Pages : 1
#1 Le 02/08/2007, à 12:50
- B@rtounet
Postfix hacked ???
Bonjour, je regarde ce matin mon serveur et je vois que ma queue postfix comptre 500 message..
Pourtant j'ai bien configuré mon postfix et il n'est pas open relay
root@serveur:~# postconf -n
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
config_directory = /etc/postfix
home_mailbox = Maildir/
inet_interfaces = all
mailbox_command = /usr/bin/procmail -Y -a $DOMAIN
mailbox_size_limit = 0
mydestination = smtp.info16.fr, serveur.info16.fr, localhost.kimsufi.com, info16.fr, localhost
myhostname = smtp.info16.fr
mynetworks = 127.0.0.0/8, 91.121.31.206
myorigin = /etc/mailname
recipient_delimiter = +
smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
smtpd_helo_required = yes
smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, check_policy_service inet:127.0.0.1:60000
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
smtpd_use_tls = yes
Pourtant dans ma queue ce matin
root@serveur:~#
root@serveur:~# 1A7711BB0A 8833 Thu Aug 2 09:24:36 passover@info16.fr
-bash: 1A7711BB0A: command not found
root@serveur:~# (delivery temporarily suspended: connect to mx20.netvision.net.il[194.90.9.19]: server refused to talk to me: 452 try later)
-bash: delivery: command not found
root@serveur:~# noa8@netvision.net.il
-bash: noa8@netvision.net.il: command not found
root@serveur:~#
root@serveur:~# 1479B1BBEC 8912 Thu Aug 2 09:19:17 rudolf@info16.fr
-bash: 1479B1BBEC: command not found
root@serveur:~# (delivery temporarily suspended: connect to mx20.netvision.net.il[194.90.9.19]: server refused to talk to me: 452 try later)
-bash: delivery: command not found
root@serveur:~# nitza65@netvision.net.il
-bash: nitza65@netvision.net.il: command not found
root@serveur:~#
root@serveur:~# 1B94A1BC07 10876 Thu Aug 2 09:21:21 love.you@info16.fr
-bash: 1B94A1BC07: command not found
root@serveur:~# (delivery temporarily suspended: connect to mx20.netvision.net.il[194.90.9.19]: server refused to talk to me: 452 try later)
-bash: delivery: command not found
root@serveur:~# nixon@netvision.net.il
-bash: nixon@netvision.net.il: command not found
root@serveur:~#
root@serveur:~# 11C061BB7C 7086 Thu Aug 2 09:10:06 inter.mail@info16.fr
-bash: 11C061BB7C: command not found
root@serveur:~# (delivery temporarily suspended: connect to mx-bk.inter.net.il[192.114.186.60]: server refused to talk to me: 554 Mail from 91.121.31.206 refused, see RBL server bl.spamcop.net)
-bash: delivery: command not found
root@serveur:~# sp54@inter.net.il
-bash: sp54@inter.net.il: command not found
root@serveur:~#
root@serveur:~# 106E01BB7D 8842 Thu Aug 2 09:10:07 mailer@info16.fr
-bash: 106E01BB7D: command not found
nir232@inter.net.il
root@serveur:~# (delivery temporarily suspended: connect to mx-bk.inter.net.il[192.114.186.60]: server refused to talk to me: 554 Mail from 91.121.31.206 refused, see RBL server bl.spamcop.net)
-bash: delivery: command not found
root@serveur:~# nir232@inter.net.il
-bash: nir232@inter.net.il: command not found
root@serveur:~#
root@serveur:~# 181931BB8D 8804 Thu Aug 2 09:10:32 love.you@info16.fr
-bash: 181931BB8D: command not found
root@serveur:~# (delivery temporarily suspended: connect to mx-bk.inter.net.il[192.114.186.60]: server refused to talk to me: 554 Mail from 91.121.31.206 refused, see RBL server bl.spamcop.net)
-bash: delivery: command not found
apperement il a reussi a envoyer des mail avec des noms bidons correspondant a mon domaine...
Pourtant ces utilisateurs n'existe pas !!!!
et quand je tente de le faire en telnet avec des noms bidon, mon serveur répond bien relay acces denied
Hors ligne
#2 Le 02/08/2007, à 12:55
- toniotonio
Re : Postfix hacked ???
tu pourrais poster les logs ?
Dernière modification par toniotonio (Le 02/08/2007, à 12:56)
Tutoriaux Postfix sur www.starbridge.org/spip
Messagerie Dédiée, Relais Mail Antispam/Antivirus, Infogérance 24/7: http://www.eole-its.com
Hors ligne
#3 Le 02/08/2007, à 14:05
- B@rtounet
Re : Postfix hacked ???
quels logs veux tu ??
Je pense avoir trouver une cause mais je n'en suis pas sur...
J'avais monté sur mon serveur un proxy squid pour faire des test, et je l'avais laissé ouvert a tout le monde et j'ai vu ce matin une chage conséquente sur squid, voici les logs de squid ce matin
1186029037.483 2125 217.174.251.171 TCP_MISS/200 11016 CONNECT mxtau.tau.ac.il:25 - DIRECT/132.66.7.104 -
1186029037.483 25772 61.238.149.83 TCP_MISS/200 1542 CONNECT 83.136.68.53:25 - DIRECT/83.136.68.53 -
1186029037.510 175 61.238.149.84 TCP_MISS/200 178 CONNECT 206.190.37.6:25 - DIRECT/206.190.37.6 -
1186029037.543 24980 122.126.111.109 TCP_MISS/000 0 CONNECT 203.188.197.9:25 - NONE/- -
1186029037.556 5569 61.238.149.20 TCP_MISS/200 1604 CONNECT 64.233.167.27:25 - DIRECT/64.233.167.27 -
1186029037.576 172 61.238.149.84 TCP_MISS/200 39 CONNECT 207.97.242.4:25 - DIRECT/207.97.242.4 -
1186029037.615 1835 88.208.234.80 TCP_MISS/200 9803 CONNECT bmx.huji.ac.il:25 - DIRECT/132.64.1.248 -
1186029037.621 2 61.238.149.84 TCP_MISS/000 0 CONNECT 209.83.80.114:25 - NONE/- -
1186029037.630 163 88.208.234.80 TCP_MISS/200 61 CONNECT mx2.bgu.ac.il:25 - DIRECT/132.72.23.13 -
1186029037.695 4149 61.238.149.22 TCP_MISS/200 1869 CONNECT 67.18.120.178:25 - DIRECT/67.18.120.178 -
1186029037.755 195 217.174.251.171 TCP_MISS/200 178 CONNECT d.mx.mail.yahoo.com:25 - DIRECT/216.39.53.2 -
1186029037.762 19010 61.238.149.20 TCP_MISS/200 2146 CONNECT 146.101.146.84:25 - DIRECT/146.101.146.84 -
1186029037.779 9620 122.126.111.109 TCP_MISS/000 0 CONNECT 168.95.5.42:25 - NONE/- -
1186029037.792 46922 217.174.251.171 TCP_MISS/000 0 CONNECT mx1.bgu.ac.il:25 - NONE/- -
1186029037.814 5191 61.238.149.18 TCP_MISS/200 2098 CONNECT 208.65.144.1:25 - DIRECT/208.65.144.1 -
1186029037.855 17200 61.238.149.18 TCP_MISS/000 0 CONNECT 209.86.93.228:25 - NONE/- -
1186029037.871 238 61.238.149.82 TCP_MISS/200 178 CONNECT 209.191.118.103:25 - DIRECT/209.191.118.103 -
1186029037.918 293 61.238.149.80 TCP_MISS/200 65 CONNECT 170.35.209.132:25 - DIRECT/170.35.209.132 -
1186029037.931 4319 61.238.149.84 TCP_MISS/200 2164 CONNECT 161.58.16.34:25 - DIRECT/161.58.16.34 -
1186029037.932 1278 59.105.6.136 TCP_MISS/200 869 CONNECT 65.54.244.232:25 - DIRECT/65.54.244.232 -
1186029037.939 2 61.238.149.83 TCP_MISS/000 0 CONNECT 168.95.5.53:25 - NONE/- -
1186029037.950 324 61.238.149.80 TCP_MISS/200 39 CONNECT 64.18.6.14:25 - DIRECT/64.18.6.14 -
1186029037.959 4738 61.238.149.23 TCP_MISS/200 1518 CONNECT 69.43.205.36:25 - DIRECT/69.43.205.36 -
1186029037.965 2320 61.238.149.20 TCP_MISS/200 339 CONNECT 162.42.148.100:25 - DIRECT/162.42.148.100 -
1186029037.996 3653 61.238.149.20 TCP_MISS/200 373 CONNECT 12.216.96.9:25 - DIRECT/12.216.96.9 -
1186029038.004 59006 59.105.179.153 TCP_MISS/503 0 CONNECT 168.95.6.149:25 - DIRECT/168.95.6.149 -
1186029038.030 2131 88.208.234.80 TCP_MISS/200 9792 CONNECT mail-gw.mer.co.il:25 - DIRECT/212.199.1.5 -
1186029038.056 31788 61.238.149.83 TCP_MISS/200 159 CONNECT 200.232.7.107:25 - DIRECT/200.232.7.107 -
11
Ce qui me met la puce à l'oreille c'est que le hacker utilise mon proxy squid pour attaquer des ports de messagerie (25) ...
Pourtant dans ces logs l'ip de mon serveur n'apparait pas...
Une partie des logs de postfix lors de l'envoie de messages bidons par le hackers
ug 2 06:44:58 serveur postfix/smtpd[14487]: connect from serveur.info16.fr[91.121.31.206]
Aug 2 06:44:58 serveur postfix/smtpd[14519]: lost connection after CONNECT from serveur.info16.fr[91.121.31.206]
Aug 2 06:44:58 serveur postfix/smtpd[14519]: disconnect from serveur.info16.fr[91.121.31.206]
Aug 2 06:44:58 serveur postfix/smtpd[14513]: 62EB11B2B1: client=serveur.info16.fr[91.121.31.206]
Aug 2 06:44:58 serveur postfix/smtpd[14487]: 9C3491B2B2: client=serveur.info16.fr[91.121.31.206]
Aug 2 06:44:58 serveur postfix/smtpd[14510]: lost connection after CONNECT from serveur.info16.fr[91.121.31.206]
Aug 2 06:44:58 serveur postfix/smtpd[14510]: disconnect from serveur.info16.fr[91.121.31.206]
Aug 2 06:44:58 serveur postfix/smtp[14491]: connect to mx1.bgu.ac.il[132.72.23.12]: Connection timed out (port 25)
Aug 2 06:44:58 serveur postfix/smtp[14491]: E4ACA1B2A2: to=<shaked@bgumail.bgu.ac.il>, relay=none, delay=61, status=deferred (connect to mx1.bgu.ac.il[132.72.23.12]: Connection timed out)
Aug 2 06:44:58 serveur postfix/qmgr[2886]: E29C41B2A5: to=<shaki@bgumail.bgu.ac.il>, relay=none, delay=50, status=deferred (delivery temporarily suspended: connect to mx1.bgu.ac.il[132.72.23.12]: Connection timed out)
Aug 2 06:44:58 serveur postfix/qmgr[2886]: 2D4391B2A8: to=<shakirov@bgumail.bgu.ac.il>, relay=none, delay=42, status=deferred (delivery temporarily suspended: connect to mx1.bgu.ac.il[132.72.23.12]: Connection timed out)
Aug 2 06:44:58 serveur postfix/qmgr[2886]: 7DDCD1B2A9: to=<shalaban@bgumail.bgu.ac.il>, relay=none, delay=29, status=deferred (delivery temporarily suspended: connect to mx1.bgu.ac.il[132.72.23.12]: Connection timed out)
Aug 2 06:44:58 serveur postfix/qmgr[2886]: 1E0E61B2B0: to=<shalev-s@bgumail.bgu.ac.il>, relay=none, delay=6, status=deferred (delivery temporarily suspended: connect to mx1.bgu.ac.il[132.72.23.12]: Connection timed out)
Aug 2 06:44:58 serveur postfix/cleanup[14475]: 62EB11B2B1: message-id=<C9580903.B41167F@info16.fr>
Aug 2 06:44:58 serveur postfix/smtpd[14509]: lost connection after CONNECT from serveur.info16.fr[91.121.31.206]
Aug 2 06:44:58 serveur postfix/smtpd[14509]: disconnect from serveur.info16.fr[91.121.31.206]
Aug 2 06:44:58 serveur postfix/smtpd[14517]: lost connection after CONNECT from serveur.info16.fr[91.121.31.206]
Aug 2 06:44:58 serveur postfix/smtpd[14517]: disconnect from serveur.info16.fr[91.121.31.206]
Aug 2 06:44:59 serveur postfix/qmgr[2886]: 62EB11B2B1: from=<inter.mail@info16.fr>, size=7083, nrcpt=1 (queue active)
Aug 2 06:44:59 serveur postfix/cleanup[14469]: 9C3491B2B2: message-id=<D8A558C1.7F5B601@info16.fr>
Aug 2 06:44:59 serveur postfix/smtpd[14513]: disconnect from serveur.info16.fr[91.121.31.206]
Aug 2 06:44:59 serveur postfix/qmgr[2886]: 9C3491B2B2: from=<advertise@info16.fr>, size=7022, nrcpt=1 (queue active)
Aug 2 06:44:59 serveur postfix/qmgr[2886]: 9C3491B2B2: to=<shalemsh@bgumail.bgu.ac.il>, relay=none, delay=1, status=deferred (delivery temporarily suspended: connect to mx1.bgu.ac.il[132.72.23.12]: Connection timed out)
Aug 2 06:44:59 serveur postfix/smtpd[14487]: disconnect from serveur.info16.fr[91.121.31.206]
Aug 2 06:44:59 serveur postfix/smtpd[14502]: connect from serveur.info16.fr[91.121.31.206]
Aug 2 06:44:59 serveur postfix/smtp[14523]: connect to rmailb1.walla.co.il[192.118.82.144]: Connection refused (port 25)
Aug 2 06:45:00 serveur postfix/smtpd[14512]: connect from serveur.info16.fr[91.121.31.206]
Aug 2 06:45:00 serveur postfix/smtpd[14482]: connect from ip19520610038.anw.at[195.206.100.38]
Aug 2 06:45:00 serveur postgrey[2607]: delayed 401 seconds: client=ip19520610038.anw.at, from=, to=Sedlnickysilnu@info16.fr
Aug 2 06:45:00 serveur postfix/smtpd[14482]: NOQUEUE: reject: RCPT from ip19520610038.anw.at[195.206.100.38]: 550 <Sedlnickysilnu@info16.fr>: Recipient address rejected: User unknown in local recipient table; from=<> to=<Sedlnickysilnu@info16.fr> proto=ESMTP helo=<srv1.bwk.at>
Aug 2 06:45:00 serveur postfix/smtpd[14482]: disconnect from ip19520610038.anw.at[195.206.100.38]
Aug 2 06:45:00 serveur postfix/smtpd[14477]: lost connection after CONNECT from serveur.info16.fr[91.121.31.206]
Aug 2 06:45:00 serveur postfix/smtpd[14477]: disconnect from serveur.info16.fr[91.121.31.206]
Aug 2 06:45:00 serveur postfix/smtpd[14486]: connect from serveur.info16.fr[91.121.31.206]
Aug 2 06:45:01 serveur postfix/smtpd[14480]: lost connection after CONNECT from serveur.info16.fr[91.121.31.206]
Aug 2 06:45:01 serveur postfix/smtpd[14480]: disconnect from serveur.info16.fr[91.121.31.206]
J'aimerai seulement comprendre..
Car selon mon postconf vous etes bien d'accord qu'il n'est pas open relay ??
Hors ligne
#4 Le 02/08/2007, à 14:21
- fugitif
Re : Postfix hacked ???
J'aimerai seulement comprendre..
Car selon mon postconf vous etes bien d'accord qu'il n'est pas open relay ??
Stop ton Squid. Vu qu'il passe par celui ci pour envoyer des mails, c'est ton IP qui sert à les envoyer. Et si Postfix filtre via l'IP, l'accès lui est grand ouvert via Squid.
Opteron 165 - 2Go DDR - Ubuntu Hardy - 32bits
Hors ligne
#5 Le 02/08/2007, à 14:32
- B@rtounet
Re : Postfix hacked ???
bah vi mais comment tu peux expliquer qu'il n'y ai aucune correlation entre les ip affichées dans les logs de squid et celles de postfix...
Comment peut t'il envoyer des mails a partir de squid via mon postfix ??
En l'occurence c'est juste une hypothese qu'il passait par squid.. mais depuis que j'ai coupé squid je n'ai plus de mail dans ma queue...
Mais est ce une brèche de sécurité??? on peut prendre le controle de postfix par squid??
De plus tout cela est embettant, car bien sur mon serveur a été blacklisté par spamhaus et spamcop etc ...
Dernière modification par B@rtounet (Le 02/08/2007, à 14:34)
Hors ligne
#6 Le 02/08/2007, à 15:04
- toniotonio
Re : Postfix hacked ???
ta conf de squid est bcp trop laxiste.
soit tu la corriges soit comme le dit fugitif tu arretes squid.
la faille c'est ta conf de squid, pas celle de postfix.
postfix considere, a juste titre que le 127.0.0.1 est son reseau.
il autorise donc le relaying de tout mail en provenance de celle ci.
Tutoriaux Postfix sur www.starbridge.org/spip
Messagerie Dédiée, Relais Mail Antispam/Antivirus, Infogérance 24/7: http://www.eole-its.com
Hors ligne
#7 Le 02/08/2007, à 15:06
- toniotonio
Re : Postfix hacked ???
et dans la queue de postfix y a quoi ?
Dernière modification par toniotonio (Le 02/08/2007, à 15:09)
Tutoriaux Postfix sur www.starbridge.org/spip
Messagerie Dédiée, Relais Mail Antispam/Antivirus, Infogérance 24/7: http://www.eole-its.com
Hors ligne
#8 Le 02/08/2007, à 15:16
- B@rtounet
Re : Postfix hacked ???
j'ai effacé la mailqueue, mais il y avait 500 messages à destination de serveurs quelconque, et tjs en emmeteur un *.info16.fr
Mais mon serveur à été vite blackliste.
Je sais bien que je suis le fautif, j'avais mis un allow all sur squid, si bien que il pouvait atteindre tous les ports... (meme des ports 25)
Donc d'un coté il scannait les IP pour savoir si un serveur de messagerie ecouté derriere le port 25 des ip scannées... et après il arrivait à envoyer des mails..
Je comprend mon erreur sur la partue squid, mais comment peut t'il envoyer des mails par mon serveur Postfix ??? en passant simplement par squid ??
Hors ligne
#9 Le 02/08/2007, à 15:23
- toniotonio
Re : Postfix hacked ???
regarde tous les logs de squid
Tutoriaux Postfix sur www.starbridge.org/spip
Messagerie Dédiée, Relais Mail Antispam/Antivirus, Infogérance 24/7: http://www.eole-its.com
Hors ligne
#10 Le 02/08/2007, à 15:27
- toniotonio
Re : Postfix hacked ???
combien il y a de machines sur le 91.121.31.206 ?
pourquoi a tu besoin de le mettre dans mynetworks ?
Tutoriaux Postfix sur www.starbridge.org/spip
Messagerie Dédiée, Relais Mail Antispam/Antivirus, Infogérance 24/7: http://www.eole-its.com
Hors ligne
#11 Le 02/08/2007, à 15:40
- B@rtounet
Re : Postfix hacked ???
une machine, seulement mon dédié, mais que je mette ca ou 127.0.0.1 ou localhost ca revient au meme non?
Hors ligne
#12 Le 02/08/2007, à 15:42
- B@rtounet
Re : Postfix hacked ???
Pour les log de squid, on a que ca pendant 12 heures d'affilée avant que je me rende compte du probleme...
1186029065.058 17669 61.238.149.20 TCP_MISS/000 0 CONNECT 209.86.93.121:25 - NONE/- -
1186029065.087 21479 122.124.130.9 TCP_MISS/000 0 CONNECT 168.95.6.126:25 - NONE/- -
1186029065.116 1505 61.238.149.21 TCP_MISS/200 361 CONNECT 206.18.177.26:25 - DIRECT/206.18.177.26 -
1186029065.125 2 61.238.149.82 TCP_MISS/000 0 CONNECT 216.163.188.54:25 - NONE/- -
1186029065.135 3894 88.208.234.80 TCP_MISS/200 428 CONNECT mailmx.bezeqint.net:25 - DIRECT/192.115.106.58 -
1186029065.135 2582 61.238.149.23 TCP_MISS/200 1904 CONNECT 83.206.78.181:25 - DIRECT/83.206.78.181 -
1186029065.141 2 61.238.149.80 TCP_MISS/000 0 CONNECT 4.79.181.18:25 - NONE/- -
1186029065.150 119 61.238.149.21 TCP_MISS/503 0 CONNECT 66.254.159.200:25 - DIRECT/66.254.159.200 -
1186029065.178 3882 88.208.234.80 TCP_MISS/200 427 CONNECT mx.inter.net.il:25 - DIRECT/192.114.186.60 -
1186029065.198 4080 217.174.251.171 TCP_MISS/200 431 CONNECT mx-bk.inter.net.il:25 - DIRECT/192.114.186.60 -
1186029065.236 33 61.238.149.82 TCP_MISS/200 178 CONNECT 195.50.106.135:25 - DIRECT/195.50.106.135 -
1186029065.289 86 88.208.234.80 TCP_MISS/503 0 CONNECT t2.technion.ac.il:25 - DIRECT/132.68.1.11 -
1186029065.294 3 61.238.149.21 TCP_MISS/000 0 CONNECT 206.225.83.53:25 - NONE/- -
1186029065.303 17414 61.238.149.23 TCP_MISS/000 0 CONNECT 209.86.93.229:25 - NONE/- -
1186029065.318 13980 61.238.149.21 TCP_MISS/000 0 CONNECT 209.86.93.227:25 - NONE/- -
1186029065.370 3271 61.238.149.22 TCP_MISS/200 1786 CONNECT 205.246.18.79:25 - DIRECT/205.246.18.79 -
1186029065.380 4398 61.238.149.21 TCP_MISS/200 2079 CONNECT 12.16.100.7:25 - DIRECT/12.16.100.7 -
1186029065.391 2 61.238.149.23 TCP_MISS/000 0 CONNECT 61.249.133.215:25 - NONE/- -
1186029065.399 3961 88.208.234.80 TCP_MISS/200 437 CONNECT mx-bk.inter.net.il:25 - DIRECT/192.114.186.60 -
1186029065.403 1817 217.174.251.171 TCP_MISS/200 9180 CONNECT mr.nanamail.co.il:25 - DIRECT/212.143.70.30 -
1186029065.409 101 88.208.234.80 TCP_MISS/503 0 CONNECT rmailb2.walla.com:25 - DIRECT/192.118.82.145 -
1186029065.433 3668 61.238.149.80 TCP_MISS/200 73 CONNECT 24.71.223.11:25 - DIRECT/24.71.223.11 -
1186029065.497 4515 61.238.149.80 TCP_MISS/200 1771 CONNECT 216.251.32.71:25 - DIRECT/216.251.32.71 -
1186029065.545 15672 61.238.149.80 TCP_MISS/200 1577 CONNECT 66.225.152.70:25 - DIRECT/66.225.152.70 -
1186029065.571 2718 61.238.149.21 TCP_MISS/200 1394 CONNECT 81.92.198.192:25 - DIRECT/81.92.198.192 -
1186029065.631 4491 61.238.149.21 TCP_MISS/200 1885 CONNECT 12.16.100.7:25 - DIRECT/12.16.100.7 -
1186029065.638 4084 88.208.234.80 TCP_MISS/200 429 CONNECT mx.inter.net.il:25 - DIRECT/192.114.186.59 -
1186029065.642 5323 61.238.149.21 TCP_MISS/200 2016 CONNECT 66.75.160.136:25 - DIRECT/66.75.160.136 -
1186029065.702 4801 61.238.149.20 TCP_MISS/200 2341 CONNECT 74.239.167.118:25 - DIRECT/74.239.167.118 -
1186029065.710 2593 61.238.149.21 TCP_MISS/200 1481 CONNECT 217.204.217.163:25 - DIRECT/217.204.217.163 -
1186029065.736 15255 61.238.149.83 TCP_MISS/200 1639 CONNECT 205.238.135.1:25 - DIRECT/205.238.135.1 -
1186029065.754 2767 61.238.149.22 TCP_MISS/200 440 CONNECT 74.220.194.170:25 - DIRECT/74.220.194.170 -
1186029065.757 3612 61.238.149.21 TCP_MISS/200 1825 CONNECT 204.174.16.241:25 - DIRECT/204.174.16.241 -
1186029065.774 8102 61.238.149.84 TCP_MISS/200 1972 CONNECT 202.47.144.20:25 - DIRECT/202.47.144.20 -
1186029065.790 32 61.238.149.20 TCP_MISS/200 178 CONNECT 195.50.106.135:25 - DIRECT/195.50.106.135 -
1186029065.797 2 61.238.149.21 TCP_MISS/000 0 CONNECT 76.162.254.8:25 - NONE/- -
1186029065.810 399 61.238.149.83 TCP_MISS/200 178 CONNECT 64.156.215.23:25 - DIRECT/64.156.215.23 -
1186029065.831 16 61.238.149.22 TCP_MISS/503 0 CONNECT 62.231.131.67:25 - DIRECT/62.231.131.67 -
1186029065.856 279 217.174.251.171 TCP_MISS/200 178 CONNECT f.mx.mail.yahoo.com:25 - DIRECT/209.191.88.247 -
1186029065.863 2 61.238.149.84 TCP_MISS/000 0 CONNECT 207.228.236.38:25 - NONE/- -
1186029065.869 2 61.238.149.83 TCP_MISS/000 0 CONNECT 66.209.65.132:25 - NONE/- -
1186029065.873 7749 61.238.149.82 TCP_MISS/000 0 CONNECT 209.86.93.226:25 - NONE/- -
1186029065.882 3581 61.238.149.23 TCP_MISS/200 2122 CONNECT 195.212.29.138:25 - DIRECT/195.212.29.138 -
1186029065.937 196 88.208.234.80 TCP_MISS/200 101 CONNECT mail.delek-ltd.co.il:25 - DIRECT/209.88.173.147 -
1186029065.963 3884 217.174.251.171 TCP_MISS/200 432 CONNECT mailmx.bezeqint.net:25 - DIRECT/192.115.106.58 -
1186029065.999 6321 122.126.107.1 TCP_MISS/200 3316 CONNECT 61.220.143.107:25 - DIRECT/61.220.143.107 -
1186029066.003 59109 203.70.127.21 TCP_MISS/503 0 CONNECT 168.95.5.29:25 - DIRECT/168.95.5.29 -
1186029066.003 59099 59.105.6.136 TCP_MISS/503 0 CONNECT 203.188.197.10:25 - DIRECT/203.188.197.10 -
1186029066.025 4452 61.238.149.21 TCP_MISS/200 2124 CONNECT 66.42.213.121:25 - DIRECT/66.42.213.121 -
1186029066.038 47009 88.208.234.80 TCP_MISS/000 0 CONNECT mx1.bgu.ac.il:25 - NONE/- -
1186029066.083 17624 61.238.149.84 TCP_MISS/000 0 CONNECT 72.51.33.75:25 - NONE/- -
1186029066.118 17484 61.238.149.82 TCP_MISS/000 0 CONNECT 65.161.19.10:25 - NONE/- -
1186029066.143 3375 61.238.149.22 TCP_MISS/200 1639 CONNECT 161.58.16.34:25 - DIRECT/161.58.16.34 -
1186029066.184 96 217.174.251.171 TCP_MISS/503 0 CONNECT mx200.barak.net.il:25 - DIRECT/62.90.56.78 -
1186029066.196 3856 88.208.234.80 TCP_MISS/200 431 CONNECT mx-bk.inter.net.il:25 - DIRECT/192.114.186.60 -
1186029066.227 2344 61.238.149.21 TCP_MISS/200 455 CONNECT 207.115.21.20:25 - DIRECT/207.115.21.20 -
1186029066.229 3755 61.238.149.22 TCP_MISS/200 1389 CONNECT 62.209.45.169:25 - DIRECT/62.209.45.169 -
1186029066.255 132 61.238.149.80 TCP_MISS/503 0 CONNECT 63.97.14.8:25 - DIRECT/63.97.14.8 -
1186029066.369 3747 61.238.149.84 TCP_MISS/200 2058 CONNECT 80.168.70.66:25 - DIRECT/80.168.70.66 -
1186029066.391 20550 61.238.149.83 TCP_MISS/200 39 CONNECT 209.77.197.234:25 - DIRECT/209.77.197.234 -
1186029066.483 11808 61.238.149.20 TCP_MISS/200 1498 CONNECT 64.17.63.194:25 - DIRECT/64.17.63.194 -
1186029066.483 13063 61.238.149.20 TCP_MISS/000 0 CONNECT 168.95.5.22:25 - NONE/- -
1186029066.526 8072 61.238.149.22 TCP_MISS/000 0 CONNECT 81.6.249.113:25 - NONE/- -
1186029066.528 17399 61.238.149.82 TCP_MISS/000 0 CONNECT 24.28.204.28:25 - NONE/- -
1186029066.551 610 61.238.149.83 TCP_MISS/200 109 CONNECT 211.43.197.43:25 - DIRECT/211.43.197.43 -
1186029066.556 6384 61.238.149.84 TCP_MISS/200 1871 CONNECT 202.47.144.20:25 - DIRECT/202.47.144.20 -
1186029066.634 46685 88.208.234.80 TCP_MISS/000 0 CONNECT mx.mercury.co.il:25 - NONE/- -
1186029066.634 6211 203.70.127.21 TCP_MISS/200 346 CONNECT 163.13.1.220:25 - DIRECT/163.13.1.220 -
1186029066.636 3868 217.174.251.171 TCP_MISS/200 428 CONNECT mailmx.bezeqint.net:25 - DIRECT/192.115.106.58 -
1186029066.677 4336 61.238.149.84 TCP_MISS/200 2183 CONNECT 161.58.16.34:25 - DIRECT/161.58.16.34 -
1186029066.713 3902 217.174.251.171 TCP_MISS/200 426 CONNECT mailmx.bezeqint.net:25 - DIRECT/192.115.106.58 -
1186029066.729 2368 61.238.149.84 TCP_MISS/200 238 CONNECT 68.6.19.3:25 - DIRECT/68.6.19.3 -
1186029066.735 17096 61.238.149.83 TCP_MISS/000 0 CONNECT 209.86.93.229:25 - NONE/- -
1186029066.748 215 61.238.149.22 TCP_MISS/200 178 CONNECT 68.142.237.182:25 - DIRECT/68.142.237.182 -
1186029066.754 14382 61.238.149.84 TCP_MISS/000 0 CONNECT 207.44.164.20:25 - NONE/- -
1186029066.764 2220 61.238.149.20 TCP_MISS/200 344 CONNECT 208.65.144.3:25 - DIRECT/208.65.144.3 -
1186029066.774 3611 61.238.149.21 TCP_MISS/200 1742 CONNECT 204.251.132.50:25 - DIRECT/204.251.132.50 -
Hors ligne
#13 Le 02/08/2007, à 16:05
- toniotonio
Re : Postfix hacked ???
comment est fait ce reseau ?
squid et postfix sur la meme machine ?
Tutoriaux Postfix sur www.starbridge.org/spip
Messagerie Dédiée, Relais Mail Antispam/Antivirus, Infogérance 24/7: http://www.eole-its.com
Hors ligne
#14 Le 02/08/2007, à 16:49
- B@rtounet
Re : Postfix hacked ???
vi
C'est seulement un serveur dédié chez ovh, sur lequel je me faits des compétences
...
J'installe donc bcp de chose
Il est évident qu'en entreprise on sépare les services
Hors ligne
#15 Le 02/08/2007, à 21:11
- fugitif
Re : Postfix hacked ???
ta conf de squid est bcp trop laxiste.
soit tu la corriges soit comme le dit fugitif tu arretes squid.la faille c'est ta conf de squid, pas celle de postfix.
postfix considere, a juste titre que le 127.0.0.1 est son reseau.
il autorise donc le relaying de tout mail en provenance de celle ci.
Oui très juste.
Le pseudo hacker à scanner ton IP afin de trouver un proxy ouvert. Se qui était le cas de ton Squid car mal configurer probablement. Il à surement trouver ton smtp de la même manière.
Donc via Squid il pouvais se connecter au smtp de ton Postfix car tu autorise le réseau local à envoyer des mails. (IP 127.0.0.1)
Postfix doit surement filtrer l'accès via ton IP. Seul 127.0.0.1 et peut être 91.121.31.206 peuvent envoyer des mails. Mais comme Squid était sur ta machine, (donc avec l'IP 127.0.0.1) il à utiliser celui ci afin d'envoyer des mails via Postfix qui autorise le relay via l'IP 127.0.0.1.
C'est très malin comme technique.
Des règles iptables auraient bloquer ceci.
Edit: ah et en passant, pense à sécurisé ton dotclear contre le spam cf: http://www.info16.fr/blog/dotclear/index.php?2007/06/23/13-serveur-de-messagerie-d-entreprise-postfix-fsecure-exchange
Dernière modification par fugitif (Le 02/08/2007, à 21:20)
Opteron 165 - 2Go DDR - Ubuntu Hardy - 32bits
Hors ligne
#16 Le 02/08/2007, à 21:38
- Uggy
Re : Postfix hacked ???
Je comprend mon erreur sur la partue squid, mais comment peut t'il envoyer des mails par mon serveur Postfix ??? en passant simplement par squid ??
CONNECT serveur.info16.fr:25 HTTP/1.0
http://www.au.sorbs.net/faq/proxy.shtml
In this case a SQUID proxy server was used, and fortunately by default these servers are secure. However, unfortunately there are a number of 'clueless' admins who continue to add lines like:
http_access allow all
above the line:
http_access deny CONNECT !SSL_ports
This allows anyone to connect to anything.
Dernière modification par Uggy (Le 02/08/2007, à 21:42)
Hors ligne
Pages : 1