Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 02/06/2014, à 13:36

biloute34

[Résolu][Urgent] Attaque sur Kimsufi Ubuntu

Bonjour,

Depuis hier vers 17h30, j'ai une succession de mail ayant pour sujet : Postfix SMTP server: errors from 41.206.23.141.vgccl.net[41.206.23.141]

Et pour contenu :

Transcript of session follows.

Out: 220 ksXXXXXX.kimsufi.com ESMTP Postfix (Ubuntu)
In:  EHLO [192.168.2.33]
Out: 250-ksxxxxxx.kimsufi.com
Out: 250-PIPELINING
Out: 250-SIZE 10240000
Out: 250-VRFY
Out: 250-ETRN
Out: 250-STARTTLS
Out: 250-ENHANCEDSTATUSCODES
Out: 250-8BITMIME
Out: 250 DSN
In:  MAIL FROM: <test@live.com>
Out: 452 4.3.1 Insufficient system storage
In:  QUIT
Out: 221 2.0.0 Bye


Je reçois ce type de mail à une intervalle de 10 à 20 minutes (3 à 6 mails par heure).
Les adresses IP (visibles dans le sujet du mail) changent à chaque fois.

Je dispose d'un serveur Postfix et d'un fail2ban... que je ne sais pas configurer.
Pouvez-vous m'aider ?

1/ En fait je ne sais pas vraiment ce qu'il m'arrive... suis-je vraiment attaqué ? Botnet ?

2/ Est-ce que cela signifie qu'on essaye de me faire envoyer des mails ? Où alors qu'on essaye de m'en envoyer ?

3/ Comment puis-je bloquer ou filtrer ces alertes (par exemple en bloquant les "MAIL FROM: <test@live.com>") ?

4/ Dois-je changer tous les mots de passe (ssh, mysql, etc) ?

Je suis au boulot toute la journée et pour faciliter le tout, je n'ai pas d'accès SSH au boulot.


Merci d'avance, j'ai pas dormi de la nuit -.-

Dernière modification par biloute34 (Le 02/06/2014, à 19:06)

Hors ligne

#2 Le 02/06/2014, à 13:56

ssdg

Re : [Résolu][Urgent] Attaque sur Kimsufi Ubuntu

J'ai l'impression que cette tentative de spam (probablement, vu  l'adresse d'origine du mail entrant) à surtout mis en valeur un autre probleme: Tu ne semble plus avoir d'espace disque disponible.

(du coup, le compte sur lequel tu reçois ces mails, il n'est pas sur la machine qui fait tourner postfix? c'est ça?)


s'il n'y a pas de solution, c'est qu'il n'y a pas de problème... ou pas.

Hors ligne

#3 Le 02/06/2014, à 14:12

bruno

Re : [Résolu][Urgent] Attaque sur Kimsufi Ubuntu

C'est un botnet testeur de relais SMTP qui se remet à fonctionner régulièrement avec toujours ces caractéristiques :

In:  MAIL FROM: <test@live.com>
Out: 250 2.1.0 Ok
In:  RCPT TO: <therichsheickc@yahoo.com>

Ce à quoi ton serveur s'il est bien configuré doit répondre par un : Relay acces denied puisqu'il n'as pas vocation à relayer les courriels vers yahoo.com

Fai2ban est parfaitement inutile contre ce botnet puisqu'il tente un envoi toutes les 10 minutes environ avec des IP toujours différentes (rarement utilisées plus de 2 fois).

Normalement le seul inconvénient est d'encombrer (un peu) les logs. Tu peux toujours bloquer test@live.com ou therichsheickc@yahoo.com mais cela ne sert pas à grand chose puis qu’encore une fois ces courriels ne sont pas transmis si la configuration du serveur est correcte.

Le gros problème sur ta configuration c'est ceci :

Out: 452 4.3.1 Insufficient system storage

Il faut que tu vois pourquoi le serveur se plaint de ne plus avoir d'espace disponible…

Hors ligne

#4 Le 02/06/2014, à 14:21

biloute34

Re : [Résolu][Urgent] Attaque sur Kimsufi Ubuntu

Bonjour Ssdg, Bruno,

Effectivement j'avais un problème d'espace disque, que j'ai résolu depuis. Le /home était totalement plein. Maintenant c'est vidé, mais j'ai toujours des alertes mails.

Il s'agit d'un serveur kimsufi de chez OVH (pas de pub) et effectivement les mails que je reçois ne sont pas sur un compte de mon Postfix, mais sur une adresse Gmail (pas de pub!!!) servant de postmaster, déclaré certainement quelque part dans mon compte OVH.

Il faut que je vérifie donc que l'erreur "Insufficient system storage" a disparu et a été remplacé par un autre message. Dans tous les cas, je souhaiterai ne plus recevoir de mail et pourquoi pas effectivement bloquer test@live.com.

Merci pour votre aide wink

Hors ligne

#5 Le 02/06/2014, à 14:56

tiramiseb

Re : [Résolu][Urgent] Attaque sur Kimsufi Ubuntu

Salut,

Oui, vérifie que tu n'as plus la même erreur. Car normalement tu ne devrais pas recevoir de mail avec ces tentatives...

Hors ligne

#6 Le 02/06/2014, à 15:46

Pseudo supprimé

Re : [Résolu][Urgent] Attaque sur Kimsufi Ubuntu

DISCARD est efficace dans ce genre d'attaque (IP change à chaque requête), et moins de blabla. Tu prends le tag (sender, helo, recipient, ...) invariant et tu lui mets une règle DISCARD dessus. DISCARD supprime silencieusement.

check_sender_access hash:/etc/postfix/sender_reject
..
sudo nano /etc/postfix/sender_reject 
test@live.com DISCARD
smtp@paypal.de DISCARD

sudo postmap /etc/postfix/sender_reject 

#7 Le 02/06/2014, à 18:04

biloute34

Re : [Résolu][Urgent] Attaque sur Kimsufi Ubuntu

Je rentre du boulot et malheureusement je découvre que je continue de recevoir ce genre de mail :

Sujet : Postfix SMTP server: errors from unknown[101.78.154.74]

Transcript of session follows.

 Out: 220 ksxxxxxx.kimsufi.com ESMTP Postfix (Ubuntu)
 In:  EHLO [192.168.2.33]
 Out: 250-ksxxxxxx.kimsufi.com
 Out: 250-PIPELINING
 Out: 250-SIZE 10240000
 Out: 250-VRFY
 Out: 250-ETRN
 Out: 250-STARTTLS
 Out: 250-ENHANCEDSTATUSCODES
 Out: 250-8BITMIME
 Out: 250 DSN
 In:  MAIL FROM: <test@live.com>
 Out: 452 4.3.1 Insufficient system storage
 In:  QUIT
 Out: 221 2.0.0 Bye

Pourtant, j'ai bien vidé mon répertoire /home du serveur. A moins que le message n'indique un manque de place sur un compte mail ?

EDIT : voici la commande permettant de voir la capacité disque :

root@ksxxxxxx:/# df -h
Sys. de fich.            Tail. Occ. Disp. %Occ. Monté sur
/dev/sda1             9,7G  9,2G  9,6M 100% /
varrun                479M   72K  479M   1% /var/run
varlock               479M     0  479M   0% /var/lock
udev                  479M   20K  479M   1% /dev
devshm                479M     0  479M   0% /dev/shm
/dev/sda2             220G   33M  208G   1% /home

/dev/sda1 est plein mais je ne sais pas à quoi il correspond ^^

EDIT 2 : OMG !! J'ai supprimé quelques essais de sites inutiles dans /var/www/... et j'ai gagné de la place sur /dev/sda1.

/dev/sda1             9,7G  5,2G  4,1G  57% /

Du coup, je ne comprend pas comment détecter les dossiers qui prennent trop de place car lorsque je me place à la racine et que je tape la commande du -h, j'ai des milliers de lignes qui s'affichent, il parcourt toute l'arborescence.

EDIT 3 : Hahaha qu'est-ce que c'est drôle Linux big_smile j'ai trouvé : du -h --max-depth=1 J'apprends énormément ici big_smile Je pense qu'il me fallait ce bon gros coup de pouce, merci à tous !
Du coup j'imagine que maintenant je n'aurais plus les messages d'erreur par mail. Je vais attendre et je vous tiens au courant ! On approche big_smile

Dernière modification par biloute34 (Le 02/06/2014, à 18:39)

Hors ligne

#8 Le 02/06/2014, à 19:05

biloute34

Re : [Résolu][Urgent] Attaque sur Kimsufi Ubuntu

C'est re moi !

Bon ben apparemment, je n'ai plus d'alerte mail du tout ! J'ai fais le ménage dans tout le serveur, ça fait du bien. Moi qui n'y connaissais rien, je suis bien content d'avoir résolu le problème (grâce à vous, avec mention spécial pour ssdg et bruno). J'ai appris énormément, alors un grand merci à vous tous ! Continuez comme ça wink

Hors ligne

#9 Le 02/06/2014, à 22:26

src

Re : [Résolu][Urgent] Attaque sur Kimsufi Ubuntu

Salut,
Un mail toutes les 10min c'est pas la mort, surtout si ton serveur (bien configuré) le refuse...
Tu dois commencer à t'inquiéter si tu en reçois plusieurs par seconde.
C'est tout à fait normal de subir ce genre " d'attaques ", moi même sur mon serveur j'en ai plein (sur dovecot il y a des tentatives de connexion avec des comptes courants comme john, postmaster, admin...) mais ça ne tue pas.


Actuellement sur Manjaro Xfce (amd64)

Hors ligne

#10 Le 03/06/2014, à 08:47

biloute34

Re : [Résolu][Urgent] Attaque sur Kimsufi Ubuntu

Merci pour les précisions big_smile Je me sens bien mieux maintenant ! Vous roxxez wink

Hors ligne