Léa-Linux : « Probleme Postfix, attaque »

Conversation precedente ou suivante

Les sections > Les forums de cette section > Les messages de ce forum > Ce thread >

Probleme Postfix, attaque

Envoyé par: NaNuuX

Plop touts le monde,

Voila j'ai besoin d'urgence de votre aide, cela fais 3 jours que mon serveur mail Postfix est attaquer à toutes secondes, voici le message de mon mail.log

Mar 15 10:07:00 server01 postfix/smtp[2364]: 3B27AD720A6: to=<a123800660@yahoo.com.tw>, relay=smtp.free.fr[212.27.48.4]:25, delay=3295, delays=3294/1.3/0.08/0, dsn=4.0.0, status=deferred (host smtp.free.fr[212.27.48.4] refused to talk to me: 421 smtp4-g19.free.fr Error: too many connections from 82.247.201.209)

J'ai cela des milliers de fois, toutes les demi secondes.

Et quelque fois j'ai des message de ce genre :

Mar 15 10:07:01 server01 postfix/qmgr[2333]: 21C1BD68A01: from=<www-data@82.247.201.209>, size=288, nrcpt=1 (queue active)

Alors que je n'envoie ou ne recoit aucun mails.

Comment éviter cela ? Car aparement ils utilisent mon serveur pour envoyer des spams et cela me bouffe énormement de bande passante !

merci

Poste le Saturday 15 March 2008 14:02:23

Répondre Citer

Re: Probleme Postfix, attaque

Envoyé par: panthere noire

regarde du coter du module recent d'iptables tu filtres 1 connections par ip. pui tu drop le reste smiling smiley

fait des essai avec les ping en local pour comprendre, il vaux mieux que tu comprenne plutot que je te file la solution.

[www.linux-france.org]

net install--> sid2.6.32 dist i386
fluxbox
nvidia 8800gtx 768 ddr3

Poste le Saturday 15 March 2008 21:20:48

Répondre Citer

Re: Probleme Postfix, attaque

Envoyé par: chromosome

Ta machine n'aurais pas par hasard l'adresse 82.247.201.209 ? Car le message est une erreur d'envoi, pas de reception, il parle de ton relay vers free. Et si c'est le cas, regarde bien les logs de ton serveur Apache, tu t'es probablement fait hacker, car le sender de tes emails est www-data (le compte d'apache)

Poste le Sunday 16 March 2008 19:36:27

Répondre Citer

Re: Probleme Postfix, attaque

Envoyé par: Raph__

Salut,

Ca ressemble surtout à un relais SMTP ouvert !
Tu as peut-être résolu le problème depuis le temps. Sinon fais une recherche sur google. Pas mal de sites permettent de tester la configuration d'un serveur SMTP.

Pour le message "host smtp.free.fr[212.27.48.4] refused to talk to me: 421 smtp4-g19.free.fr Error: too many connections" : Les relais SMTP de free acceptent un nombre limité d'envoi de mail dans un temps donné (J'ignore ce laspe de temps). Lorsque du dépasse la valeur (Ex: 15 mails / minute) l'IP de ton serveur SMTP est placée sur une sorte de greylist. (Temporaire donc).

Citation
Chromosome
tu t'es probablement fait hacker, car le sender de tes emails est www-data (le compte d'apache)

Pour confirmer il faudrait rechercher le destinateur. Il faut faire un grep du mail ID dans tes logs : 21C1BD68A01

A Ciao.

Poste le Monday 17 March 2008 18:26:00

Répondre Citer

Re: Probleme Postfix, attaque

Envoyé par: NaNuuX

Bon j'ai réussi à bloquer l'envoi de mail grace à des parametres de reject dans mon main.cf

Maintenant mon mail.log ennregistre des messages de se genre :

Mar 20 06:25:25 server01 postfix/smtpd[4491]: connect from unknown[60.209.21.101]
Mar 20 06:25:27 server01 postfix/smtpd[4491]: NOQUEUE: reject: RCPT from unknown[60.209.21.101]: 504 5.5.2 <mychat-35dafcb4>: Helo command r$
Mar 20 06:25:27 server01 postfix/smtpd[4491]: NOQUEUE: reject: RCPT from unknown[60.209.21.101]: 504 5.5.2 <mychat-35dafcb4>: Helo command r$
Mar 20 06:25:27 server01 postfix/smtpd[4491]: NOQUEUE: reject: RCPT from unknown[60.209.21.101]: 504 5.5.2 <mychat-35dafcb4>: Helo command r$
Mar 20 06:25:27 server01 postfix/smtpd[4491]: NOQUEUE: reject: RCPT from unknown[60.209.21.101]: 504 5.5.2 <mychat-35dafcb4>: Helo command r$
Mar 20 06:25:28 server01 postfix/smtpd[4491]: lost connection after DATA from unknown[60.209.21.101]
Mar 20 06:25:28 server01 postfix/smtpd[4491]: disconnect from unknown[60.209.21.101]

J'ai du mettre en place un clear du mail.log touts les jours avec cron car il devient vite volumineux.

voici mon main.cf

# See /usr/share/postfix/main.cf.dist for a commented, more complete version


# Debian specific:  Specifying a file name will cause the first
# line of that file to be used as the name.  The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname

disable_vrfy_command = yes

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no
smtpd_helo_required = yes

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

myhostname = mail.*****.fr
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = localhost, localhost.localdomain
relayhost = smtp.free.fr
mynetworks = 127.0.0.0/8, 192.168.0.0/24
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
virtual_alias_domains =
virtual_alias_maps = proxy:mysql:/etc/postfix/mysql-virtual_forwardings.cf, mysql:/etc/postfix/mysql-virtual_email2email.cf
virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql-virtual_domains.cf
virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailboxes.cf
virtual_mailbox_base = /home/vmail

virtual_uid_maps = static:5000
virtual_gid_maps = static:5000
virtual_create_maildirsize = yes
virtual_mailbox_extended = yes
virtual_mailbox_limit_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailbox_limit_maps.cf
virtual_mailbox_limit_override = yes
virtual_maildir_limit_message = "The user you are trying to reach is over quota."
virtual_overquota_bounce = yes
transport_maps = proxy:mysql:/etc/postfix/mysql-virtual_transports.cf
relay_domains = *****.fr

# TLS parameters
smtpd_tls_cert_file = /etc/postfix/smtpd.cert
smtpd_tls_key_file = /etc/postfix/smtpd.key
smtpd_use_tls = yes
smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache
smtpd_tls_auth_only = yes
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s


# SASL
smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_local_domain =
smtpd_sasl_security_options = noanonymous

smtpd_sender_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_non_fqdn_hostname, reject_invalid_hostname, reject_non_fqdn_sender, reject_$
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, reject_non_fqdn_hostname, reject_invalid_hostname, r$

Comment faire pour éviter ses attaques ?

Merci

Poste le Thursday 20 March 2008 22:01:36

Répondre Citer

Re: Probleme Postfix, attaque

Envoyé par: panthere noire

ben petit script qui ban l'ip ?
Tu le lances toute les 60 sec avec cron ou autre chose.
Un grep sure les mots clef si le boulet est là
Mar 20 06:25:27 server01 postfix/smtpd[4491]: NOQUEUE: reject: RCPT from unknown[60.209.21.101]: 504 5.5.2 <mychat-35dafcb4>: Helo command r$

un drop avec le module [www.linux-france.org]

tu ajoutes ta règle avec un iptables --insert -I 1 ta règle

comme elle sera vec un hashlimitmatch tu auras une grande marge de manœuvre. tu peux même combiner avec d'autre module ect
Ensuite tu peux les enlever tout les 1 ou 2 jours smiling smiley

soit en précisant le nom de la règle , soi le numéro de la règle smiling smiley

bref iptables est largement suffisant pour pas te prendre la tête smiling smiley

tu peux perfectionner ton ban genre première foit ban de 2 heure , pui 12 h puis définitivement smiling smiley

net install--> sid2.6.32 dist i386
fluxbox
nvidia 8800gtx 768 ddr3

Poste le Friday 21 March 2008 05:46:15

Répondre Citer