Léa-Linux : Forum
Le forum de Léa abrite des discussions autour des Logiciels libres.
En ligne ..
Syndication
Forum complet- Forum - Léa Aide
- Cette discussion
Templeet ·
JeSuisLibre ·
Lolix ·
LinuxFr ·
LinuxFrench ·
LinuxGraphic ·
GCU-Squad ·
Agenda du Libre ·
|
|
|
|
|
Posez dans ce forum les questions qui ne trouvent pas place dans les autres... Important :
quand vous posez une question, n'oubliez pas de nous donner les indications suffisantes pour que nous puissions répondre. En effet, la divination n'est pas le fort du Linuxien averti. Pour une meilleure compréhension, le bon usage de la grammaire et de l'orthographe est fortement encouragé. En particulier, le langage SMS est à éviter absolument. En cas d'abus, il pourra être censuré sans autre forme de procès. Les messages dont le contenu est illégal (incitant à la haine - raciale ou autre, diffamant), ou dont le contenu est sans rapport avec le sujet du forum, ou qui sont parfaitement stupides ou hors sujet seront supprimés sans pitié. Il pourra même être fait appel au fournisseur d'accès du coupable pour faire cesser ses agissements. |
||
» Index du forum » Léa Aide » Probleme Postfix, attaque
Probleme Postfix, attaque
Auteur: NaNuuX (IP enregistrée)
Date: le 15 mars 2008 à 14:02
Plop touts le monde,
Voila j'ai besoin d'urgence de votre aide, cela fais 3 jours que mon serveur mail Postfix est attaquer à toutes secondes, voici le message de mon mail.log
Mar 15 10:07:00 server01 postfix/smtp[2364]: 3B27AD720A6: to=<a123800660@yahoo.com.tw>, relay=smtp.free.fr[212.27.48.4]:25, delay=3295, delays=3294/1.3/0.08/0, dsn=4.0.0, status=deferred (host smtp.free.fr[212.27.48.4] refused to talk to me: 421 smtp4-g19.free.fr Error: too many connections from 82.247.201.209)
J'ai cela des milliers de fois, toutes les demi secondes.
Et quelque fois j'ai des message de ce genre :
Mar 15 10:07:01 server01 postfix/qmgr[2333]: 21C1BD68A01: from=<www-data@82.247.201.209>, size=288, nrcpt=1 (queue active)
Alors que je n'envoie ou ne recoit aucun mails.
Comment éviter cela ? Car aparement ils utilisent mon serveur pour envoyer des spams et cela me bouffe énormement de bande passante !
merci
Voila j'ai besoin d'urgence de votre aide, cela fais 3 jours que mon serveur mail Postfix est attaquer à toutes secondes, voici le message de mon mail.log
Mar 15 10:07:00 server01 postfix/smtp[2364]: 3B27AD720A6: to=<a123800660@yahoo.com.tw>, relay=smtp.free.fr[212.27.48.4]:25, delay=3295, delays=3294/1.3/0.08/0, dsn=4.0.0, status=deferred (host smtp.free.fr[212.27.48.4] refused to talk to me: 421 smtp4-g19.free.fr Error: too many connections from 82.247.201.209)
J'ai cela des milliers de fois, toutes les demi secondes.
Et quelque fois j'ai des message de ce genre :
Mar 15 10:07:01 server01 postfix/qmgr[2333]: 21C1BD68A01: from=<www-data@82.247.201.209>, size=288, nrcpt=1 (queue active)
Alors que je n'envoie ou ne recoit aucun mails.
Comment éviter cela ? Car aparement ils utilisent mon serveur pour envoyer des spams et cela me bouffe énormement de bande passante !
merci
Re: Probleme Postfix, attaque
Auteur: panthere noire (IP enregistrée)
Date: le 15 mars 2008 à 21:20
regarde du coter du module recent d'iptables tu filtres 1 connections par ip. pui tu drop le reste :)
fait des essai avec les ping en local pour comprendre, il vaux mieux que tu comprenne plutot que je te file la solution.
[www.linux-france.org]
net install--> sid 2.6.24 dist i386
kde 3.5.9
noyaux 2.6.25
asus p5n32-e sli plus
Sata 2 dd 320 go ext3
nvidia 8800gtx 768 ddr3
fait des essai avec les ping en local pour comprendre, il vaux mieux que tu comprenne plutot que je te file la solution.
[www.linux-france.org]
net install--> sid 2.6.24 dist i386
kde 3.5.9
noyaux 2.6.25
asus p5n32-e sli plus
Sata 2 dd 320 go ext3
nvidia 8800gtx 768 ddr3
Re: Probleme Postfix, attaque
Auteur: chromosome (IP enregistrée)
Date: le 16 mars 2008 à 19:36
Ta machine n'aurais pas par hasard l'adresse 82.247.201.209 ? Car le message est une erreur d'envoi, pas de reception, il parle de ton relay vers free. Et si c'est le cas, regarde bien les logs de ton serveur Apache, tu t'es probablement fait hacker, car le sender de tes emails est www-data (le compte d'apache)
Re: Probleme Postfix, attaque
Auteur: Raph__ (IP enregistrée)
Date: le 17 mars 2008 à 18:26
Salut,
Ca ressemble surtout à un relais SMTP ouvert !
Tu as peut-être résolu le problème depuis le temps. Sinon fais une recherche sur google. Pas mal de sites permettent de tester la configuration d'un serveur SMTP.
Pour le message "host smtp.free.fr[212.27.48.4] refused to talk to me: 421 smtp4-g19.free.fr Error: too many connections" : Les relais SMTP de free acceptent un nombre limité d'envoi de mail dans un temps donné (J'ignore ce laspe de temps). Lorsque du dépasse la valeur (Ex: 15 mails / minute) l'IP de ton serveur SMTP est placée sur une sorte de greylist. (Temporaire donc).
Pour confirmer il faudrait rechercher le destinateur. Il faut faire un grep du mail ID dans tes logs : 21C1BD68A01
A Ciao.
Ca ressemble surtout à un relais SMTP ouvert !
Tu as peut-être résolu le problème depuis le temps. Sinon fais une recherche sur google. Pas mal de sites permettent de tester la configuration d'un serveur SMTP.
Pour le message "host smtp.free.fr[212.27.48.4] refused to talk to me: 421 smtp4-g19.free.fr Error: too many connections" : Les relais SMTP de free acceptent un nombre limité d'envoi de mail dans un temps donné (J'ignore ce laspe de temps). Lorsque du dépasse la valeur (Ex: 15 mails / minute) l'IP de ton serveur SMTP est placée sur une sorte de greylist. (Temporaire donc).
Chromosome a écrit :
tu t'es probablement fait hacker, car le sender de tes emails est www-data (le compte d'apache)
Pour confirmer il faudrait rechercher le destinateur. Il faut faire un grep du mail ID dans tes logs : 21C1BD68A01
A Ciao.
Re: Probleme Postfix, attaque
Auteur: NaNuuX (IP enregistrée)
Date: le 20 mars 2008 à 22:01
Bon j'ai réussi à bloquer l'envoi de mail grace à des parametres de reject dans mon main.cf
Maintenant mon mail.log ennregistre des messages de se genre :
J'ai du mettre en place un clear du mail.log touts les jours avec cron car il devient vite volumineux.
voici mon main.cf
Comment faire pour éviter ses attaques ?
Merci
Maintenant mon mail.log ennregistre des messages de se genre :
Mar 20 06:25:25 server01 postfix/smtpd[4491]: connect from unknown[60.209.21.101] Mar 20 06:25:27 server01 postfix/smtpd[4491]: NOQUEUE: reject: RCPT from unknown[60.209.21.101]: 504 5.5.2 <mychat-35dafcb4>: Helo command r$ Mar 20 06:25:27 server01 postfix/smtpd[4491]: NOQUEUE: reject: RCPT from unknown[60.209.21.101]: 504 5.5.2 <mychat-35dafcb4>: Helo command r$ Mar 20 06:25:27 server01 postfix/smtpd[4491]: NOQUEUE: reject: RCPT from unknown[60.209.21.101]: 504 5.5.2 <mychat-35dafcb4>: Helo command r$ Mar 20 06:25:27 server01 postfix/smtpd[4491]: NOQUEUE: reject: RCPT from unknown[60.209.21.101]: 504 5.5.2 <mychat-35dafcb4>: Helo command r$ Mar 20 06:25:28 server01 postfix/smtpd[4491]: lost connection after DATA from unknown[60.209.21.101] Mar 20 06:25:28 server01 postfix/smtpd[4491]: disconnect from unknown[60.209.21.101]
J'ai du mettre en place un clear du mail.log touts les jours avec cron car il devient vite volumineux.
voici mon main.cf
# See /usr/share/postfix/main.cf.dist for a commented, more complete version
# Debian specific: Specifying a file name will cause the first
# line of that file to be used as the name. The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname
disable_vrfy_command = yes
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no
smtpd_helo_required = yes
# appending .domain is the MUA's job.
append_dot_mydomain = no
# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h
myhostname = mail.*****.fr
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = localhost, localhost.localdomain
relayhost = smtp.free.fr
mynetworks = 127.0.0.0/8, 192.168.0.0/24
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
virtual_alias_domains =
virtual_alias_maps = proxy:mysql:/etc/postfix/mysql-virtual_forwardings.cf, mysql:/etc/postfix/mysql-virtual_email2email.cf
virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql-virtual_domains.cf
virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailboxes.cf
virtual_mailbox_base = /home/vmail
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000
virtual_create_maildirsize = yes
virtual_mailbox_extended = yes
virtual_mailbox_limit_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailbox_limit_maps.cf
virtual_mailbox_limit_override = yes
virtual_maildir_limit_message = "The user you are trying to reach is over quota."
virtual_overquota_bounce = yes
transport_maps = proxy:mysql:/etc/postfix/mysql-virtual_transports.cf
relay_domains = *****.fr
# TLS parameters
smtpd_tls_cert_file = /etc/postfix/smtpd.cert
smtpd_tls_key_file = /etc/postfix/smtpd.key
smtpd_use_tls = yes
smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache
smtpd_tls_auth_only = yes
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
# SASL
smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_local_domain =
smtpd_sasl_security_options = noanonymous
smtpd_sender_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_non_fqdn_hostname, reject_invalid_hostname, reject_non_fqdn_sender, reject_$
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, reject_non_fqdn_hostname, reject_invalid_hostname, r$Comment faire pour éviter ses attaques ?
Merci
Re: Probleme Postfix, attaque
Auteur: panthere noire (IP enregistrée)
Date: le 21 mars 2008 à 05:46
ben petit script qui ban l'ip ?
Tu le lances toute les 60 sec avec cron ou autre chose.
Un grep sure les mots clef si le boulet est là
Mar 20 06:25:27 server01 postfix/smtpd[4491]: NOQUEUE: reject: RCPT from unknown[60.209.21.101]: 504 5.5.2 <mychat-35dafcb4>: Helo command r$
un drop avec le module [www.linux-france.org]
tu ajoutes ta règle avec un iptables --insert -I 1 ta règle
comme elle sera vec un hashlimitmatch tu auras une grande marge de manœuvre. tu peux même combiner avec d'autre module ect
Ensuite tu peux les enlever tout les 1 ou 2 jours :) soit en précisant le nom de la règle , soi le numéro de la règle :)
bref iptables est largement suffisant pour pas te prendre la tête :)
tu peux perfectionner ton ban genre première foit ban de 2 heure , pui 12 h puis définitivement :)
net install--> sid 2.6.24 dist i386
kde 3.5.9
noyaux 2.6.25
asus p5n32-e sli plus
Sata 2 dd 320 go ext3
nvidia 8800gtx 768 ddr3
Tu le lances toute les 60 sec avec cron ou autre chose.
Un grep sure les mots clef si le boulet est là
Mar 20 06:25:27 server01 postfix/smtpd[4491]: NOQUEUE: reject: RCPT from unknown[60.209.21.101]: 504 5.5.2 <mychat-35dafcb4>: Helo command r$
un drop avec le module [www.linux-france.org]
tu ajoutes ta règle avec un iptables --insert -I 1 ta règle
comme elle sera vec un hashlimitmatch tu auras une grande marge de manœuvre. tu peux même combiner avec d'autre module ect
Ensuite tu peux les enlever tout les 1 ou 2 jours :) soit en précisant le nom de la règle , soi le numéro de la règle :)
bref iptables est largement suffisant pour pas te prendre la tête :)
tu peux perfectionner ton ban genre première foit ban de 2 heure , pui 12 h puis définitivement :)
net install--> sid 2.6.24 dist i386
kde 3.5.9
noyaux 2.6.25
asus p5n32-e sli plus
Sata 2 dd 320 go ext3
nvidia 8800gtx 768 ddr3
Re: Probleme Postfix, attaque
Auteur: NaNuuX (IP enregistrée)
Date: le 21 mars 2008 à 07:19
Ok, merci beaucoup ;)
Site hebergé par Lost Oasis.
Le serveur IRC hebergé est géré par FreeNode.
Le NS secondaire est hebergé et géré par XName.
![[Valid RSS]](/pho/images/valid-rss.png "Validate my RSS feed"){kind=small}
Les informations contenues dans cette page ne sont aucunement garanties.
Ceci dit, la perfection étant notre objectif à long terme, toute critique constructive est la bienvenue. Par constructive, il faut entendre : « contenant la solution du problème posé ». Les autres critiques ont toutes les chances d'être redirigées vers /dev/null
