Postfix hacked ???

B@rtounet · Le 02/08/2007, à 12:50

Bonjour, je regarde ce matin mon serveur et je vois que ma queue postfix comptre 500 message..
Pourtant j'ai bien configuré mon postfix et il n'est pas open relay

root@serveur:~# postconf -n
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
config_directory = /etc/postfix
home_mailbox = Maildir/
inet_interfaces = all
mailbox_command = /usr/bin/procmail -Y -a $DOMAIN
mailbox_size_limit = 0
mydestination = smtp.info16.fr, serveur.info16.fr, localhost.kimsufi.com, info16.fr, localhost
myhostname = smtp.info16.fr
mynetworks = 127.0.0.0/8, 91.121.31.206
myorigin = /etc/mailname
recipient_delimiter = +
smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
smtpd_helo_required = yes
smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, check_policy_service inet:127.0.0.1:60000
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
smtpd_use_tls = yes

Pourtant dans ma queue ce matin

root@serveur:~#
root@serveur:~# 1A7711BB0A     8833 Thu Aug  2 09:24:36  passover@info16.fr
-bash: 1A7711BB0A: command not found
root@serveur:~# (delivery temporarily suspended: connect to mx20.netvision.net.il[194.90.9.19]: server refused to talk to me: 452 try later)
-bash: delivery: command not found
root@serveur:~#                                          noa8@netvision.net.il
-bash: noa8@netvision.net.il: command not found
root@serveur:~#
root@serveur:~# 1479B1BBEC     8912 Thu Aug  2 09:19:17  rudolf@info16.fr
-bash: 1479B1BBEC: command not found
root@serveur:~# (delivery temporarily suspended: connect to mx20.netvision.net.il[194.90.9.19]: server refused to talk to me: 452 try later)
-bash: delivery: command not found
root@serveur:~#                                          nitza65@netvision.net.il
-bash: nitza65@netvision.net.il: command not found
root@serveur:~#
root@serveur:~# 1B94A1BC07    10876 Thu Aug  2 09:21:21  love.you@info16.fr
-bash: 1B94A1BC07: command not found
root@serveur:~# (delivery temporarily suspended: connect to mx20.netvision.net.il[194.90.9.19]: server refused to talk to me: 452 try later)
-bash: delivery: command not found
root@serveur:~#                                          nixon@netvision.net.il
-bash: nixon@netvision.net.il: command not found
root@serveur:~#
root@serveur:~# 11C061BB7C     7086 Thu Aug  2 09:10:06  inter.mail@info16.fr
-bash: 11C061BB7C: command not found
root@serveur:~# (delivery temporarily suspended: connect to mx-bk.inter.net.il[192.114.186.60]: server refused to talk to me: 554 Mail from 91.121.31.206 refused, see RBL server bl.spamcop.net)
-bash: delivery: command not found
root@serveur:~#                                          sp54@inter.net.il
-bash: sp54@inter.net.il: command not found
root@serveur:~#
root@serveur:~# 106E01BB7D     8842 Thu Aug  2 09:10:07  mailer@info16.fr
-bash: 106E01BB7D: command not found
                                         nir232@inter.net.il
root@serveur:~# (delivery temporarily suspended: connect to mx-bk.inter.net.il[192.114.186.60]: server refused to talk to me: 554 Mail from 91.121.31.206 refused, see RBL server bl.spamcop.net)
-bash: delivery: command not found
root@serveur:~#                                          nir232@inter.net.il
-bash: nir232@inter.net.il: command not found
root@serveur:~#
root@serveur:~# 181931BB8D     8804 Thu Aug  2 09:10:32  love.you@info16.fr
-bash: 181931BB8D: command not found
root@serveur:~# (delivery temporarily suspended: connect to mx-bk.inter.net.il[192.114.186.60]: server refused to talk to me: 554 Mail from 91.121.31.206 refused, see RBL server bl.spamcop.net)
-bash: delivery: command not found

apperement il a reussi a envoyer des mail avec des noms bidons correspondant a mon domaine...
Pourtant ces utilisateurs n'existe pas !!!!
et quand je tente de le faire en telnet avec des noms bidon, mon serveur répond bien relay acces denied

toniotonio · Le 02/08/2007, à 12:55

tu pourrais poster les logs ?

Dernière modification par toniotonio (Le 02/08/2007, à 12:56)

B@rtounet · Le 02/08/2007, à 14:05

quels logs veux tu ??
Je pense avoir trouver une cause mais je n'en suis pas sur...
J'avais monté sur mon serveur un proxy squid pour faire des test, et je l'avais laissé ouvert a tout le monde et j'ai vu ce matin une chage conséquente sur squid, voici les logs de squid ce matin

1186029037.483   2125 217.174.251.171 TCP_MISS/200 11016 CONNECT mxtau.tau.ac.il:25 - DIRECT/132.66.7.104 -
1186029037.483  25772 61.238.149.83 TCP_MISS/200 1542 CONNECT 83.136.68.53:25 - DIRECT/83.136.68.53 -
1186029037.510    175 61.238.149.84 TCP_MISS/200 178 CONNECT 206.190.37.6:25 - DIRECT/206.190.37.6 -
1186029037.543  24980 122.126.111.109 TCP_MISS/000 0 CONNECT 203.188.197.9:25 - NONE/- -
1186029037.556   5569 61.238.149.20 TCP_MISS/200 1604 CONNECT 64.233.167.27:25 - DIRECT/64.233.167.27 -
1186029037.576    172 61.238.149.84 TCP_MISS/200 39 CONNECT 207.97.242.4:25 - DIRECT/207.97.242.4 -
1186029037.615   1835 88.208.234.80 TCP_MISS/200 9803 CONNECT bmx.huji.ac.il:25 - DIRECT/132.64.1.248 -
1186029037.621      2 61.238.149.84 TCP_MISS/000 0 CONNECT 209.83.80.114:25 - NONE/- -
1186029037.630    163 88.208.234.80 TCP_MISS/200 61 CONNECT mx2.bgu.ac.il:25 - DIRECT/132.72.23.13 -
1186029037.695   4149 61.238.149.22 TCP_MISS/200 1869 CONNECT 67.18.120.178:25 - DIRECT/67.18.120.178 -
1186029037.755    195 217.174.251.171 TCP_MISS/200 178 CONNECT d.mx.mail.yahoo.com:25 - DIRECT/216.39.53.2 -
1186029037.762  19010 61.238.149.20 TCP_MISS/200 2146 CONNECT 146.101.146.84:25 - DIRECT/146.101.146.84 -
1186029037.779   9620 122.126.111.109 TCP_MISS/000 0 CONNECT 168.95.5.42:25 - NONE/- -
1186029037.792  46922 217.174.251.171 TCP_MISS/000 0 CONNECT mx1.bgu.ac.il:25 - NONE/- -
1186029037.814   5191 61.238.149.18 TCP_MISS/200 2098 CONNECT 208.65.144.1:25 - DIRECT/208.65.144.1 -
1186029037.855  17200 61.238.149.18 TCP_MISS/000 0 CONNECT 209.86.93.228:25 - NONE/- -
1186029037.871    238 61.238.149.82 TCP_MISS/200 178 CONNECT 209.191.118.103:25 - DIRECT/209.191.118.103 -
1186029037.918    293 61.238.149.80 TCP_MISS/200 65 CONNECT 170.35.209.132:25 - DIRECT/170.35.209.132 -
1186029037.931   4319 61.238.149.84 TCP_MISS/200 2164 CONNECT 161.58.16.34:25 - DIRECT/161.58.16.34 -
1186029037.932   1278 59.105.6.136 TCP_MISS/200 869 CONNECT 65.54.244.232:25 - DIRECT/65.54.244.232 -
1186029037.939      2 61.238.149.83 TCP_MISS/000 0 CONNECT 168.95.5.53:25 - NONE/- -
1186029037.950    324 61.238.149.80 TCP_MISS/200 39 CONNECT 64.18.6.14:25 - DIRECT/64.18.6.14 -
1186029037.959   4738 61.238.149.23 TCP_MISS/200 1518 CONNECT 69.43.205.36:25 - DIRECT/69.43.205.36 -
1186029037.965   2320 61.238.149.20 TCP_MISS/200 339 CONNECT 162.42.148.100:25 - DIRECT/162.42.148.100 -
1186029037.996   3653 61.238.149.20 TCP_MISS/200 373 CONNECT 12.216.96.9:25 - DIRECT/12.216.96.9 -
1186029038.004  59006 59.105.179.153 TCP_MISS/503 0 CONNECT 168.95.6.149:25 - DIRECT/168.95.6.149 -
1186029038.030   2131 88.208.234.80 TCP_MISS/200 9792 CONNECT mail-gw.mer.co.il:25 - DIRECT/212.199.1.5 -
1186029038.056  31788 61.238.149.83 TCP_MISS/200 159 CONNECT 200.232.7.107:25 - DIRECT/200.232.7.107 -
11

Ce qui me met la puce à l'oreille c'est que le hacker utilise mon proxy squid pour attaquer des ports de messagerie (25) ...
Pourtant dans ces logs l'ip de mon serveur n'apparait pas...

Une partie des logs de postfix lors de l'envoie de messages bidons par le hackers

ug  2 06:44:58 serveur postfix/smtpd[14487]: connect from serveur.info16.fr[91.121.31.206]
Aug  2 06:44:58 serveur postfix/smtpd[14519]: lost connection after CONNECT from serveur.info16.fr[91.121.31.206]
Aug  2 06:44:58 serveur postfix/smtpd[14519]: disconnect from serveur.info16.fr[91.121.31.206]
Aug  2 06:44:58 serveur postfix/smtpd[14513]: 62EB11B2B1: client=serveur.info16.fr[91.121.31.206]
Aug  2 06:44:58 serveur postfix/smtpd[14487]: 9C3491B2B2: client=serveur.info16.fr[91.121.31.206]
Aug  2 06:44:58 serveur postfix/smtpd[14510]: lost connection after CONNECT from serveur.info16.fr[91.121.31.206]
Aug  2 06:44:58 serveur postfix/smtpd[14510]: disconnect from serveur.info16.fr[91.121.31.206]
Aug  2 06:44:58 serveur postfix/smtp[14491]: connect to mx1.bgu.ac.il[132.72.23.12]: Connection timed out (port 25)
Aug  2 06:44:58 serveur postfix/smtp[14491]: E4ACA1B2A2: to=<shaked@bgumail.bgu.ac.il>, relay=none, delay=61, status=deferred (connect to mx1.bgu.ac.il[132.72.23.12]: Connection timed out)
Aug  2 06:44:58 serveur postfix/qmgr[2886]: E29C41B2A5: to=<shaki@bgumail.bgu.ac.il>, relay=none, delay=50, status=deferred (delivery temporarily suspended: connect to mx1.bgu.ac.il[132.72.23.12]: Connection timed out)
Aug  2 06:44:58 serveur postfix/qmgr[2886]: 2D4391B2A8: to=<shakirov@bgumail.bgu.ac.il>, relay=none, delay=42, status=deferred (delivery temporarily suspended: connect to mx1.bgu.ac.il[132.72.23.12]: Connection timed out)
Aug  2 06:44:58 serveur postfix/qmgr[2886]: 7DDCD1B2A9: to=<shalaban@bgumail.bgu.ac.il>, relay=none, delay=29, status=deferred (delivery temporarily suspended: connect to mx1.bgu.ac.il[132.72.23.12]: Connection timed out)
Aug  2 06:44:58 serveur postfix/qmgr[2886]: 1E0E61B2B0: to=<shalev-s@bgumail.bgu.ac.il>, relay=none, delay=6, status=deferred (delivery temporarily suspended: connect to mx1.bgu.ac.il[132.72.23.12]: Connection timed out)
Aug  2 06:44:58 serveur postfix/cleanup[14475]: 62EB11B2B1: message-id=<C9580903.B41167F@info16.fr>
Aug  2 06:44:58 serveur postfix/smtpd[14509]: lost connection after CONNECT from serveur.info16.fr[91.121.31.206]
Aug  2 06:44:58 serveur postfix/smtpd[14509]: disconnect from serveur.info16.fr[91.121.31.206]
Aug  2 06:44:58 serveur postfix/smtpd[14517]: lost connection after CONNECT from serveur.info16.fr[91.121.31.206]
Aug  2 06:44:58 serveur postfix/smtpd[14517]: disconnect from serveur.info16.fr[91.121.31.206]
Aug  2 06:44:59 serveur postfix/qmgr[2886]: 62EB11B2B1: from=<inter.mail@info16.fr>, size=7083, nrcpt=1 (queue active)
Aug  2 06:44:59 serveur postfix/cleanup[14469]: 9C3491B2B2: message-id=<D8A558C1.7F5B601@info16.fr>
Aug  2 06:44:59 serveur postfix/smtpd[14513]: disconnect from serveur.info16.fr[91.121.31.206]
Aug  2 06:44:59 serveur postfix/qmgr[2886]: 9C3491B2B2: from=<advertise@info16.fr>, size=7022, nrcpt=1 (queue active)
Aug  2 06:44:59 serveur postfix/qmgr[2886]: 9C3491B2B2: to=<shalemsh@bgumail.bgu.ac.il>, relay=none, delay=1, status=deferred (delivery temporarily suspended: connect to mx1.bgu.ac.il[132.72.23.12]: Connection timed out)
Aug  2 06:44:59 serveur postfix/smtpd[14487]: disconnect from serveur.info16.fr[91.121.31.206]
Aug  2 06:44:59 serveur postfix/smtpd[14502]: connect from serveur.info16.fr[91.121.31.206]
Aug  2 06:44:59 serveur postfix/smtp[14523]: connect to rmailb1.walla.co.il[192.118.82.144]: Connection refused (port 25)
Aug  2 06:45:00 serveur postfix/smtpd[14512]: connect from serveur.info16.fr[91.121.31.206]
Aug  2 06:45:00 serveur postfix/smtpd[14482]: connect from ip19520610038.anw.at[195.206.100.38]
Aug  2 06:45:00 serveur postgrey[2607]: delayed 401 seconds: client=ip19520610038.anw.at, from=, to=Sedlnickysilnu@info16.fr
Aug  2 06:45:00 serveur postfix/smtpd[14482]: NOQUEUE: reject: RCPT from ip19520610038.anw.at[195.206.100.38]: 550 <Sedlnickysilnu@info16.fr>: Recipient address rejected: User unknown in local recipient table; from=<> to=<Sedlnickysilnu@info16.fr> proto=ESMTP helo=<srv1.bwk.at>
Aug  2 06:45:00 serveur postfix/smtpd[14482]: disconnect from ip19520610038.anw.at[195.206.100.38]
Aug  2 06:45:00 serveur postfix/smtpd[14477]: lost connection after CONNECT from serveur.info16.fr[91.121.31.206]
Aug  2 06:45:00 serveur postfix/smtpd[14477]: disconnect from serveur.info16.fr[91.121.31.206]
Aug  2 06:45:00 serveur postfix/smtpd[14486]: connect from serveur.info16.fr[91.121.31.206]
Aug  2 06:45:01 serveur postfix/smtpd[14480]: lost connection after CONNECT from serveur.info16.fr[91.121.31.206]
Aug  2 06:45:01 serveur postfix/smtpd[14480]: disconnect from serveur.info16.fr[91.121.31.206]

J'aimerai seulement comprendre..
Car selon mon postconf vous etes bien d'accord qu'il n'est pas open relay ??

fugitif · Le 02/08/2007, à 14:21

B@rtounet a écrit :

J'aimerai seulement comprendre..
Car selon mon postconf vous etes bien d'accord qu'il n'est pas open relay ??

Stop ton Squid. Vu qu'il passe par celui ci pour envoyer des mails, c'est ton IP qui sert à les envoyer. Et si Postfix filtre via l'IP, l'accès lui est grand ouvert via Squid.

B@rtounet · Le 02/08/2007, à 14:32

bah vi mais comment tu peux expliquer qu'il n'y ai aucune correlation entre les ip affichées dans les logs de squid et celles de postfix...

Comment peut t'il envoyer des mails a partir de squid via mon postfix ??

En l'occurence c'est juste une hypothese qu'il passait par squid.. mais depuis que j'ai coupé squid je n'ai plus de mail dans ma queue...

Mais est ce une brèche de sécurité??? on peut prendre le controle de postfix par squid??

De plus tout cela est embettant, car bien sur mon serveur a été blacklisté par spamhaus et spamcop etc ...

Dernière modification par B@rtounet (Le 02/08/2007, à 14:34)

toniotonio · Le 02/08/2007, à 15:04

ta conf de squid est bcp trop laxiste.
soit tu la corriges soit comme le dit fugitif tu arretes squid.

la faille c'est ta conf de squid, pas celle de postfix.

postfix considere, a juste titre que le 127.0.0.1 est son reseau.
il autorise donc le relaying de tout mail en provenance de celle ci.

toniotonio · Le 02/08/2007, à 15:06

et dans la queue de postfix y a quoi ?

Dernière modification par toniotonio (Le 02/08/2007, à 15:09)

B@rtounet · Le 02/08/2007, à 15:16

j'ai effacé la mailqueue, mais il y avait 500 messages à destination de serveurs quelconque, et tjs en emmeteur un *.info16.fr

Mais mon serveur à été vite blackliste.

Je sais bien que je suis le fautif, j'avais mis un allow all sur squid, si bien que il pouvait atteindre tous les ports... (meme des ports 25)

Donc d'un coté il scannait les IP pour savoir si un serveur de messagerie ecouté derriere le port 25 des ip scannées... et après il arrivait à envoyer des mails..

Je comprend mon erreur sur la partue squid, mais comment peut t'il envoyer des mails par mon serveur Postfix ??? en passant simplement par squid ??

toniotonio · Le 02/08/2007, à 15:23

regarde tous les logs de squid

toniotonio · Le 02/08/2007, à 15:27

combien il y a de machines sur le 91.121.31.206 ?
pourquoi a tu besoin de le mettre dans mynetworks ?

B@rtounet · Le 02/08/2007, à 15:40

une machine, seulement mon dédié, mais que je mette ca ou 127.0.0.1 ou localhost ca revient au meme non?

B@rtounet · Le 02/08/2007, à 15:42

Pour les log de squid, on a que ca pendant 12 heures d'affilée avant que je me rende compte du probleme...

1186029065.058  17669 61.238.149.20 TCP_MISS/000 0 CONNECT 209.86.93.121:25 - NONE/- -
1186029065.087  21479 122.124.130.9 TCP_MISS/000 0 CONNECT 168.95.6.126:25 - NONE/- -
1186029065.116   1505 61.238.149.21 TCP_MISS/200 361 CONNECT 206.18.177.26:25 - DIRECT/206.18.177.26 -
1186029065.125      2 61.238.149.82 TCP_MISS/000 0 CONNECT 216.163.188.54:25 - NONE/- -
1186029065.135   3894 88.208.234.80 TCP_MISS/200 428 CONNECT mailmx.bezeqint.net:25 - DIRECT/192.115.106.58 -
1186029065.135   2582 61.238.149.23 TCP_MISS/200 1904 CONNECT 83.206.78.181:25 - DIRECT/83.206.78.181 -
1186029065.141      2 61.238.149.80 TCP_MISS/000 0 CONNECT 4.79.181.18:25 - NONE/- -
1186029065.150    119 61.238.149.21 TCP_MISS/503 0 CONNECT 66.254.159.200:25 - DIRECT/66.254.159.200 -
1186029065.178   3882 88.208.234.80 TCP_MISS/200 427 CONNECT mx.inter.net.il:25 - DIRECT/192.114.186.60 -
1186029065.198   4080 217.174.251.171 TCP_MISS/200 431 CONNECT mx-bk.inter.net.il:25 - DIRECT/192.114.186.60 -
1186029065.236     33 61.238.149.82 TCP_MISS/200 178 CONNECT 195.50.106.135:25 - DIRECT/195.50.106.135 -
1186029065.289     86 88.208.234.80 TCP_MISS/503 0 CONNECT t2.technion.ac.il:25 - DIRECT/132.68.1.11 -
1186029065.294      3 61.238.149.21 TCP_MISS/000 0 CONNECT 206.225.83.53:25 - NONE/- -
1186029065.303  17414 61.238.149.23 TCP_MISS/000 0 CONNECT 209.86.93.229:25 - NONE/- -
1186029065.318  13980 61.238.149.21 TCP_MISS/000 0 CONNECT 209.86.93.227:25 - NONE/- -
1186029065.370   3271 61.238.149.22 TCP_MISS/200 1786 CONNECT 205.246.18.79:25 - DIRECT/205.246.18.79 -
1186029065.380   4398 61.238.149.21 TCP_MISS/200 2079 CONNECT 12.16.100.7:25 - DIRECT/12.16.100.7 -
1186029065.391      2 61.238.149.23 TCP_MISS/000 0 CONNECT 61.249.133.215:25 - NONE/- -
1186029065.399   3961 88.208.234.80 TCP_MISS/200 437 CONNECT mx-bk.inter.net.il:25 - DIRECT/192.114.186.60 -
1186029065.403   1817 217.174.251.171 TCP_MISS/200 9180 CONNECT mr.nanamail.co.il:25 - DIRECT/212.143.70.30 -
1186029065.409    101 88.208.234.80 TCP_MISS/503 0 CONNECT rmailb2.walla.com:25 - DIRECT/192.118.82.145 -
1186029065.433   3668 61.238.149.80 TCP_MISS/200 73 CONNECT 24.71.223.11:25 - DIRECT/24.71.223.11 -
1186029065.497   4515 61.238.149.80 TCP_MISS/200 1771 CONNECT 216.251.32.71:25 - DIRECT/216.251.32.71 -
1186029065.545  15672 61.238.149.80 TCP_MISS/200 1577 CONNECT 66.225.152.70:25 - DIRECT/66.225.152.70 -
1186029065.571   2718 61.238.149.21 TCP_MISS/200 1394 CONNECT 81.92.198.192:25 - DIRECT/81.92.198.192 -
1186029065.631   4491 61.238.149.21 TCP_MISS/200 1885 CONNECT 12.16.100.7:25 - DIRECT/12.16.100.7 -
1186029065.638   4084 88.208.234.80 TCP_MISS/200 429 CONNECT mx.inter.net.il:25 - DIRECT/192.114.186.59 -
1186029065.642   5323 61.238.149.21 TCP_MISS/200 2016 CONNECT 66.75.160.136:25 - DIRECT/66.75.160.136 -
1186029065.702   4801 61.238.149.20 TCP_MISS/200 2341 CONNECT 74.239.167.118:25 - DIRECT/74.239.167.118 -
1186029065.710   2593 61.238.149.21 TCP_MISS/200 1481 CONNECT 217.204.217.163:25 - DIRECT/217.204.217.163 -
1186029065.736  15255 61.238.149.83 TCP_MISS/200 1639 CONNECT 205.238.135.1:25 - DIRECT/205.238.135.1 -
1186029065.754   2767 61.238.149.22 TCP_MISS/200 440 CONNECT 74.220.194.170:25 - DIRECT/74.220.194.170 -
1186029065.757   3612 61.238.149.21 TCP_MISS/200 1825 CONNECT 204.174.16.241:25 - DIRECT/204.174.16.241 -
1186029065.774   8102 61.238.149.84 TCP_MISS/200 1972 CONNECT 202.47.144.20:25 - DIRECT/202.47.144.20 -
1186029065.790     32 61.238.149.20 TCP_MISS/200 178 CONNECT 195.50.106.135:25 - DIRECT/195.50.106.135 -
1186029065.797      2 61.238.149.21 TCP_MISS/000 0 CONNECT 76.162.254.8:25 - NONE/- -
1186029065.810    399 61.238.149.83 TCP_MISS/200 178 CONNECT 64.156.215.23:25 - DIRECT/64.156.215.23 -
1186029065.831     16 61.238.149.22 TCP_MISS/503 0 CONNECT 62.231.131.67:25 - DIRECT/62.231.131.67 -
1186029065.856    279 217.174.251.171 TCP_MISS/200 178 CONNECT f.mx.mail.yahoo.com:25 - DIRECT/209.191.88.247 -
1186029065.863      2 61.238.149.84 TCP_MISS/000 0 CONNECT 207.228.236.38:25 - NONE/- -
1186029065.869      2 61.238.149.83 TCP_MISS/000 0 CONNECT 66.209.65.132:25 - NONE/- -
1186029065.873   7749 61.238.149.82 TCP_MISS/000 0 CONNECT 209.86.93.226:25 - NONE/- -
1186029065.882   3581 61.238.149.23 TCP_MISS/200 2122 CONNECT 195.212.29.138:25 - DIRECT/195.212.29.138 -
1186029065.937    196 88.208.234.80 TCP_MISS/200 101 CONNECT mail.delek-ltd.co.il:25 - DIRECT/209.88.173.147 -
1186029065.963   3884 217.174.251.171 TCP_MISS/200 432 CONNECT mailmx.bezeqint.net:25 - DIRECT/192.115.106.58 -
1186029065.999   6321 122.126.107.1 TCP_MISS/200 3316 CONNECT 61.220.143.107:25 - DIRECT/61.220.143.107 -
1186029066.003  59109 203.70.127.21 TCP_MISS/503 0 CONNECT 168.95.5.29:25 - DIRECT/168.95.5.29 -
1186029066.003  59099 59.105.6.136 TCP_MISS/503 0 CONNECT 203.188.197.10:25 - DIRECT/203.188.197.10 -
1186029066.025   4452 61.238.149.21 TCP_MISS/200 2124 CONNECT 66.42.213.121:25 - DIRECT/66.42.213.121 -
1186029066.038  47009 88.208.234.80 TCP_MISS/000 0 CONNECT mx1.bgu.ac.il:25 - NONE/- -
1186029066.083  17624 61.238.149.84 TCP_MISS/000 0 CONNECT 72.51.33.75:25 - NONE/- -
1186029066.118  17484 61.238.149.82 TCP_MISS/000 0 CONNECT 65.161.19.10:25 - NONE/- -
1186029066.143   3375 61.238.149.22 TCP_MISS/200 1639 CONNECT 161.58.16.34:25 - DIRECT/161.58.16.34 -
1186029066.184     96 217.174.251.171 TCP_MISS/503 0 CONNECT mx200.barak.net.il:25 - DIRECT/62.90.56.78 -
1186029066.196   3856 88.208.234.80 TCP_MISS/200 431 CONNECT mx-bk.inter.net.il:25 - DIRECT/192.114.186.60 -
1186029066.227   2344 61.238.149.21 TCP_MISS/200 455 CONNECT 207.115.21.20:25 - DIRECT/207.115.21.20 -
1186029066.229   3755 61.238.149.22 TCP_MISS/200 1389 CONNECT 62.209.45.169:25 - DIRECT/62.209.45.169 -
1186029066.255    132 61.238.149.80 TCP_MISS/503 0 CONNECT 63.97.14.8:25 - DIRECT/63.97.14.8 -
1186029066.369   3747 61.238.149.84 TCP_MISS/200 2058 CONNECT 80.168.70.66:25 - DIRECT/80.168.70.66 -
1186029066.391  20550 61.238.149.83 TCP_MISS/200 39 CONNECT 209.77.197.234:25 - DIRECT/209.77.197.234 -
1186029066.483  11808 61.238.149.20 TCP_MISS/200 1498 CONNECT 64.17.63.194:25 - DIRECT/64.17.63.194 -
1186029066.483  13063 61.238.149.20 TCP_MISS/000 0 CONNECT 168.95.5.22:25 - NONE/- -
1186029066.526   8072 61.238.149.22 TCP_MISS/000 0 CONNECT 81.6.249.113:25 - NONE/- -
1186029066.528  17399 61.238.149.82 TCP_MISS/000 0 CONNECT 24.28.204.28:25 - NONE/- -
1186029066.551    610 61.238.149.83 TCP_MISS/200 109 CONNECT 211.43.197.43:25 - DIRECT/211.43.197.43 -
1186029066.556   6384 61.238.149.84 TCP_MISS/200 1871 CONNECT 202.47.144.20:25 - DIRECT/202.47.144.20 -
1186029066.634  46685 88.208.234.80 TCP_MISS/000 0 CONNECT mx.mercury.co.il:25 - NONE/- -
1186029066.634   6211 203.70.127.21 TCP_MISS/200 346 CONNECT 163.13.1.220:25 - DIRECT/163.13.1.220 -
1186029066.636   3868 217.174.251.171 TCP_MISS/200 428 CONNECT mailmx.bezeqint.net:25 - DIRECT/192.115.106.58 -
1186029066.677   4336 61.238.149.84 TCP_MISS/200 2183 CONNECT 161.58.16.34:25 - DIRECT/161.58.16.34 -
1186029066.713   3902 217.174.251.171 TCP_MISS/200 426 CONNECT mailmx.bezeqint.net:25 - DIRECT/192.115.106.58 -
1186029066.729   2368 61.238.149.84 TCP_MISS/200 238 CONNECT 68.6.19.3:25 - DIRECT/68.6.19.3 -
1186029066.735  17096 61.238.149.83 TCP_MISS/000 0 CONNECT 209.86.93.229:25 - NONE/- -
1186029066.748    215 61.238.149.22 TCP_MISS/200 178 CONNECT 68.142.237.182:25 - DIRECT/68.142.237.182 -
1186029066.754  14382 61.238.149.84 TCP_MISS/000 0 CONNECT 207.44.164.20:25 - NONE/- -
1186029066.764   2220 61.238.149.20 TCP_MISS/200 344 CONNECT 208.65.144.3:25 - DIRECT/208.65.144.3 -
1186029066.774   3611 61.238.149.21 TCP_MISS/200 1742 CONNECT 204.251.132.50:25 - DIRECT/204.251.132.50 -

toniotonio · Le 02/08/2007, à 16:05

comment est fait ce reseau ?

squid et postfix sur la meme machine ?

B@rtounet · Le 02/08/2007, à 16:49

vi

C'est seulement un serveur dédié chez ovh, sur lequel je me faits des compétences
...
J'installe donc bcp de chose

Il est évident qu'en entreprise on sépare les services

fugitif · Le 02/08/2007, à 21:11

toniotonio a écrit :

ta conf de squid est bcp trop laxiste.
soit tu la corriges soit comme le dit fugitif tu arretes squid.
la faille c'est ta conf de squid, pas celle de postfix.
postfix considere, a juste titre que le 127.0.0.1 est son reseau.
il autorise donc le relaying de tout mail en provenance de celle ci.

Oui très juste.

Le pseudo hacker à scanner ton IP afin de trouver un proxy ouvert. Se qui était le cas de ton Squid car mal configurer probablement. Il à surement trouver ton smtp de la même manière.
Donc via Squid il pouvais se connecter au smtp de ton Postfix car tu autorise le réseau local à envoyer des mails. (IP 127.0.0.1)
Postfix doit surement filtrer l'accès via ton IP. Seul 127.0.0.1 et peut être 91.121.31.206 peuvent envoyer des mails. Mais comme Squid était sur ta machine, (donc avec l'IP 127.0.0.1) il à utiliser celui ci afin d'envoyer des mails via Postfix qui autorise le relay via l'IP 127.0.0.1.
C'est très malin comme technique.

Des règles iptables auraient bloquer ceci.

Edit: ah et en passant, pense à sécurisé ton dotclear contre le spam cf: http://www.info16.fr/blog/dotclear/index.php?2007/06/23/13-serveur-de-messagerie-d-entreprise-postfix-fsecure-exchange

Dernière modification par fugitif (Le 02/08/2007, à 21:20)

Uggy · Le 02/08/2007, à 21:38

B@rtounet a écrit :

Je comprend mon erreur sur la partue squid, mais comment peut t'il envoyer des mails par mon serveur Postfix ??? en passant simplement par squid ??

CONNECT serveur.info16.fr:25 HTTP/1.0

http://www.au.sorbs.net/faq/proxy.shtml

In this case a SQUID proxy server was used, and fortunately by default these servers are secure. However, unfortunately there are a number of 'clueless' admins who continue to add lines like:
http_access allow all
above the line:
http_access deny CONNECT !SSL_ports
This allows anyone to connect to anything.

Dernière modification par Uggy (Le 02/08/2007, à 21:42)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 02/08/2007, à 12:50

Postfix hacked ???

#2 Le 02/08/2007, à 12:55

Re : Postfix hacked ???

#3 Le 02/08/2007, à 14:05

Re : Postfix hacked ???

#4 Le 02/08/2007, à 14:21

Re : Postfix hacked ???

#5 Le 02/08/2007, à 14:32

Re : Postfix hacked ???

#6 Le 02/08/2007, à 15:04

Re : Postfix hacked ???

#7 Le 02/08/2007, à 15:06

Re : Postfix hacked ???

#8 Le 02/08/2007, à 15:16

Re : Postfix hacked ???

#9 Le 02/08/2007, à 15:23

Re : Postfix hacked ???

#10 Le 02/08/2007, à 15:27

Re : Postfix hacked ???

#11 Le 02/08/2007, à 15:40

Re : Postfix hacked ???

#12 Le 02/08/2007, à 15:42

Re : Postfix hacked ???

#13 Le 02/08/2007, à 16:05

Re : Postfix hacked ???

#14 Le 02/08/2007, à 16:49

Re : Postfix hacked ???

#15 Le 02/08/2007, à 21:11

Re : Postfix hacked ???

#16 Le 02/08/2007, à 21:38

Re : Postfix hacked ???

Pied de page des forums