Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 01/10/2015, à 16:26

doesit

[RESOLU] Alerte Spamcop et ban définitif des IP récidivistes

Bonjour,

Dans la console de management de ISPconfig 3, à la lecture du fichier de log de fail2ban il s’avère que j'ai plusieurs IP qui viennent continuellement (faire quoi ?? connexion en SSH ??)
et sont ban and unban toute les heure comme le veut la règle mise en place.

A quoi correspondent les adresse ??
Et pouvons nous les bannir définitivement si besoin ?

2015-09-30 22:23:18,342 fail2ban.actions: WARNING [ssh] Ban 43.229.53.47
2015-09-30 23:23:18,574 fail2ban.actions: WARNING [ssh] Unban 43.229.53.47
2015-09-30 23:56:39,941 fail2ban.actions: WARNING [ssh] Ban 43.229.53.47
2015-10-01 00:56:40,220 fail2ban.actions: WARNING [ssh] Unban 43.229.53.47
2015-10-01 01:08:40,079 fail2ban.actions: WARNING [ssh] Ban 116.228.1.108
2015-10-01 01:40:03,393 fail2ban.actions: WARNING [ssh] Ban 43.229.53.47
2015-10-01 02:08:40,435 fail2ban.actions: WARNING [ssh] Unban 116.228.1.108
2015-10-01 02:40:03,696 fail2ban.actions: WARNING [ssh] Unban 43.229.53.47
2015-10-01 03:21:14,601 fail2ban.actions: WARNING [ssh] Ban 43.229.53.47
2015-10-01 04:21:14,867 fail2ban.actions: WARNING [ssh] Unban 43.229.53.47
2015-10-01 04:22:34,996 fail2ban.actions: WARNING [ssh] Ban 43.229.53.47
2015-10-01 04:48:22,868 fail2ban.actions: WARNING [ssh] Ban 59.47.0.150
2015-10-01 05:22:35,293 fail2ban.actions: WARNING [ssh] Unban 43.229.53.47
2015-10-01 05:48:23,068 fail2ban.actions: WARNING [ssh] Unban 59.47.0.150
2015-10-01 06:02:35,981 fail2ban.actions: WARNING [ssh] Ban 43.229.53.47
2015-10-01 07:02:36,216 fail2ban.actions: WARNING [ssh] Unban 43.229.53.47
2015-10-01 07:07:51,634 fail2ban.actions: WARNING [ssh] Ban 125.227.217.174
2015-10-01 07:32:18,395 fail2ban.actions: WARNING [ssh] Ban 43.229.53.47
2015-10-01 07:44:24,614 fail2ban.filter : INFO Log rotation detected for /var/log/syslog
2015-10-01 08:07:51,906 fail2ban.actions: WARNING [ssh] Unban 125.227.217.174
2015-10-01 08:22:50,000 fail2ban.actions: WARNING [ssh] Ban 218.65.30.92
2015-10-01 08:32:18,689 fail2ban.actions: WARNING [ssh] Unban 43.229.53.47
2015-10-01 09:00:03,699 fail2ban.actions: WARNING [ssh] Ban 43.229.53.47
2015-10-01 09:22:50,383 fail2ban.actions: WARNING [ssh] Unban 218.65.30.92
2015-10-01 10:00:04,083 fail2ban.actions: WARNING [ssh] Unban 43.229.53.47
2015-10-01 10:02:03,257 fail2ban.actions: WARNING [ssh] Ban 43.229.53.47
2015-10-01 10:32:16,463 fail2ban.actions: WARNING [ssh] Ban 202.120.51.86
2015-10-01 11:02:03,607 fail2ban.actions: WARNING [ssh] Unban 43.229.53.47
2015-10-01 11:32:16,827 fail2ban.actions: WARNING [ssh] Unban 202.120.51.86
2015-10-01 11:48:20,989 fail2ban.actions: WARNING [ssh] Ban 43.229.53.47

De plus mon serveur mail est blacklisté sur:
Listé sur BARRACUDA
Listé sur SPAMHAUS-ZEN

Comment puis-je faire pour bloquer les éventuelles envoies de mail via mon serveur, et surtout déterminer si j'ai un "trojan" ou autre, car clamav ne trouve rien.

J'ai suivi un tuto Perfect server de chez howtoforge pour le monter.
La machine est hébergé chez Online.


Merci d'avance.

Cdt,
DOESIT

Dernière modification par doesit (Le 08/10/2015, à 13:34)

Hors ligne

#2 Le 02/10/2015, à 10:56

doesit

Re : [RESOLU] Alerte Spamcop et ban définitif des IP récidivistes

Bon, suite des événements, je viens de recevoir une alerte concernant mon serveur.
Il semblerait qu'il serve de relais d'envoi de spam.

effectivement j'ai bien des mail qui passent alors que ce n'ai pas moi.

MESSAGE FROM SPAMCOP:

CLICK 'BACK' BUTTON TO RETURN TO SPAMCOP
################################################################################
Received: from MONDOMAINE (MONIP) by admin.jettfuel.net with
 SMTP (EIMS X 3.3.9) for <x>;
 Thu, 1 Oct 2015 22:01:49 -0500
Message-ID: <OKXQ_________________CBLE@163.com>
From: "207.200.17.131" <ycinyjifojgdjf@163.com>
Reply-To: "207.200.17.131" <wpanudluxszf@163.com>
To: x
Subject: BC_207.200.17.131
Date: Fri, 02 Oct 2015 01:54:41 -0100
X-Mailer: Microsoft Outlook Express 5.00.2919.6700
MIME-Version: 1.0
Content-Type: multipart/alternative;
	boundary="--5371860820437407"
X-Priority: 3
X-MSMail-Priority: Normal

----5371860820437407
Content-Type: text/plain;
Content-Transfer-Encoding: quoted-printable



----5371860820437407--

MAIL.LOG:

Oct  2 10:35:01 MONDOMAINE dovecot: pop3-login: Disconnected (no auth attempts): rip=127.0.0.1, lip=127.0.0.1, secured
Oct  2 10:35:01 MONDOMAINE dovecot: imap-login: Disconnected (no auth attempts): rip=127.0.0.1, lip=127.0.0.1, secured
Oct  2 10:35:01 MONDOMAINE postfix/smtpd[27247]: connect from localhost[127.0.0.1]
Oct  2 10:35:02 MONDOMAINE postfix/smtpd[27247]: lost connection after CONNECT from localhost[127.0.0.1]
Oct  2 10:35:02 MONDOMAINE postfix/smtpd[27247]: disconnect from localhost[127.0.0.1]
Oct  2 10:35:14 MONDOMAINE postfix/smtpd[27247]: connect from MONDOMAINE.fr[MONIP]
Oct  2 10:35:15 MONDOMAINE postfix/smtpd[27247]: NOQUEUE: filter: RCPT from MONDOMAINE.fr[MONIP]: <wqbjdfooetppypa362@163.com>: Sender address triggers FILTER amavis:[127.0.0.1]:10026; 

from=<wqbjdfooetppypa362@163.com> to=<dng293@ara.seed.net> proto=SMTP helo=<MONDOMAINE.fr>
Oct  2 10:35:15 MONDOMAINE postfix/smtpd[27247]: NOQUEUE: filter: RCPT from MONDOMAINE.fr[MONIP]: <wqbjdfooetppypa362@163.com>: Sender address triggers FILTER amavis:[127.0.0.1]:10024; 

from=<wqbjdfooetppypa362@163.com> to=<dng293@ara.seed.net> proto=SMTP helo=<MONDOMAINE.fr>
Oct  2 10:35:15 MONDOMAINE postfix/smtpd[27247]: NOQUEUE: reject: RCPT from MONDOMAINE.fr[MONIP]: 554 5.7.1 <dng293@ara.seed.net>: Relay access denied; from=<wqbjdfooetppypa362@163.com> 

to=<dng293@ara.seed.net> proto=SMTP helo=<MONDOMAINE.fr>
Oct  2 10:35:15 MONDOMAINE postfix/smtpd[27247]: NOQUEUE: filter: RCPT from MONDOMAINE.fr[MONIP]: <wqbjdfooetppypa362@163.com>: Sender address triggers FILTER amavis:[127.0.0.1]:10026; 

from=<wqbjdfooetppypa362@163.com> to=<hhmoon@ara.seed.net> proto=SMTP helo=<MONDOMAINE.fr>
Oct  2 10:35:15 MONDOMAINE postfix/smtpd[27247]: NOQUEUE: filter: RCPT from MONDOMAINE.fr[MONIP]: <wqbjdfooetppypa362@163.com>: Sender address triggers FILTER amavis:[127.0.0.1]:10024; 

from=<wqbjdfooetppypa362@163.com> to=<hhmoon@ara.seed.net> proto=SMTP helo=<MONDOMAINE.fr>
Oct  2 10:35:15 MONDOMAINE postfix/smtpd[27247]: NOQUEUE: reject: RCPT from MONDOMAINE.fr[MONIP]: 554 5.7.1 <hhmoon@ara.seed.net>: Relay access denied; from=<wqbjdfooetppypa362@163.com> 

to=<hhmoon@ara.seed.net> proto=SMTP helo=<MONDOMAINE.fr>
Oct  2 10:35:16 MONDOMAINE postfix/smtpd[27247]: disconnect from MONDOMAINE.fr[MONIP]

Pour monter mon serveur j'ai suivi le tuto suivant:
https://www.howtoforge.com/perfect-serv … spconfig-3
Comment faire pour bloquer ce genres de choses ?
Auriez-vous une idée ?
Clamav ne trouve aucuns trojan ou virus...

Si je ne trouve pas une solution avec 48h Online coupe mon serveur...

Hors ligne

#3 Le 02/10/2015, à 11:16

doesit

Re : [RESOLU] Alerte Spamcop et ban définitif des IP récidivistes

Pour info soici le resultat de postconf -n:

alias_database = hash:/etc/aliases, hash:/var/lib/mailman/data/aliases
alias_maps = hash:/etc/aliases, hash:/var/lib/mailman/data/aliases
append_dot_mydomain = no
biff = no
body_checks = regexp:/etc/postfix/body_checks
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
content_filter = amavis:[127.0.0.1]:10024
dovecot_destination_recipient_limit = 1
header_checks = regexp:/etc/postfix/header_checks
html_directory = /usr/share/doc/postfix/html
inet_interfaces = all
inet_protocols = all
mailbox_size_limit = 0
maildrop_destination_concurrency_limit = 1
maildrop_destination_recipient_limit = 1
message_size_limit = 0
mime_header_checks = regexp:/etc/postfix/mime_header_checks
mydestination = localhost, localhost.localdomain
myhostname = MONDOMAINE.fr
mynetworks = 127.0.0.0/8 [::1]/128
myorigin = /etc/mailname
nested_header_checks = regexp:/etc/postfix/nested_header_checks
owner_request_special = no
proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks
readme_directory = /usr/share/doc/postfix
receive_override_options = no_address_mappings
recipient_delimiter = +
relay_domains = mysql:/etc/postfix/mysql-virtual_relaydomains.cf
relay_recipient_maps = mysql:/etc/postfix/mysql-virtual_relayrecipientmaps.cf
relayhost =
smtp_tls_protocols = !SSLv2,!SSLv3
smtp_tls_security_level = may
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
smtpd_client_message_rate_limit = 100
smtpd_client_restrictions = check_client_access mysql:/etc/postfix/mysql-virtual_client.cf
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_path = private/auth
smtpd_sasl_type = dovecot
smtpd_sender_restrictions = check_sender_access regexp:/etc/postfix/tag_as_originating.re, permit_mynetworks, permit_sasl_authenticated, check_sender_access mysql:/etc/postfix/mysql-virtual_sender.cf, check_sender_access regexp:/etc/postfix/tag_as_foreign.re
smtpd_tls_cert_file = /etc/postfix/smtpd.cert
smtpd_tls_key_file = /etc/postfix/smtpd.key
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2,!SSLv3
smtpd_tls_security_level = may
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_use_tls = yes
transport_maps = hash:/var/lib/mailman/data/transport-mailman, proxy:mysql:/etc/postfix/mysql-virtual_transports.cf
virtual_alias_domains =
virtual_alias_maps = hash:/var/lib/mailman/data/virtual-mailman, proxy:mysql:/etc/postfix/mysql-virtual_forwardings.cf, proxy:mysql:/etc/postfix/mysql-virtual_email2email.cf
virtual_gid_maps = static:5000
virtual_mailbox_base = /var/vmail
virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql-virtual_domains.cf
virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailboxes.cf
virtual_transport = dovecot
virtual_uid_maps = static:5000

Hors ligne

#4 Le 03/10/2015, à 16:07

LeoMajor

Re : [RESOLU] Alerte Spamcop et ban définitif des IP récidivistes

Bonjour,

fail2ban fonctionne normalement, mais ne peut pas pallier à tous les problèmes. Il bannit et enlève le bannissement, selon la configuration que tu lui as donnée

A quoi correspondent les adresses ?

19 attaques venant de Hong Kong, 8 Chine, 2 Taïwan 

clear; awk '/[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+/ { geo[$NF]++ }; END { for (ip in geo) { "geoiplookup -f /usr/share/GeoIP/GeoLiteCity.dat " ip | getline map; print geo[ip]" attaques/ "ip" "map  } } ' /tmp/fail2ban.log
..
2 attaques/ 116.228.1.108 GeoIP City Edition, Rev 1: CN, 23, Shanghai, Shanghai, N/A, 31.045601, 121.399696, 0, 0
2 attaques/ 202.120.51.86 GeoIP City Edition, Rev 1: CN, 23, Shanghai, Shanghai, N/A, 31.045601, 121.399696, 0, 0
2 attaques/ 125.227.217.174 GeoIP City Edition, Rev 1: TW, N/A, N/A, N/A, N/A, 23.500000, 121.000000, 0, 0
2 attaques/ 59.47.0.150 GeoIP City Edition, Rev 1: CN, 19, Liaoning, Shenyang, N/A, 41.792198, 123.432800, 0, 0
19 attaques/ 43.229.53.47 GeoIP City Edition, Rev 1: HK, 00, N/A, Tsuen Wan, N/A, 22.366699, 114.099998, 0, 0
2 attaques/ 218.65.30.92 GeoIP City Edition, Rev 1: CN, 03, Jiangxi, Nanchang, N/A, 28.549999, 115.933296, 0, 0

Dans googlemaps, ensuite tu as juste à insérer directement la latitude:longitude, sous la forme "31.045601, 121.399696"

Au plus pressé, pour interdire une IP d'accès

sudo iptables -I INPUT -s 11.22.33.44 -j DROP

Pour certains pays comme la Chine, le mod geoip d'iptables, est plus adapté. La Chine est un très gros pourvoyeur d'attaques informatiques. ( map.norsecorp.com, map.norsecorp.com/v1)

iptables -m geoip --help

installation du module geoip d'iptables

sudo apt-get install iptables-dev pkg-config debhelper module-assistant xtables-addons-common xtables-addons-source libtext-csv-xs-perl linux-headers-`uname -r` unzip
sudo mkdir /usr/share/xt_geoip
sudo /usr/lib/xtables-addons/xt_geoip_dl
sudo /usr/lib/xtables-addons/xt_geoip_build -D /usr/share/xt_geoip *.csv

Ensuite, il te suffira de scripter un truc du genre

sudo iptables -N GEOIP_DENY
sudo iptables -I GEOIP_DENY -m geoip --src-cc CN -j REJECT
...
# Insérer à la ligne 1 par exemple, plutôt qu'ajouter, pour être sûr que la règle sera évaluée.
sudo iptables -I INPUT 1 -j GEOIP_DENY
#sudo iptables -A INPUT -j GEOIP_DENY

Listé sur BARRACUDA
Listé sur SPAMHAUS-ZEN

-> il faut te faire enlever de ces rbl. (rbl removal request)

smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf

check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf à supprimer

MESSAGE FROM SPAMCOP:

CLICK 'BACK' BUTTON TO RETURN TO SPAMCOP
################################################################################
Received: from MONDOMAINE (MONIP) by admin.jettfuel.net with
SMTP (EIMS X 3.3.9) for <x>;
Thu, 1 Oct 2015 22:01:49 -0500
Message-ID: <OKXQ_________________CBLE@163.com>
From: "207.200.17.131" <ycinyjifojgdjf@163.com>
Reply-To: "207.200.17.131" <wpanudluxszf@163.com>
To: x

log incomplet, pour session smtp incomplète.
et x ? toto@mydomain.tld ?

Si le récipient est valide et que permit_auth valide, la session smtp valide à son tour. Cela veut dire que dans l'injection du DATA/Telnet, il peut y avoir n'importe quoi ( par exemple, from du data != mail from, ou rcpt du data != rcpt to).  Cependant, la session smtp de réception, utilisée à contre-emploi (session d'envoi), va générer du courrier indésirable, à destination interne (permit_auth correspond à rcp to $mydestination, ou postfix est la destination finale). Le message donc, ne sort pas, pour aller sur un autre MTA. Pour moi, cela ne peut pas expliquer un blacklist BARRACUDA, SPAMHAUS-ZEN.

ISPCONFIG

désolé, je ne l'utilise pas.

Edit; j'ai la flemme de l'avoir indiqué; mais permit_auth=permit_auth_destination

Dernière modification par Tewis (Le 03/10/2015, à 16:47)

Hors ligne

#5 Le 03/10/2015, à 23:23

LeoMajor

Re : [RESOLU] Alerte Spamcop et ban définitif des IP récidivistes

163.com

j'ai l'impression que ceux là vont te casser les pieds. Utilise le mod geoip d'iptables.

dig A 163.com +short | awk '{mx[$NF]+=( sub(/\.$/,"",$NF) )}; END { for (item in mx) { "geoiplookup -f /usr/share/GeoIP/GeoIP.dat " item | getline map; print item" "map; system("dig a " item " +short ") }} '

123.58.180.7 GeoIP Country Edition: CN, China
123.58.180.7
123.58.180.8 GeoIP Country Edition: CN, China
123.58.180.8

dig mx 163.com +short | awk '{mx[$NF]+=( sub(/\.$/,"",$NF) )}; END { for (item in mx) { "geoiplookup -f /usr/share/GeoIP/GeoIP.dat " item | getline map; print item" "map; system("dig a " item " +short ") }} '

163mx03.mxmail.netease.com GeoIP Country Edition: CN, China
220.181.14.164
220.181.14.161
220.181.14.158
220.181.14.163
220.181.14.159
220.181.14.160
220.181.14.156
220.181.14.162
220.181.14.157
163mx02.mxmail.netease.com GeoIP Country Edition: CN, China
220.181.14.149
220.181.14.144
220.181.14.148
220.181.14.146
220.181.14.150
220.181.14.155
220.181.14.147
220.181.14.154
220.181.14.145
163mx01.mxmail.netease.com GeoIP Country Edition: CN, China
220.181.14.135
220.181.14.137
220.181.14.138
220.181.14.140
220.181.14.141
220.181.14.143
220.181.14.139
220.181.14.136
220.181.14.142
163mx00.mxmail.netease.com GeoIP Country Edition: CN, China
123.125.50.140
123.125.50.139

Hors ligne

#6 Le 05/10/2015, à 12:05

doesit

Re : [RESOLU] Alerte Spamcop et ban définitif des IP récidivistes

Super, un grand merci pour ton analyse Tewis, je vais suivre tes conseils et plus particulièrement mettre en place un filtrage via geoip.
Reste à voir si j'arriverai à laisser passer les mails des sites asiatiques comme banggood ou autres allbuy...
Je vais voir pour supprimer : check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf
si ISPconfig ne bug pas après suppression.

Je vais BAN les IP de chez 163.com avant de bosser sur le mod geoip.

Encore merci Tewis

Hors ligne

#7 Le 08/10/2015, à 13:34

doesit

Re : [RESOLU] Alerte Spamcop et ban définitif des IP récidivistes

Je clos le post car avec les filtres ajouter grâce à Tewis, mon serveur ne remonte presque plus d'ip BAN et il commence à être retirer automatiquement des site anti-spams.

Hors ligne

Pages : 1