Down serveur

Le forum pour ceux qui sont hébergés sur le serveur Lapin. Les pauvres !
Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » lun. 31 mars 2008 - 23:22

Oui, ça remarche.

Avatar de l’utilisateur
Bubble's Talks
quintessence ultime
Messages : 3910
Enregistré le : mer. 02 juin 2004 - 14:50

Message non lupar Bubble's Talks » mar. 01 avr. 2008 - 23:29

Ok pour les trackmachins ou les pingtrucs mais ce ne sont pas eux qui ont provoqués l'envoi des mails litigieux (si il y en a eu) ni l'inscription de l'Ip du serveur sur les listes rouges (RBL je sais plus quoi).

Donc quoi ? exactement.
Rien ?

Avatar de l’utilisateur
LaHyenne
ourse verte
Messages : 8140
Enregistré le : sam. 08 mars 2003 - 01:58

Message non lupar LaHyenne » mer. 02 avr. 2008 - 00:01

J'ai épluché un bon paquet de los sans rien trouver de vraiment litigieux Bub'.

Ca peut très bien être quelqu'un qui envoie sous notre nom, mais sans passer par le serveur. (enfin je crois)

D'ailleurs, le mail cité comme spam n'est aps dans les logs...
Soit il est trop vieux, soit il n'y a jamais été.

Si tu as des idées Bubb', je suis preneur.
Moi je suis à sec et j'ai déjà trop passé de soirées dessus.

Avatar de l’utilisateur
Bubble's Talks
quintessence ultime
Messages : 3910
Enregistré le : mer. 02 juin 2004 - 14:50

Message non lupar Bubble's Talks » mer. 02 avr. 2008 - 00:21

Je n'ai aucune idée, j'enregistre juste les crises de nerfs de phiip (bin oui car en fait c'est quand-même la principale source de problème).
Je vais essayer de voir si il n'existe pas un petit paquet .deb qui journalise le traffic sortant sur le port 25 (envoi smtp, si c'est bien celui-là qui est fautif) quelque chose de lisible par un humain et pas ces logs épouvantables.


Ps : Phiip c'est sur quel port ?

Avatar de l’utilisateur
LaHyenne
ourse verte
Messages : 8140
Enregistré le : sam. 08 mars 2003 - 01:58

Message non lupar LaHyenne » mer. 02 avr. 2008 - 01:14

(heu phiip, c'est ce port là : http://www.portdelille.com/)
(voila voila)

pour les logs, je suis d'accord avec toi.

Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » mer. 02 avr. 2008 - 07:32

Nous ne sommes plus sur des listes.
Mon lobbying offensif a payé.

Reste Yahoo, mais je pense qu'ils ne comprennent même pas où est le problème.

PS : Bb : toi-même, pfff...

Avatar de l’utilisateur
Bubble's Talks
quintessence ultime
Messages : 3910
Enregistré le : mer. 02 juin 2004 - 14:50

Message non lupar Bubble's Talks » jeu. 03 avr. 2008 - 00:29

Oui mais n'empeche.
J'ai un peu avancé dans la recherche d'une journalisation des envois de mails - au cas où il y aurait de nouveau un probleme, il est difficile de deviner si ce serait plutot une application php compromise, ou un executable ajouté, ou un executable avec un rootkit - la solution est classique : Tcpdump.


Code : Tout sélectionner

root@machine_lapin:~# tcpdump -A -p -n -q  -i eth0 'dst port 25 and tcp[13] & 24 = 24'


Les options passées à tcpdump visent à
- minimiser le nombre de paquets capturés (pour une connexion sortante vers un smtp de 6 à ...), de meilleures options ne retiendraient que 2 paquets par envoi (ceux avec FROM et RCPT)
- restreindre la capture à l'interface eth0 (si elle n'est pas en mode promiscious pour une autre raison ?)
- d'autres trucs.

Ensuite il suffit (?) de lancer tcpdump comme un démon, de lui demander d'écrire ses sorties dans un fichier, puis de lire ce fichier de temps à autre avec | grep FROM ou grep RCPT pour reperer les envois litigieux.

Avatar de l’utilisateur
Jim++
ourse verte
Messages : 5095
Enregistré le : mar. 17 déc. 2002 - 18:23

Message non lupar Jim++ » jeu. 03 avr. 2008 - 14:45

Tu sous entends que tcpdump sortirais des logs lisibles par un être humain ? :mrgreen:

Avatar de l’utilisateur
Bubble's Talks
quintessence ultime
Messages : 3910
Enregistré le : mer. 02 juin 2004 - 14:50

Message non lupar Bubble's Talks » jeu. 03 avr. 2008 - 22:13

Si, si, hagad, j'envoye une mail à un gros crétin, robert truc là avec testchose
Et avec la ligne :

Code : Tout sélectionner

root@crottedelinux:~# tcpdump -Alpnq  -i eth0 'dst port 25 and tcp[13] & 24 = 24' | egrep -a 'RCPT|FROM'

J'obtiens ceci :

Code : Tout sélectionner

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

Code : Tout sélectionner

Z'MAIL FROM:<testmagic@free.fr>
Z;RCPT TO:<robert.lecalvez@free.

Code : Tout sélectionner

6 packets captured
6 packets received by filter
0 packets dropped by kernel


Seul problème, je n'arrive pas à envoyer cette sortie dans un fichier ('>>' euh marche pas)

Avatar de l’utilisateur
Johnny
ourse verte
Messages : 5720
Enregistré le : ven. 22 nov. 2002 - 23:17

Message non lupar Johnny » ven. 04 avr. 2008 - 08:08

Est-ce possible qu'au moment où Phiip envoie la newslettre, le serveur rame un peu (forum et zine très lents) ou ça n'a rien à voir ?
Je suis le seul vrai lapin du forum

Avatar de l’utilisateur
LaHyenne
ourse verte
Messages : 8140
Enregistré le : sam. 08 mars 2003 - 01:58

Message non lupar LaHyenne » ven. 04 avr. 2008 - 08:59

C'est tout à fait possible, il envoie plus de 1000 mails en moins d'une seconde...

Avatar de l’utilisateur
Jim++
ourse verte
Messages : 5095
Enregistré le : mar. 17 déc. 2002 - 18:23

Message non lupar Jim++ » ven. 04 avr. 2008 - 17:48

Si il les envoie via lapin, ça dure sûrement pas une seule seconde :p

Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » ven. 04 avr. 2008 - 18:25

Non, groupmail les envoie un à un.
Ca prend environ 20 minutes.

Et ça ralentit les choses, oui !

Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » lun. 07 avr. 2008 - 15:11

T'est-il possible de savoir si ce mail
http://spamblock.outblaze.com/cgi-bin/s ... l=12564437
est effectivement passé par nos serveurs ?

Avatar de l’utilisateur
LaHyenne
ourse verte
Messages : 8140
Enregistré le : sam. 08 mars 2003 - 01:58

Message non lupar LaHyenne » lun. 07 avr. 2008 - 16:07

En tout cas il n'est pas dans les logs...

Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » lun. 07 avr. 2008 - 18:24

Donc il n'est pas passé par chez nous.
Je leur écris de suite.

Avatar de l’utilisateur
Jim++
ourse verte
Messages : 5095
Enregistré le : mar. 17 déc. 2002 - 18:23

Message non lupar Jim++ » lun. 07 avr. 2008 - 20:40

Au fait, il y a aussi une autre possibilité, certes peu probable mais quand même. Un de tes pcs Phiip peut être vérolé par un programme qui envoit des mails. Mais il est sûrement plus probable que ce mail n'est jamais passé sur la ligne.

Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » mar. 08 avr. 2008 - 10:15

Ce que me dit Outblaze :

Hello,

What you have here is a mass mailer trojan uploaded either by a spammer
into his home directory, or through a Perl/PHPshell hole into /tmp or
similar. Fresh spam sample below.

Fix is to:

1. Find and remove the trojan -- check your Apache logs and such; and

2. Set a host based firewall (say iptables) so that only the uid:gid of
your MTA can make outbound port 25 connections.

Regards
Outblaze postmaster


Ils sont vraiment super sympas en fait, ceux-là.

Avatar de l’utilisateur
LaHyenne
ourse verte
Messages : 8140
Enregistré le : sam. 08 mars 2003 - 01:58

Message non lupar LaHyenne » mar. 08 avr. 2008 - 10:22

Moi je veux bien, mais sans le trouver dans les logs ça va être dur.
Ou alors je suis vraiment un naze ?

hmmm

...

*s'évanouit *

Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » mar. 08 avr. 2008 - 10:57

Tu sais, c'est pas à moi qu'il faut demander... J'aimerais pouvoir t'aider... peut-être du baygon dans le ventilo ?
Par contre, le 2. a l'air plus simple.

Et j'ai été reblacklisté sur le truc allemand, donc y'a probablement quelque chose.

Avatar de l’utilisateur
Jim++
ourse verte
Messages : 5095
Enregistré le : mar. 17 déc. 2002 - 18:23

Message non lupar Jim++ » mar. 08 avr. 2008 - 11:59

Je viens de vérifier un peu pour le 2, en suivant les logs de notre serveur mail et ce qui sort effectivement vers un autre serveur mail (port 25) avec tcpdump, un peu comme a dit Bubbles. Cela correspond, il semble donc peu probable qu'un trojan quelque part sur le système envoie des mails. Ou alors, vraiment pas beaucoup ou à certaines heures, ce qui n'est pas vraiment du bon boulot pour un mass mailer trojan.
Phiip, je pense que tu devrais sérieusement examiner tes propres machines, parce qu'il est certainement bien plus facile d'insérer un trojan dans une station de travail sous windows que sur notre serveur. Et il pourrait envoyer tout autant de mails depuis l'ip commune.

Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » mar. 08 avr. 2008 - 15:17

Okay, je fais comment ?

J'ai tout scanné avec antivir, rien trouvé, sur aucun des trois micros de la maison...
Je lance un antitrojan pour voir.

Avatar de l’utilisateur
LaHyenne
ourse verte
Messages : 8140
Enregistré le : sam. 08 mars 2003 - 01:58

Message non lupar LaHyenne » mar. 08 avr. 2008 - 18:53

Essaye déjà avec Spybot et éventuellement adaware ?

Avatar de l’utilisateur
Jim++
ourse verte
Messages : 5095
Enregistré le : mar. 17 déc. 2002 - 18:23

Message non lupar Jim++ » mar. 08 avr. 2008 - 18:59

Un moniteur de bande passante et tu surveille la bande passante en upload.

Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » mar. 08 avr. 2008 - 19:43

J'ai fait ça avec Tauscan, rien.
jim : heu, moi ?

Avatar de l’utilisateur
LaHyenne
ourse verte
Messages : 8140
Enregistré le : sam. 08 mars 2003 - 01:58

Message non lupar LaHyenne » mar. 08 avr. 2008 - 20:36

Essaye vraiment avec spybot.

Avatar de l’utilisateur
Jim++
ourse verte
Messages : 5095
Enregistré le : mar. 17 déc. 2002 - 18:23

Message non lupar Jim++ » mar. 08 avr. 2008 - 21:04

Phiip the only Phiip a écrit :jim : heu, moi ?


Oui.

Avatar de l’utilisateur
Johnny
ourse verte
Messages : 5720
Enregistré le : ven. 22 nov. 2002 - 23:17

Message non lupar Johnny » mer. 09 avr. 2008 - 06:36

phiip a écrit :Robin, surveille la bande passante pendant que je prépare le lapin
Je suis le seul vrai lapin du forum

Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » mer. 09 avr. 2008 - 10:15

Spybot est installé sur mon ordinateur depuis des siècles. Je fais un search and destroy de suite.

jim : mais comment ?! (tsss)

Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » mer. 09 avr. 2008 - 12:46

Spybot : done, sur toutes les machines de la maison.
J'ai viré des cookies, mais pas de trojan.

Vous avez fait un S&D sur le serveur ?
http://doc.ubuntu-fr.org/iptables
Quid de la suggestion de la fille d'outblaze que je lui réponde ?


Retourner vers « la tanière du serveur Lapin [privé] »

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 2 invités