Serveur dédié sert de relay spams !

Support Debian
#1

Bonjour,

J’ai un serveur dédié où il y a quelques sites hébergés. Depuis 3 jours le serveur envois des milliers de spams. Je n’arrive pas à identifier la fuite.

Le system est une Debian Lenny avec apache2, php4, Exim et Dovecot (pas de mod_proxy installé).
Google, Yahoo, Aol est quelques autres RBL m’ont blacklistés l’IP .

D’ou les questions suivantes :

Passent-ils pas un formulaire de contact ?
Est-ce que c’est le PC d’un client qui c’est fait hacké et donc il utiliserait le compte imap pour envoyer les spams ?
Ont’ ils puent infiltrer un script sur le serveur ?

Auriez vous une idées d’investigation afin d’identifier la source du problème car là je ne sais plus où chercher ?

Merci par avance.

#2

Est ce que tu avoir une copie de ces spam ?
tu peux ptetre rechercher une valeur “texte” que tu retrouverais dans un fichier de ton serveur

Voir tes logs aussi, tu as beaucoup de clients sur ce serveur ? tu peux peut etre faire un script qui exclue les ip ou login de clients connus, et au fur et e mesure, ressérer l’étaux pour trouver une ip à bannir ou un client peut être…

#3

Merci pour ta réponse !

J’ai une dizaine de sites. Par contre, pas mal de connexion IMAP car beaucoup de comptes mails, donc pas mal d’IP d’users légitime.

Existerait il pas une commande permettant d’identifier en live les connexions a tels fichiers (dans le cas d’une fuite depuis un formulaire contact ?

Je vais faire deja la recherche avec le paramettre “texte” d’un mail spam.

Tout idées, suggestions, commandes sont bonnes à prendre.
Merci à toute la communauté de votre soutient (car c’est chaud) .

#4

je ne sais pas ou est ton log du serveur imap

mais tu peux faire

tail -qf /var/log/lefichierlog.log

ca t’affiche les modifications du log en live…

#5

peux tu poster ta conf de postfix également? il se peut que le problème vienne de là.

#6

OUep merci, j’ai deja tenté, mais il est difficile de différencier ce qui est bon et pas bon dans ces logs.

En fait, si je pouvais voir qu’ily a une connexion par une ip exotique sur l fichier par exemple /home/site/www/contact.php celà m’aiderai beaucoup.

Je ne sais plus quoi faire pour identifier la fuite.

Quelles erreurs rechercher dans les logs ?
C’est du spam, alors ce qui m’interesse c’est comment il arrivent à envoyer des tas d’emails de mon serveur alors qu’il n’est pas open relay.

Merci pour ton aide.

#7

[quote=“creaty”]C’est du spam, alors ce qui m’interesse c’est comment il arrivent à envoyer des tas d’emails de mon serveur alors qu’il n’est pas open relay.[/quote]Un(ou des) compte d’utilisateur créé spécialement pour ça, ou un compte “piraté”… enfin… ce n’est qu’une idée… t’as moyen de voir le nombre d’envois par utilisateurs? :unamused: … si t’en as un (ou plusieurs) qui n’arrête pas d’envoyer des mails, c’est peut-être là qu’il faut regarder… :unamused:

:smt006

#8

de toute facon, sur un serveur de mail, les mails sont stoqués, donc si tu arrives à avoir un de ces spam, tu le retrouveras forcement dans ton serveur, ensuite, tu pourras savoir quel utilisateur etc…

#9

je propose de loguer avec iptables avec le module string, seulment il faut regarder si le kernel le supporte.
c’est valable si le message a quelque chose qui revient souvent a ce moment la tu peux toujours essayer.

oublie pas que tu ne DOIT pas utiliser sa pour droper les paquet ou les accepter surtout sur un serveur en prod.

par contre pour loguer pas de problème il te faut limiter le nombre d’entrée a 1 par tranche de 1 heure

il suffi ensuite de matter l’ip.
pour connâitre l’user tu peux ajouter a la règle qui log, le module Owner
le souci c est qu’il faut une entrée par utilisateur sa peux facilment devenir concéquand.

donc en gros sa donnerait:

pour la doc vala:
linux-france.org/prj/inetdoc … -tutorial/

bon je pense que c’est si tu n’arriverai pas a localiser avec les proposition plus haut.

#10

Avec des outils comme pflogsum ou logwatch tu peux voir le nombre de connexion par utilisateur ainsi que pas mal d’autres choses.
Il te sera aisé de repérer un compte qui travaille mille fois plus que les autres.

#11

Je rejoins Num’s sur l’idée d’un compte piraté, ou tout simplement un utilisateur pirate.
J’ai également un serveur dédié hébergeant des sites internet, et certains n’avaient créé un compte que pour spammer via un script php.
Regarde quel utilisateur envoie tous ces mails.

Tu peux également tester si effectivement ton serveur mail est en OpenRelay via ces sites :

spamhelp.org/shopenrelay/
pagasa.net/test-smtp/

#12

Merci à tous pour votre soutien, ça fait vraiment plaisir :stuck_out_tongue:

Alors c’etait bien un compte email piraté. L’user avait un mot de passe bien trop léger et à du se le faire casser.

J’ai donc cherché d’ou partaient les mails et je suis tombé sur cet utilisateur. Celà nà pas été facile car apparemment il envoyait ses pams par flot et pas continuellement. Donc je suis tombé au bon moment dessus et j’ai pu ainsi identifier le compte mail qui posait probleme.

Merci à tous.