faille d'un script php de ce site. Le truc
c'est que quand je désactivais php ça spammait quand même. Pour ça
j'ai pas d'explication... surement un truc que j'ai mal fait, pas
désactivé correctement, ou peut-être un espèce d'effet "à
retardement" (oui, désolé, c'est pas très scientifique :D )

Cela dit, je retiens bien tes conseils, parce que c'était peut-être
une coïncidence (je me méfie), et ça n'a peut-être aucun rapport av ec
le fait que j'ai déplacé ce site sur un autre serveur. Si ça
recommence, je vais effectivement changer le port SMTP ça coute rien.
Et dommage que je connaissais pas cette commande netstat -anbp tcp,
parce que ça m'aurait certainement fait gagner pas mal de temps :-/
(je viens d'essayer la commande, ça me sort tellement de résultats que
je ne peux pas en voir le 10ème... y'a un moyen d'enregistrer dans un
log?)

A bientôt et merci encore!
Avatar
jbongran
"Alexis" a écrit dans le message de
news:

Et dommage que je connaissais pas cette commande netstat -anbp tcp,
parce que ça m'aurait certainement fait gagner pas mal de temps :-/
(je viens d'essayer la commande, ça me sort tellement de résultats que
je ne peux pas en voir le 10ème... y'a un moyen d'enregistrer dans un
log?)

A bientôt et merci encore!

Une petite recherche sur "find" ou cmd dans l'aide de Windows devrait
t'aider à filtrer la sortie de netstat.
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/ntcmds_o.mspx?mfr=true
Le tout peut être ajouté dans un fichier avec un redirecteur tel que ">"
Par exemple:
netstat -anbp tcp|find /i ":25" >> c:netstat.txt
ou encore écraser le fichier à chaque occurrence:
netstat -anbp tcp|find /i ":25" > c:netstat.txt

Voila