Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 06/04/2013, à 11:03

bollob

[résolu] comment déterminer qui envoie du spam avec mon sendmail ?

Bonjour à tous,

Je suis bien embêté, j'ai récupéré la gestion d'un serveur de mails avec sendmail qui utilise LDAP pour les comptes utilisateurs. Je suppose que c'est du SMTP authentifié (pas du POP before SMTP), mais ce n'est qu'une supposition puisque je ne sais pas le vérifier.

Quelqu'un envoie du spam en grande quantité et je suis en train de me faire blacklister. Le serveur n'est en principe pas en OpenRelay, je suppose donc qu'un des comptes s'est fait voler ses identifiants mais je n'arrive pas à déterminer lequel. J'ai l'impression que cette info n'est ni disponible dans les logs, ni dans les processus en cours d'exécution, ni dans les mails eux-mêmes.

Quelqu'un a-t-il une idée de la façon dont je pourrais m'y prendre pour tracker l'origine de ce spammeur ? SVP, je suis désespéré...

Merci d'avance et bonne journée.

Olivier

Dernière modification par bollob (Le 06/04/2013, à 15:35)

Hors ligne

#2 Le 06/04/2013, à 12:33

jplemoine

Re : [résolu] comment déterminer qui envoie du spam avec mon sendmail ?

A part décortiquer le /var/log/mail.log, je ne vois pas mais s'il n'y a rien, je vais peut-être dire des bêtises mais ça ne peux pas être un rookit ?
Et donc, un utilisateur 'caché' qui serait chrooté et donc ce ne serait pas le sendmail officiel mais celui chrooté qui écririat dans les log du chroot.
Prière aux spécialistes (malbo ou tiramiseb par exemple) de confirmer ou d’infirmer cette possibilité...

Sinon, une  solution est peut-être de changer tous les mots de passe en prenant des "vrais" mot de passe :
- Au moins 8 caractères
- Au moins 1 majuscule, 1 minuscule
- Au moins 1 chiffre
- Au moins 1 caractère non alpha-numérique
même remarque.

Jean-Philippe


Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.

Hors ligne

#3 Le 06/04/2013, à 12:50

bollob

Re : [résolu] comment déterminer qui envoie du spam avec mon sendmail ?

Merci pour réponse Jean-Philippe,

je suis en train d'étudier le mail.log, il est plutôt assez fourni et je ne sais pas vraiment quoi chercher à part un grep sur la fausse adresse de l'expéditeur... Quelqu'un a-t-il des propositions ?

Si c'est un rootkit, j'ai bien peur de ne pas savoir m'en sortir et pour ce qui est de changer les mots de passe, il doit y avoir près de 500 comptes, ça va être difficile... Des conseils ?

En attendant d'autres réponses je continue à investiguer dans le mail.log...

Merci d'avance

Olivier

Hors ligne

#4 Le 06/04/2013, à 13:03

jplemoine

Re : [résolu] comment déterminer qui envoie du spam avec mon sendmail ?

Attention : j'ai émis la possibilité que peut-être, il se pourrait que ce soit un rootkit. Donc avant de faire quoi que ce soit, il faut que quelqu'un (un spécialiste) confirme.
dans le mail.conf , si l’adresse est invalide, chercher 550 : c'est le numéro d'erreur.
Si c'est du spam vers une adresse valide, aucune idée.


Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.

Hors ligne

#5 Le 06/04/2013, à 15:35

bollob

Re : [résolu] comment déterminer qui envoie du spam avec mon sendmail ?

Merci pour vos réponses je viens de trouver :

la réponse était bien dans mail.log, mais il était tellement volumineux que je n'y voyait rien. J'ai fait un

grep -i "auth" mail.log

et je suis tombé sur des milliers de lignes d'authentifications avec le même compte. J'en ai donc déduit que c'était lui le coupable, j'ai alors changé son mot de passe qui n'était, comme par hasard, pas du tout sécurisé (adresse "info@bidule.com", mot de passe "info") !
Ça a l'air calme depuis, espérons que cela tienne...

@Whoies : Merci pour ta méthode, je la garde précieusement car je suis sûr qu'elle va servir un jour ou l'autre.

Merci à tous pour votre aide et bon WE

Olivier

Hors ligne