Down serveur

Le forum pour ceux qui sont hébergés sur le serveur Lapin. Les pauvres !
Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » mer. 16 avr. 2008 - 09:46

- iptables : arf...
- mails : du serveur lapin (de mon ordinateur plus précisément) vers mon adresse au boulot à la DDE.
- le serveur de sauvegarde, c'est le petit ? du coup, les spams devraient plutôt venir de là ou pas ?


Question : est-il possible d'interdire l'envoi de mails hors newslettre ? Puis-je désactiver les envois pendant qu'on trouve une solution ?
Je serai chez moi toute la journée (à vomir, je suis malaaaaaaaaaaaaade), dis-moi quand on s'occupe du serveur de secours.
Tél : 09 50 65 66 27

Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » mer. 16 avr. 2008 - 14:10

Heu, je ne reçois quasiment plus de mails.
C'est normal ? Sont-ils perdus ?

Et je ne peux plus en envoyer...

C'est embêtant pour la newslettre, quoi.

Avatar de l’utilisateur
Jim++
ourse verte
Messages : 5095
Enregistré le : mar. 17 déc. 2002 - 18:23

Message non lupar Jim++ » mer. 16 avr. 2008 - 14:59

Je pense n'avoir rien changé. Peut être qu'on t'en envoies peu. Je vois pas comment certains pourraient passer et d'autres non.
Pour l'envoi, c'est depuis quel ip que tu envoies ? Tu as une erreur ?

Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » mer. 16 avr. 2008 - 15:18

Depuis l'ip lapin.

Non, je reçois dans les 300 mails par jour en moyenne, et aujourd'hui j'ai dû recevoir ce qui sont passé dans la nuit avant les modifs (j'en ai 5).

Échec de la connexion au serveur. Compte : 'Phiip the only Phiip', Serveur : 'ns4.lapin.org', Protocole : SMTP, Port : 25, Sécurisé (SSL) : Non, Erreur de socket : 10061, Numéro d'erreur : 0x800CCC0E

Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » mer. 16 avr. 2008 - 15:34

Et voici le message d'erreur de Groupmail.

** Group Mail Version 3.4.214
** Date: 16/04/2008 16:38:08
** Send Mode: Personal
** Sending via: ns4.lapin.org

> Building Message Template (using engine v6, 0, 3, 8)
> Message Subject: lapin - épisode 1738 - au coeur de la grotte
> Adding Custom Headers
> Message appears From: "Phiip the only Phiip" <phiip@lapin.org>
> Attaching files

> Connecting to Server (Speed Connect mode)
04/16/08 16:38:09 Opening Socket.
Connecting to: ns4.lapin.org
Error Connecting to [ ns4.lapin.org ]. # 10061
> Unable to initiate Speed Connect mode, switching to Standard Connect mode
Sending Message to: <bamboo.slide@gmail.com>
04/16/08 16:38:10 Opening Socket.
Connecting to: ns4.lapin.org
Error Connecting to [ ns4.lapin.org ]. # 10061
Error: There was an error connecting to the SMTP mail server. Please make sure that you have specified the correct settings in Email Setup and that you are online. - (9)

Sending Message to: <Emkalan@aol.com>
04/16/08 16:38:11 Opening Socket.
Connecting to: ns4.lapin.org
Error Connecting to [ ns4.lapin.org ]. # 10061
Error: There was an error connecting to the SMTP mail server. Please make sure that you have specified the correct settings in Email Setup and that you are online. - (9)

Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » jeu. 17 avr. 2008 - 09:37

Heu, bon, ça marche toujours pas, hein...

Outlook n'arrive pas à se connecter à ns4.lapin.org

Délai d'attente dépassé lors de la communication avec le serveur. Objet 'Re: text', Compte : 'Phiip the only Phiip', Serveur : 'ns4.lapin.org', Protocole : SMTP, Port : 25, Sécurisé (SSL) : Non, Numéro d'erreur : 0x800CCC19

Avatar de l’utilisateur
LaHyenne
ourse verte
Messages : 8140
Enregistré le : sam. 08 mars 2003 - 01:58

Message non lupar LaHyenne » jeu. 17 avr. 2008 - 10:28

Ca devrait être bon.
Corrigé

Avatar de l’utilisateur
Jim++
ourse verte
Messages : 5095
Enregistré le : mar. 17 déc. 2002 - 18:23

Message non lupar Jim++ » jeu. 17 avr. 2008 - 14:44

Phiip, je pense que je sais pourquoi il te mets "passerelle" dans les headers de mail.
Tu as configuré le serveur smtp d'envoi comme "lapin.org" ou un truc du genre. En fait, ça passe pas directement de ton ordi au serveur, mais ça passe par la passerelle, puis par le serveur. Donc le serveur voit que ça vient de 192.168.0.1. Si tu passes direct, ça mettra l'ip locale de ton ordi.
Et c'est tout à fait normal en fait, d'une façon où d'une autre. Je vois pas trop où est le problème.
Si vraiment il y en a un, je pense pouvoir bidouiller pour que ça mettes genre phiip.lapin.org pour nom de ta propre machine.

Code : Tout sélectionner

Apr 17 15:01:24 lapin-master postfix/smtpd[32250]: C3533DA960: client=unknown[192.168.0.1]
Apr 17 15:01:25 lapin-master postfix/cleanup[32364]: C3533DA960: message-id=<38494-22008441713136312@lapin-3414449f9>
Apr 17 15:31:12 lapin-master postfix/qmgr[14108]: C3533DA960: from=<phiip@lapin.org>, size=85925, nrcpt=1 (queue active)
Apr 17 15:31:53 lapin-master postfix/smtp[3297]: C3533DA960: to=<nicolas.campestre@laposte.net>, relay=smtp4.laposte.net[193.251.214.113]:25, delay=1829, delays=1788/22/2.3/17, dsn=2.0.0, status=sent (250 Ok: queued as 45CD32400089)
Apr 17 15:31:53 lapin-master postfix/qmgr[14108]: C3533DA960: removed

Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » jeu. 17 avr. 2008 - 15:08

Oui, c'est ns4.lapin.org que je mets.

L'idéal serait qu'il mette l'ip du serveur.
Que les autres serveurs nous identifient comme ayant une ip fixe.

Avatar de l’utilisateur
Jim++
ourse verte
Messages : 5095
Enregistré le : mar. 17 déc. 2002 - 18:23

Message non lupar Jim++ » jeu. 17 avr. 2008 - 15:23

Je ne vois pas trop pourquoi. C'est un fonctionnement parfaitement normal. Si j'envoie un email via mon FAI, il va mettre

Code : Tout sélectionner

Received: from [192.168.1.2] (pas38-1-87-88-188-216.dsl.club-internet.fr [87.88.188.216])
   by relay-dm.club-internet.fr (Postfix) with ESMTP id CD8A425629

Avec mon ip locale interne, et mon ip internet. Les autres serveurs vont voir l'ip du smtp de club-internet et vont le considerer comme un serveur fixe. Ils ne vont pas s'interroger sur ma propre IP. C'est pareil pour toi.

Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » jeu. 17 avr. 2008 - 15:27

Oui, mais l'ip de lapin n'apparaît pas dans les messages.
Et l'identification de ma machine semble poser un problème de sécurité (dixit Luc)

Avatar de l’utilisateur
Jim++
ourse verte
Messages : 5095
Enregistré le : mar. 17 déc. 2002 - 18:23

Message non lupar Jim++ » jeu. 17 avr. 2008 - 23:26

Bon, après 8h sur le serveur...

Oui, mais l'ip de lapin n'apparaît pas dans les messages.

-On est d'accord donc, ce n'est pas un problème (elle apparait toujours en fait).

-le serveur de secours a l'air clean. Je peux pas installer tcpdump, mais comme presque rien ne tourne dessus, on voit qu'il ny a rien avec ps (liste des processus), netstat (liste des connexions).

-re vérification, tcpdump et le log de postfix concordent, il ne semble pas y avoir d'autre programme qui envoit des mails.

-postfix n'a pas l'air de relayer des trucs qu'il ne devrait pas.

-les scripts php les plus lancés:
+ tb.php de pascal. Appellé à mort par des spammers; mais n'envois aucun mail.
+ le formulaire de contact de Johnny. Ne permet de spammer que notre propre compte email admin (postmaster) d'erreurs. 20 000, quand même, mais ça n'a pas pu envoyer de spam à l'extérieur. Désactivé.
+ aucun autre script envoyant des mails n'est appelé souvent.


Aucune faille permettant de spammer détectée donc...


Phiip, 370 mails pour des gens chez yahoo en attente sur le serveur, qui rééssaye périodiquement de les renvoyer.

Avatar de l’utilisateur
Bubble's Talks
quintessence ultime
Messages : 3910
Enregistré le : mer. 02 juin 2004 - 14:50

Message non lupar Bubble's Talks » jeu. 17 avr. 2008 - 23:53

Il faudrait que tu (phiip) demandes à Free copie des mails de plainte (ceux-ci comportent les en-têtes de messages supposés litigieux) C'est peut-être que la news-letter ?


8 h sur le serveur ... Mmmm

Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » ven. 18 avr. 2008 - 08:54

BB > Je l'ai fait, j'attends toujours.
Je pense que c'est yahoo qui s'est plaint, parce que j'ai râlé sur leur inefficacité, les menaçant de "legal action" s'ils ne faisaient pas quelque chose.

Merci pour tout le temps passé, jim. Je ne sais plus trop quoi penser.
J'ai des messages de Comcast :
The mail system

<trinity7777dushon@comcast.net>: host mx1.comcast.net[76.96.62.116] refused to
talk to me: 554 IMTA23.westchester.pa.mail.comcast.net comcast
88.163.241.76 Comcast BL004 Blocked for spam. Please see
http://www.comcast.net/help/faq/index.j ... olicy18628

d'outblaze, déjà vu ici, qui a donné une copie d'au moins deux spams, et qui parle ici du répertoire /temp ?
What you have here is a mass mailer trojan uploaded either by a spammer
> > into his home directory, or through a Perl/PHPshell hole into /tmp or
> > similar. Fresh spam sample below.


d'AOL :
The mail system

<genoefa@netscape.net>: host mailin-01.mx.aol.com[205.188.156.248] refused to
talk to me: 554- (RTR:BB)
http://postmaster.info.aol.com/errors/554rtrbb.html 554 Connecting IP:
88.163.241.76

des allemands aussi :
The mail system

<schnekee@web.de>: host mx-ha02.web.de[217.72.192.188] refused to talk to me:
554 Transaction failed. For explanation visit
http://freemail.web.de/reject/?ip=88.163.241.76


Du coup, il semble vraiment y avoir des spams (même si ce que dit Bubbles est possible)...

Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » ven. 18 avr. 2008 - 09:07

J'écris à Outblaze en leur disant ce qu'on a fait et en leur demandant des conseils.

PS : j'ai désactivé la fonction trackbacks du blog de Pascal, c'est pour ça que tb.php n'envoie pas de mails.

Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » sam. 19 avr. 2008 - 09:57

Arf... Sinon, on peut supprimer lille.lapin.org (celui de lapin, hein). Un risque inutile.

Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » dim. 20 avr. 2008 - 14:34

Bon, en résumé, étant donné qu'on envoie certainement du spam, et qu'on ne trouve pas d'où, je propose de supprimer les envoies de spam par appache et se limiter au SMTP.
On doit pouvoir paramétrer le forum pour qu'il envoie des mails via d'autres hébergeur (free par exemple) ou qu'il les envoie en smtp (je crois qu'il existe l'option).

Pour le webmail, voyons avec les autres utilisateurs sur le forum des modéros.

Avatar de l’utilisateur
LaHyenne
ourse verte
Messages : 8140
Enregistré le : sam. 08 mars 2003 - 01:58

Message non lupar LaHyenne » mar. 22 avr. 2008 - 08:26

SAlut.

Après un long week end ardennais (ah, la chouffe, la saint Feuillien et la triple moine !), me voici d'attaque.

Je bloque le plus de trucs possibles ce soir.
Effectivement bloquer la fonction mail de php pourrait être une première mesure radicale.

Je vais voir ce qu'on peut faire au mieux.

Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » mar. 22 avr. 2008 - 09:24

Oui parce que Free aussi m'a envoyé un exemplaire de spam daté du 14 avril.
Ils disent qu'il n'y a pas de plainte depuis, mais bon.

Gardons juste les mails du forum pour la fin (je crois que le forum peut être paramétré via smtp).

Il peut !
Donc ns4.lapin.org fonctionne peut-être, faudrait tester.
C'est dommage pour le webmail, mais bon.

Avatar de l’utilisateur
LaHyenne
ourse verte
Messages : 8140
Enregistré le : sam. 08 mars 2003 - 01:58

Message non lupar LaHyenne » mar. 22 avr. 2008 - 11:18

Il faudrait voir si on peut tricher pour conserver la webmail.


A voir ouais.
A ce soir donc.

Avatar de l’utilisateur
LaHyenne
ourse verte
Messages : 8140
Enregistré le : sam. 08 mars 2003 - 01:58

Message non lupar LaHyenne » mer. 23 avr. 2008 - 00:56

Phiip, c'est vraiment grave.

Si Luc veut ou peut nous aider, si quelqu'un d'autre ?
Une annonce sur la newslettre ?

Récapitulatif :
"Tous les tests ont été réussis, le serveur n'est pas un relais ouvert. "

De plus, Impossible de trouver les spams qu'on te donne dans nos logs.
Ce qui voudrait dire que les spammeurs ne passent pas par la fonction mail du tout (sinon ils apparaitraient forcément).

Soit on a un troyen sur le serveur (et là on est dans la merde, vraiment).
Soit je ne sais pas.

J'ai besoin d'aide.
Jim va tenter de scruter les accès une fois coupés tous les accès licite.
il aura besoin de toi pour relancer la freebox en temps utiles.
Vois avec lui par mp ou mieux, jabber (l'est souvent connecté).


Si on trouve pas avec ça, faudra vraiment faire un conseil de guerre, du genre de conseil de guerre sérieux de la vraie vie.

Parce que programmer en php et créer des users sur apache je sais faire, traquer un spammer invisible, non.
Et réinstaller tout un serveur depuis le début, et ce à distance encore moins.


J'espère que Jim va trouver, avec ton aide locale, moi je craque et je vais me coucher.
Bisous tout pleins.
LH

Avatar de l’utilisateur
Johnny
ourse verte
Messages : 5720
Enregistré le : ven. 22 nov. 2002 - 23:17

Message non lupar Johnny » mer. 23 avr. 2008 - 06:52

Je suis prêt, commando !
Je suis le seul vrai lapin du forum

Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » mer. 23 avr. 2008 - 07:55

Ca marche, mais je ne pourrai que ce soir.

Avatar de l’utilisateur
Jeannot
quintessence ultime
Messages : 4938
Enregistré le : lun. 25 nov. 2002 - 21:49

Message non lupar Jeannot » mer. 23 avr. 2008 - 09:41

Et ça ne pourrait pas être un gars mal intentionné qui se serait introduit dans le serveur, depuis l'extérieur, dans la seule volonté de nuire ?
Mourir un Vendredi Saint est une bonne chose, car ce jour là, l'Enfer est fermé.

Avatar de l’utilisateur
LaHyenne
ourse verte
Messages : 8140
Enregistré le : sam. 08 mars 2003 - 01:58

Message non lupar LaHyenne » mer. 23 avr. 2008 - 10:33

Si.

Mais impossible (en tout cas pas que je sache) de le trouver. Et s'il a la possibilité de modifier les programmes d'exécution système et que c'est vraiment ce cas là, alors on est baisés.
Je ne préfèrerais pas...

Phiip > Ce soir moi je peux pas, je te laisserai voir par jabber avec Jim

Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » mer. 23 avr. 2008 - 13:19

Et tout formater et tout réinstaller ?
Ça prendrait combien de temps ?

Avatar de l’utilisateur
Jeannot
quintessence ultime
Messages : 4938
Enregistré le : lun. 25 nov. 2002 - 21:49

Message non lupar Jeannot » mer. 23 avr. 2008 - 13:38

Alors oui, faut demander à Luc.

C'est le plus fort du monde contre les hackers.

Il a accès ici ?
Mourir un Vendredi Saint est une bonne chose, car ce jour là, l'Enfer est fermé.

Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » mer. 23 avr. 2008 - 14:42

Non, il n'est pas souvent là.

Avatar de l’utilisateur
LaHyenne
ourse verte
Messages : 8140
Enregistré le : sam. 08 mars 2003 - 01:58

Message non lupar LaHyenne » mer. 23 avr. 2008 - 16:18

Phiip, il ne s'agit pas d'un windows quelconque.

Tout formater et tout réinstaller impliquerait de reparamétrer le disque monté en raid, de tout reconfigurer, et surtout... d'être sur place.
Honnètement je nous vois mal te faire réinstaller et paramétrer à la main un serveur apache + postfix + deux trois broutilles et tout ça à distance.


Si Luc a des idées sur d'où vient la faille, je suis preneur.
En cas je veut bien lui fourinir des précisions ou exécuter quelques commandes que ce soit (genre celle de tcpdump de bubb' qui a été bien utile).

A voir déjà ce que donne le track ce soir.
Sinon on va aviser...

Avatar de l’utilisateur
Phiip the only Phiip
Le type qui fait les lapins, là...
Messages : 13019
Enregistré le : lun. 26 août 2002 - 17:48

Message non lupar Phiip the only Phiip » mer. 23 avr. 2008 - 20:11

Appelle Luc tinseau au 02 34 26 66 97
(à Montargis)

(il faut que tu l'appelles directement, je ne peux pas vraiment vous être utile, là)


Retourner vers « la tanière du serveur Lapin [privé] »

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 1 invité