We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Serveur utilisé pour envoyé du SPAM


frenchie
26/05/2016, 08h33
Infos serveur : Centos 7 avec Webmin, MaJ effectuées régulièrement.


Bonjour,

Il y a quelques jours, j'ai reçu un email de la part d'Ovh m'indiquant que mon serveur était utilisé pour envoyé su SPAM.
Code:
Notre protection Anti-Spam a détecté un envoi important de spam à partir d'une de vos IP:
5.135.114.133

Afin d'assurer la sécurité de notre réseau le trafic sortant de votre serveur vers les
ports 25 a été suspendu.

Afin que vous puissiez effectuer les vérifications voici un échantillon des emails bloqués:

    Destination IP: 144.160.159.21 - Message-ID: 29ED08B9.9B02128A@ip-5-135-114.eu - Spam score: 500
Destination IP: 64.233.161.26 - Message-ID: 7C3A428C.E493B779@ip-5-135-114.eu - Spam score: 300
Destination IP: 64.233.161.26 - Message-ID: C1D02332.4223030B@ip-5-135-114.eu - Spam score: 300
Destination IP: 74.125.142.26 - Message-ID: 5F5F2135.9D008DF3@ip-5-135-114.eu - Spam score: 500
Destination IP: 74.125.142.26 - Message-ID: 6E1D6314.6E6BF3BB@ip-5-135-114.eu - Spam score: 300
J'ai donc commencé a fouiner sur le net pour trouver une solution, et la seule conclusion à laquelle j'ai pu terminer c'est que ma configuration Postfix était mal effectuée. j'ai laissé celle par défaut.

Voici mes différent panneaux de réglages Postfix:





Ce matin j'ai réalisé que certain emails étaient encore envoyé depuis mon serveur car je reçoit des messages du type:
Code:
Delivery to the following recipient failed permanently:

    eweoad8250@3aw.com.au

----- Original message -----

X-Received: by 10.98.152.142 with SMTP id d14mr10645731pfk.105.1464232779872;
       Wed, 25 May 2016 20:19:39 -0700 (PDT)
Return-Path: 
Received: from [180.211.154.225] ([180.211.154.225])
       by mx.google.com with ESMTP id s7si17253560pas.203.2016.05.25.20.19.39
       for ;
       Wed, 25 May 2016 20:19:39 -0700 (PDT)
Received-SPF: neutral (google.com: 180.211.154.225 is neither permitted nor denied by domain of CrosbyMarcy719@mondomaine.co) client-ip=180.211.154.225;
Authentication-Results: mx.google.com;
      spf=neutral (google.com: 180.211.154.225 is neither permitted nor denied by domain of CrosbyMarcy719@mondomaine.co) smtp.mailfrom=CrosbyMarcy719@ouv.co
Date: Wed, 26 May 2016 06:19:38 +0200
Message-Id: <201605252019.yPyXYDYOqekhag@3aw.com.au>
To: eweoad8250@3aw.com.au
Subject: Invitation letter
X-PHP-Script: 3aw.com.au/mail/send_ticket.php for 229.134.227.11, 229.134.227.11
MIME-Version: 1.0;
Content-Type: multipart/mixed; boundary="--33c8fd1d69c3da4505eec9d96bfc4d67"
From: "Marcy Crosby" 
X-SA-Exim-Connect-IP: 10.20.21.24
X-SA-Exim-Mail-From: 3aw.com.au
X-SA-Exim-Scanned: No (on 3aw.com.au); SAEximRunCond expanded to false

Dear Mrs/Mr,

In the attached file you find the requested invitation letter.

If you have any questions, please do not hesitate to contact me.



Best Regards
Synacor, Inc.
Marcy Crosby
L'heure d'envoi du message original correspond bien à tôt ce matin. je ne comprends pas pourquoi ce message me revient si il n'a pas été envoyé depuis mon réseau.

J'ai fail2ban d'installé et je bloque toute les connexions échouée SASL., ProFTPD et SSH.


En regardant de plus prêt mes logs, et ça me fait peur, voici les anomalies que j'ai trouvés:

dans /var/log/messages
Code:
May 26 06:56:06 web named[554]: error (FORMERR) resolving 'ns1.prenet.pl/AAAA/IN': 212.91.6.36#53
May 26 06:56:06 web named[554]: error (FORMERR) resolving 'ns1.prenet.pl/AAAA/IN': 212.91.7.38#53
May 26 06:58:17 web proftpd[15299]: Mon.IP.Principale (222.42.146.225[222.42.146.225]) - FTP session opened.
May 26 06:58:19 web proftpd[15299]: Mon.IP.Principale (222.42.146.225[222.42.146.225]) - FTP session closed.
May 26 06:58:21 web proftpd[15305]: Mon.IP.Principale (222.42.146.225[222.42.146.225]) - FTP session opened.
May 26 06:58:24 web proftpd[15305]: 178Mon.IP.Principale33.71.116 (222.42.146.225[222.42.146.225]) - FTP session closed.

dans /var/log/secure/
Code:
May 26 07:22:15 web suexec[20523]: uid: (521/unuseramoi) gid: (521/unuseramoi) cmd: php5.fcgi
May 26 07:22:18 web suexec[20529]: uid: (540/unuseramoi) gid: (538/unuseramoi) cmd: php5.fcgi
May 26 07:22:19 web suexec[20531]: uid: (541/unuseramoi) gid: (539/unuseramoi) cmd: php5.fcgi
May 26 07:22:29 web suexec[20545]: uid: (521/unuseramoi) gid: (521/unuseramoi) cmd: php5.fcgi
May 26 07:22:39 web suexec[20554]: uid: (521/unuseramoi) gid: (521/unuseramoi) cmd: php5.fcgi
May 26 07:22:48 web suexec[20569]: uid: (521/unuseramoi) gid: (521/unuseramoi) cmd: php5.fcgi
May 26 07:22:48 web suexec[20574]: uid: (521/thesexboard) gid: (521/unuseramoi) cmd: php5.fcgi
May 26 07:22:52 web suexec[20627]: uid: (540/unuseramoi) gid: (538/unuseramoi) cmd: php5.fcgi
May 26 07:22:53 web suexec[20633]: uid: (541/unuseramoi) gid: (539/unuseramoi) cmd: php5.fcgi
May 26 07:22:56 web suexec[20645]: uid: (504/unuseramoi) gid: (504/unuseramoi) cmd: php5.fcgi
^^-- je pense que ca n'a rien à voir mais c'est tout récent aussi.


/var/log/maillog/
Code:
May 26 06:47:21 web postfix/smtpd[13408]: connect from unknown[155.133.82.178]
May 26 06:47:21 web postfix/smtpd[13392]: connect from unknown[155.133.82.178]
May 26 06:47:23 web postfix/smtpd[13392]: warning: unknown[155.133.82.178]: SASL LOGIN authentication failed: authentication failure
May 26 06:47:23 web postfix/smtpd[13408]: warning: unknown[155.133.82.178]: SASL LOGIN authentication failed: authentication failure
May 26 06:47:25 web postfix/smtpd[13392]: warning: unknown[155.133.82.178]: SASL LOGIN authentication failed: authentication failure
May 26 06:47:25 web postfix/smtpd[13408]: warning: unknown[155.133.82.178]: SASL LOGIN authentication failed: authentication failure
May 26 06:50:06 web postfix/smtpd[13894]: connect from relay1.fast.net.uk[212.42.162.64]
May 26 06:50:06 web postfix/smtpd[13894]: 9FCF5222477: client=relay1.fast.net.uk[212.42.162.64]
May 26 06:50:06 web postfix/smtpd[13894]: disconnect from relay1.fast.net.uk[212.42.162.64]
May 26 06:52:25 web postfix/smtpd[13408]: timeout after AUTH from unknown[155.133.82.178]
May 26 06:52:25 web postfix/smtpd[13408]: disconnect from unknown[155.133.82.178]
May 26 06:52:25 web postfix/smtpd[13392]: timeout after AUTH from unknown[155.133.82.178]
May 26 06:52:25 web postfix/smtpd[13392]: disconnect from unknown[155.133.82.178]
May 26 06:52:52 web postfix/smtpd[13408]: connect from loni-tcs1.loni.org[76.165.14.133]
May 26 06:52:55 web postfix/smtpd[13408]: warning: loni-tcs1.loni.org[76.165.14.133]: SASL LOGIN authentication failed: authentication failure
May 26 06:52:57 web postfix/smtpd[13408]: warning: loni-tcs1.loni.org[76.165.14.133]: SASL LOGIN authentication failed: authentication failure
May 26 06:54:54 web postfix/smtpd[14626]: connect from unknown[116.207.2.91]
May 26 06:54:56 web postfix/smtpd[14626]: NOQUEUE: reject: RCPT from unknown[116.207.2.91]: 450 4.7.1 Client host rejected: cannot find your hostname, [116.207.2.91]; from=<reiedu@imanregal.com> to=<dmca@mondomaine.co> proto=ESMTP helo=<imanregal.com>
May 26 06:54:56 web postfix/smtpd[14626]: disconnect from unknown[116.207.2.91]
May 26 06:56:10 web postfix/smtpd[14626]: connect from unknown[88.199.175.11]
May 26 06:56:10 web postfix/smtpd[14626]: lost connection after CONNECT from unknown[88.199.175.11]
May 26 06:56:10 web postfix/smtpd[14626]: disconnect from unknown[88.199.175.11]
May 26 06:57:21 web postfix/anvil[13422]: statistics: max connection rate 2/60s for (smtp:155.133.82.178) at May 26 06:47:21
May 26 06:57:21 web postfix/anvil[13422]: statistics: max connection count 2 for (smtp:155.133.82.178) at May 26 06:47:21
May 26 06:57:21 web postfix/anvil[13422]: statistics: max cache size 2 at May 26 06:50:06
Voila. Egalement, impossible dans le maillog de mettre la main sur le message envoyé dont le bounce et revenu (posté plus haut).


Outre le fait que j'aurai du configurer mon serveur bien avant que ces problèmes n'arrivent, j'ai 2 questions:

1/ Voyez vous des failles dans mes configurations actuelles assez grosses et si oui sont elles faciles à combler par des petits réglages. Voyez vous des problemes dans mes logs actuels sur lesquels il faut que je me penche.

2/ serait il utile d'embaucher quelqu'un pour me sécurisé une fois pour toute le serveur. J'y ai trop souvent pensé mais j'ai peut en retour (car je ne connait personne de confiance dans mon entourage) d'embaucher une personne qui infectera a son tour mon serveur.


Ce message était un peu long mais merci d'en être arrivé jusque la. N'importe quel commentaire constructif sera le bienvenu