Down serveur

Le forum pour ceux qui sont hébergés sur le serveur Lapin. Les pauvres !
Avatar de l’utilisateur
LaHyenne
ourse verte
Messages : 8140
Enregistré le : sam. 08 mars 2003 - 01:58

Message non lupar LaHyenne » mer. 09 avr. 2008 - 19:55

Bien.

(merci beaucoup jim !)

Réponse à la question 1 : Ist's really not in our logs

Réponse à la question 2 : As with tcpdump we can't see any outgoing mail, there is no reason a firewall (we are setting anyway at the moment) would change anything.

Et limite rajouter des gentillesses en anglais tout ça ?

Avatar de l’utilisateur
Bubble's Talks
quintessence ultime
Messages : 3910
Enregistré le : mer. 02 juin 2004 - 14:50

Message non lupar Bubble's Talks » jeu. 10 avr. 2008 - 01:48

Pour la cohérence du propos à offrir à un public non averti.
Tu peux toujours pretendre (...) que nous suivons les sorties vers les ports 25 de notre serveur à l'aide de Tcpdump selon la commande :

Code : Tout sélectionner

root@lapin.org:~#tcpdump -Alpnq -s 120  -i eth0 'dst port 25 and tcp[13] & 24 = 24 and greater 80 and less 120'

Et que rien ne nous parait anormal.

En effet (c'est alors toi qui parle) ; Cette capture, comme vous pouvez le constater, n'enregistre sur l'interface réseau de notre serveur que les paquets sortants comportant les drapeaux (flags) PUSH et ACK d'une connexion vers un port 25 (SMTP) externe comprises dans les limites (greater and less) qui permettent de ne capter que les données du type : EHLO, MAIL FROM et RCPT.
Et rien (c'est toujours toi qui parle) ne nous permet de conclure à l'envoi frauduleux de mail à partir de notre serveur, Nous étudions ces logs à l'aide T-Shark (la version en ligne de commande de Wire-Shark qui est comme vous le savez le successeur d'Ethereal).
Veuillez recevoir best regards (and so on, blablablabla)



[un S&D sur le seveur... j'ai ris de bon coeur, car j'ai bon coeur, en fait il faudrait lancer le logiciel Nessus sur le serveur pour en apprendre un peu plus sur ces éventuelles failles en lequelles de toute facon je ne crois pas, vu que c'est une Debian compilée à la main]

Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » jeu. 10 avr. 2008 - 06:05

Je lui ai dit tout ça, voici nos échanges :

Hello,

As the spamming script is making SMTP connections directly, the spams are
not relayed using your MTA therefore you won't see any logs for them.

Can you setup a host based firewall so that only your MTA can make
outbound port 25 connections? Thanks.

regards
postmaster



[phiip@lapin.org - Wed Apr 9 17:05:34 2008]:

> Hi again,
>
> I'm getting kind of confused here.
>
> We checked the logs and didn't see any trace of those emails...
> I ran Antivir, Spybot and Tauscan on all the machines here, and got nothing
> (except a few cookies).
> Is it possible these mail don't really come from my server?
>
> sincerely,
> Phiip

Avatar de l’utilisateur
Bubble's Talks
quintessence ultime
Messages : 3910
Enregistré le : mer. 02 juin 2004 - 14:50

Message non lupar Bubble's Talks » jeu. 10 avr. 2008 - 14:05

Pour l'instant, ne répond rien.
Faut rechlefir.

Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » jeu. 10 avr. 2008 - 14:12

Ah ben non, je ne réponds rien.
Il/elle a l'air sûr(e) de lui/elle, et ils sont sympas, faut le dire.

Avatar de l’utilisateur
LaHyenne
ourse verte
Messages : 8140
Enregistré le : sam. 08 mars 2003 - 01:58

Message non lupar LaHyenne » jeu. 10 avr. 2008 - 15:57

Voila.

Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » jeu. 10 avr. 2008 - 16:12

Heu, qu'as-tu fait exactement, que je lui dise (parle-moi en français, je traduirai !)

Avatar de l’utilisateur
LaHyenne
ourse verte
Messages : 8140
Enregistré le : sam. 08 mars 2003 - 01:58

Message non lupar LaHyenne » jeu. 10 avr. 2008 - 16:19

Heu en fait je voulais dire voila, tu ne lui dis rien...
Je dois trouver la version de iptables qui marchera avec notre noyau et l'installer et déjà elle devrait être contente.

Enfin je crois.

Et franchement, pour ce genre de trucs ultra pointus heureusement que Jim et Bubble's sont là !

Avatar de l’utilisateur
Bubble's Talks
quintessence ultime
Messages : 3910
Enregistré le : mer. 02 juin 2004 - 14:50

Message non lupar Bubble's Talks » jeu. 10 avr. 2008 - 16:42

euh heureusement que je suis là ? ca doit être une erreur.


Je suis pas spécialiste mais iptables est fourni depuis le kernel 2.4, à mois que jim ait compilé lui-même le kernel il doit être livré dans l'emballage.

Avec Iptables nous pouvons filtrer par uid, sur les sorties vers le port 25.
Il faut vérifier que le module ipt_owner est chargé :

:~# lsmod | grep ipt_owner
Si il n'est pas dedans alors
:~# modprob ipt_owner
et sinon, bin... ?

Puis ajouter en-tête du filtre Iptable les regles suivantes :

iptables -I OUTPUT -p tcp --dport 25 -m owner --uid-owner 1001 -j ACCEPT #apache
iptables -I OUTPUT -p tcp --dport 25 -m owner --uid-owner 65534 -j ACCEPT #ou phiip ou postfix (enfin ?**)
iptables -I OUTPUT -p tcp --dport 25 -j DROP # sinon rien

en commencant par la dernière, vu que chaque ajout se place en tête. (c'est du +/-, ce n'est peut-être pas exactement comme cela qu'il faut faire, et même pas du tout comme cela sans doute
en fait)

**Je tire cet uid des en-têtes des mails de la newsletter (depuis avril), mais en fait je n'en sais pas grand chose, ok rien.
by lapin-master.lapin.org (Postfix, from userid 65534) id E6CE8DA83D; Tue, 1 Apr 2008 08:17:40 +0200 (CEST)


- Pour la surveillance des envois vers le port 25, la commande tcpdump (la dernière citée) logue toutes les sorties d'où qu'elles viennent.
Vu qu'elle ne tourne pas en permanence il est difficile de savoir si des trucs passent ou pas.



- Pour les postes vindozes
. tcpdump existe aussi, mais avec un souçi venant du fait que frequement des failles sont trouvées sur la librairie winPcap.
. Il faut installer un firewall par poste (et un seul), Outpost Free est le plus souvent cité, ici une page qui explique comment il faut s'en servir : http://securite-facile.ovh.org/outpost.php
sinon look N Stop, qualifié de plus leger.
Modifié en dernier par Bubble's Talks le sam. 12 avr. 2008 - 11:06, modifié 1 fois.

Avatar de l’utilisateur
LaHyenne
ourse verte
Messages : 8140
Enregistré le : sam. 08 mars 2003 - 01:58

Message non lupar LaHyenne » jeu. 10 avr. 2008 - 17:22

bubb' >

La preuve en est ce message !

jim ait compilé lui-même le kernel il doit être livré dans l'emballage.
Mon souci est bien là. C'est livré mais pas compatible... la table filters qui evut pas se lancer (étonnament)

et sinon, bin... ?
Devine quoi ??? :D

Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » jeu. 10 avr. 2008 - 17:42

Tous mes ordinateurs ont Zone Alarm comme firewall et antivir comme antivirus, plus SPybot maintenant sur tous aussi.
(je pense que c'est bon pour moi, là, non ?)

Avatar de l’utilisateur
Bubble's Talks
quintessence ultime
Messages : 3910
Enregistré le : mer. 02 juin 2004 - 14:50

Message non lupar Bubble's Talks » jeu. 10 avr. 2008 - 18:13

:~# iptables -L
ne renvoie rien ?? ou un message d'erreur ?


phiip> il faut relire les regles définies dans ZA pour être sûr. L'utilisateur a la facheuse tendance de cliquer sur "Yes" à chaque question posée.

Avatar de l’utilisateur
LaHyenne
ourse verte
Messages : 8140
Enregistré le : sam. 08 mars 2003 - 01:58

Message non lupar LaHyenne » jeu. 10 avr. 2008 - 18:59

iptables v1.2.11: can't initialize iptables table `filter': Permission denied (you must be root)
Perhaps iptables or your kernel needs to be upgraded.


Et iptables est en mode compilé oui.

Avatar de l’utilisateur
Bubble's Talks
quintessence ultime
Messages : 3910
Enregistré le : mer. 02 juin 2004 - 14:50

Message non lupar Bubble's Talks » jeu. 10 avr. 2008 - 19:10

Bin c'est pasque t'es pas root...


nan ?

Avatar de l’utilisateur
LaHyenne
ourse verte
Messages : 8140
Enregistré le : sam. 08 mars 2003 - 01:58

Message non lupar LaHyenne » jeu. 10 avr. 2008 - 19:38

nan.

Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » jeu. 10 avr. 2008 - 19:53

Bubble's Talks a écrit :il faut relire les regles définies dans ZA pour être sûr. L'utilisateur a la facheuse tendance de cliquer sur "Yes" à chaque question posée.

Rarement, mais bon, au cas où spybot complète agréablement le tableau.

Avatar de l’utilisateur
LaHyenne
ourse verte
Messages : 8140
Enregistré le : sam. 08 mars 2003 - 01:58

Message non lupar LaHyenne » jeu. 10 avr. 2008 - 19:54

Ouais à priori tu dois être sauvé Phiip.

ouf :D

Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » ven. 11 avr. 2008 - 11:02

En fait, je voudrais envoyer un mail incendiaire à Yahoo,
mais pour ça, je dois être certain qu'on est clean.

tu me dis quand iptable fonctionne ?

Avatar de l’utilisateur
Bubble's Talks
quintessence ultime
Messages : 3910
Enregistré le : mer. 02 juin 2004 - 14:50

Message non lupar Bubble's Talks » ven. 11 avr. 2008 - 12:56

Euh nous ne sommes pas clean, hein.
Nous n'arrivons pas à afficher la table 'filters' (qui est - pour l'édification des lapins-masters - la liste des regles que Netfilter applique aux paquets qui transitent par le kernel et qu'Iptables permet de modifier, donc pas dans notre cas.)

Nessus v 2.4 (il a tourné trois heures cette nuit contre le serveur) nous apprend, d'abord une bonne nouvelle :
- Malgré "les tests à risques" (un peu cochés par erreur...mmm) le serveur ne s'est pas planté.
Puis quelques mauvaises :
- Il dit avoir découvert quelques failles potentielles sur les ports (80,81,82) écoutés par Apache (avec ou sans SSL) et propose d'ajouter "RewriteEngine on" à gauche à droite.
Euh sauf que le module Rewrite n'a jamais pu être installé (si je ne me trompe)
- Il, à titre d'information, trouve le serveur trop bavard (sur divers services).

Je vais installer la dernière version de Nessus (3) avec les tests à jour (car sur la précédente je n'ai pas pu le faire) et le relancer la nuit prochaine (ou + tard).

Ah, l'Uid : 65534 c'est pas celle de postfix c'est celle de "nobody", ahem.

Si nous voulons être sur de nous il faut au moins arriver à afficher la table "filters", d'ailleurs à ce propos le serveur c'était pas deux machines ? Le FW se trouve sur laquelle ? Identifier tous les processus légitimes susceptibles d'envoyer du courrier et les autoriser.
Et surveiller le serveur.

In fine : Vu que la NewsLetter est envoyée par paquet de un. (...)N'est-il pas possible de se servir des serveurs de courrier de Free ? Lui il est authentifié et pas dans les listes (noires, rouges). Le champ MAIL FROM lui importe peu, il ajoutera un champ REPLY TO d'un compte free.
Ca devient important car genre pour la librairie, si Yahoo refuse les mails, le client ne recoit jamais de confirmation.

Ps : Le serveur rame, là.

Avatar de l’utilisateur
Johnny
ourse verte
Messages : 5720
Enregistré le : ven. 22 nov. 2002 - 23:17

Message non lupar Johnny » ven. 11 avr. 2008 - 13:29

Bubble's Talks a écrit :Ps : Le serveur rame, là.

C'est la newsletter qui passe.
Je suis le seul vrai lapin du forum

Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » ven. 11 avr. 2008 - 13:49

Oui, c'est la newslettre.
Sinon, non, Free limite à 400 envois par tranche de 4 heures (en gros), par un ou par cent, il s'en fout.

Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » sam. 12 avr. 2008 - 10:19

Sinon, le reverse DNS est bon, mais l'adresse ip qui s'affiche est toujours celle de la passerelle.



Received: by lapin-master.lapin.org (Postfix, from userid 65534)
id 7C335DA4DE; Fri, 11 Apr 2008 15:14:25 +0200 (CEST)
Received: from lapin-3414449f9 (passerelle [192.168.0.1])
by lapin-master.lapin.org (Postfix) with ESMTP id AE8C6DA6D6
for <tatts56@stny.rr.com>; Fri, 11 Apr 2008 15:14:21 +0200 (CEST)
Message-ID: <3818-22008451113198640@lapin-3414449f9>
Organization: Rabbit's World Domination Company
From: "Phiip the Phiip" <phiip@rabbit-comics.org>
To: "Lynn" <tatts56@stny.rr.com>
Subject: rabbit - episode 1735 - what the hell is this ?
Date: Fri, 11 Apr 2008 15:19:08 +0200
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_9413137111912613198656"

Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » lun. 14 avr. 2008 - 18:48

Heu, un abonné me dit ça :

Bonsoir,

En parlant de spam, on va mettre en place un greylisting[1] sur mon compte.

Sais-tu si ton serveur de mail est compatible ? Quel logiciel utilises-tu ?

Hervé


[1] http://fr.wikipedia.org/wiki/Greylisting

--
Hervé Cauwelier


Notre serveur de mails comprend ce genre de choses ?

Avatar de l’utilisateur
LaHyenne
ourse verte
Messages : 8140
Enregistré le : sam. 08 mars 2003 - 01:58

Message non lupar LaHyenne » lun. 14 avr. 2008 - 19:26

Oui, si le mail ne passe pas, il retentera de l'envoyer plusieurs fois (en laissant de plus en plus de temps entre deux mails)

Pas de soucis de ce côté en théorie.

Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » mar. 15 avr. 2008 - 07:46

Bon.
Ca me semblait un peu fumeux, mais okay.

Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » mar. 15 avr. 2008 - 10:51

Received: from localhost (localhost [127.0.0.1])
by relternet-01.equipement.gouv.fr (Postfix) with ESMTP id 45A596819D
for <philippe.simon@equipement.gouv.fr>; Tue, 15 Apr 2008 09:09:39 +0200 (CEST)
X-Spam-Score: -4.485
X-Spam-Level:
X-Spam-Status: No, score=-4.485 tagged_above=-5 required=5 tests=[AWL=-0.882,
BAYES_00=-5, HTML_MESSAGE=0.001, MIME_QP_LONG_LINE=1.396]
Received: from relternet-01.equipement.gouv.fr ([127.0.0.1])
by localhost (relternet-01.csac.melanie2.i2 [127.0.0.1]) (amavisd-new, port 10024)
with LMTP id VeFl5+3qExiX for <philippe.simon@equipement.gouv.fr>;
Tue, 15 Apr 2008 09:09:36 +0200 (CEST)
Received: from lapin-master.lapin.org (lapin.org [88.163.241.76])
by relternet-01.equipement.gouv.fr (Postfix) with ESMTP id 6D311681CE
for <philippe.simon@equipement.gouv.fr>; Tue, 15 Apr 2008 09:09:12 +0200 (CEST)
Received: by lapin-master.lapin.org (Postfix, from userid 65534)
id 3D46FDA654; Tue, 15 Apr 2008 09:04:26 +0200 (CEST)
Received: from lapin-3414449f9 (passerelle [192.168.0.1])
by lapin-master.lapin.org (Postfix) with ESMTP id 9491EDA7A7
for <philippe.simon@equipement.gouv.fr>; Tue, 15 Apr 2008 09:04:22 +0200 (CEST)
Message-ID: <38249-220084215790406@lapin-3414449f9>
X-List-Unsuscribe: <mailto:desabonator@lapin.org?subject=stooooop>
X-List-Suscribe: <mailto:abonator@lapin.org?subject=aboooooonnez_moiiiii>
X-List-Help: <mailto:bill@lapin.org?subject=au_secouuuuurs>
Errors-To: bill@lapin.org
Organization: Rabbit's World Domination Company
From: "> Phiip the only Phiip (par Internet)"
<phiip@lapin.org>
X-mineqOrigine: par Internet
Reply-to: "Phiip the only Phiip"
<phiip@lapin.org>
To: "Philippe Simon" <philippe.simon@equipement.gouv.fr>
Subject: =?windows-1252?Q?lapin_-_=E9pisode_1737_-_boom?=
Date: Tue, 15 Apr 2008 09:09:00 +0200
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_231161499159181790703"
X-Virus-Scanned: Scan at equipement.gouv.fr

This is a multi-part message in MIME format.


En fait, j'ai toujours l'adresse de la passerelle dans le corps du message au lieu de mon ip.
L'ip changerait les choses.
Pour outblaze, on en est où d'iptables ?

Jim, tu pourrais nous aider pour tout ça ?

Avatar de l’utilisateur
LaHyenne
ourse verte
Messages : 8140
Enregistré le : sam. 08 mars 2003 - 01:58

Message non lupar LaHyenne » mar. 15 avr. 2008 - 13:44

Désolé, mais j'avais un salon de vendredi à hier.

Pour l'ip de la passerelle, perso je bloque. je ne sais pas comment changer ça. Bubb' ? Jim ?

Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » mar. 15 avr. 2008 - 17:18

Oui, jim, on aurait besoin que tu nous aides activement là, parce qu'on rame sur ce sujet depuis un bon mois, et que j'ai 200 abonnés qui ne reçoivent plus lapin (et un simple reparamétrage pourrait résoudre tout ça).

- iptables est notre premier souci ;
- avoir l'ip de lapin qui apparaisse clairement dans les messages est notre second souci.

Sinon, je dois écrire à la CNIL cette semaine sur la problématique du blocage par Yahoo, qui est visiblement super-complexe...

Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » mar. 15 avr. 2008 - 22:22

Ca devient carrément critique là, j'ai reçu ça de Free :

Compte: 0320422505
Abonnement: Free Haut Débit
Titulaire: Simon Philippe

Monsieur,

Nous avons été saisis de plusieurs plaintes ayant identifié votre accès haut
débit comme source d'émission de SPAMs (courriers non-sollicités, pouvant
comporter le cas échéant des codes malveillants).

Il se peut probablement que ces envois découlent d'un défaut de sécurisation
de votre configuration informatique ayant permis l'installation à distance
de programmes permettant l'envoi de SPAM à votre insu.

Nous vous invitons par conséquent à procéder rapidement à une vérification
minutieuse de votre configuration au moyen d'utilitaires appropriés afin
d'éradiquer ces sources de nuisance de nature à engager votre
responsabilité. En outre, pour vous permettre de faire face efficacement à
l'avenir à de telles intrusions, nous vous recommandons fortement de veiller
à ce que votre configuration informatique soit correctement sécurisée au
moyen de l'utilisation de pare-feu et systèmes anti-virus à jour : dans
cette optique, nous vous invitons à consulter la documentation accompagnant
votre configuration informatique ou solliciter votre revendeur informatique
pour de plus amples conseils.

Sans agissement en ce sens de votre part, et dans l'hypothèse où nous
serions notifiés à nouveau de plaintes vous concernant, nous nous verrions
alors contraints de prendre, conformément à la législation en vigueur,
toutes les mesures qui s'imposent pour mettre fin aux troubles évoqués et à
ce titre nous nous réservons le droit de suspendre temporairement votre accès, sans
préjudice de toute action contentieuse pouvant être engagée à ce sujet.

Nous restons à votre entière disposition pour toute information complémentaire.

Pour cela veuillez répondre directement à ce message en prenant le soin de conserver
l'intitulé du sujet.

En vous remerciant pour votre prompte réaction.

Cordialement,

--
Free - Service Abuse

abuse@free.fr

Avatar de l’utilisateur
Jim++
ourse verte
Messages : 5095
Enregistré le : mar. 17 déc. 2002 - 18:23

Message non lupar Jim++ » mer. 16 avr. 2008 - 01:05

Bon.
-iptables ne veut pas marcher, même après réinstallation et reboot du serveur, et je ne trouve pas pourquoi. :/
-Pour tes sources de mails, il faut que tu précises d'où tu l'envoies via quel serveur smtp et à quel destinataire parce que là c'est pas très clair.
-il faut couper le serveur de sauvegardes. Il me fallait un code spécifique que j'ai oublié pour s'y connecter, et LH n'a pas d'accès... On ne peut donc pas le vérifier, lui. Il faudra brancher un clavier et un écran dessus et que je te donne des instructions pour rétablir un accès distant, plus tard.
-Pour abuse@free.fr : ouch


Retourner vers « la tanière du serveur Lapin [privé] »

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 1 invité