Discussion :

[Fredamorin]

Bonjour,
Voici mon problème. J'ai un serveur dédié chez OVH avec la solution PLESK installée.
J'ai des sites installés sur ce serveur.
un des domaines (foutu.com) est utilisé par des hackers pour envoyer des mails farfelus. Je reçois une cinquantaine de mails en retour ci-joint un exemple. J'efface la file d'attente qmail depuis ssh et voilà que ça recommence. La seule solution que je trouve sera de bloquer le port 25 et autoriser uniquement le port 587. Quelqu'un sait la commande en ssh? D'avance merci.

Exemple de mails que je reçois

Hi. This is the qmail-send program at ns1.monServeur.com.
I tried to deliver a bounce message to this address, but the bounce bounced!

<adeline_mcbride@foutu.com>:
Sorry. Although I'm listed as a best-preference MX or A for that host, it isn't in my control/locals file, so I don't treat it as local. (#5.4.6)

--- Below this line is the original bounce.

Return-Path: <>
Received: (qmail 18195 invoked for bounce); 11 May 2015 19:46:53 +0200
Date: 11 May 2015 19:46:53 +0200
From: MAILER-DAEMON@ns1.monServeur.com.
To: adeline_mcbride@foutu.com
Subject: failure notice

Hi. This is the qmail-send program at ns1.monServeur.com.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<righteousrat23@gmail.com>:
173.194.67.27 failed after I sent the message.
Remote host said: 550-5.7.1 [46.105.100.28 12] Our system has detected that this message is
550-5.7.1 likely unsolicited mail. To reduce the amount of spam sent to Gmail,
550-5.7.1 this message has been blocked. Please visit
550-5.7.1 http://support.google.com/mail/bin/a...&answer=188131 for
550 5.7.1 more information. ea1si952225wib.2 - gsmtp

--- Below this line is a copy of the message.

Return-Path: <adeline_mcbride@foutu.com>
Received: (qmail 11818 invoked by uid 33); 11 May 2015 19:42:45 +0200
Date: 11 May 2015 19:42:44 +0200
Message-ID: <20150511174244.11809.qmail@ns1.monServeur.com.>
To: righteousrat23@gmail.com
Subject: Your Most Affordable Erectile Dysfunction shop
X-PHP-Originating-Script: 33:gallery.php
From: "Adeline Mcbride" <adeline_mcbride@foutu.com>
Reply-To: "Adeline Mcbride" <adeline_mcbride@foutu.com>
X-Priority: 3 (Normal) MIME-Version: 1.0 Content-Type: text/html; charset="iso-8859-1" Content-Transfer-Encoding: 8bit

<div> Your Most Affordable Erectile Dysfunction shop - <a href="http://kupek.ru/components/com_newsfeeds/models/inc.html">try it yourself</a> </div>

[Fredamorin]

J'ai fait ceci mais cela ne marche pas. Le port 25 reste toujours ouvert. Quelqu'un a une idée? D'avance merci.

//INTERDIRE PORT 25
iptables -A INPUT -p tcp --dport 25 -j DROP
iptables -A INPUT -p udp --dport 25 -j DROP
iptables -A OUTPUT -p tcp --dport 25 -j DROP
iptables -A OUTPUT -p udp --dport 25 -j DROP

//Sauvegarder et redémarrer les services iptables
iptables-save
/etc/init.d/networking restart

[6carbon]

Le port 25 reste toujours ouvert

Si le part feu est bien configuré, le port 25 peut rester ouvert mais pas accessible, que donnent les commandes suivantes:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

netstat -antp | grep 25

et

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -L -n | grep 25

Etant donné que j'utilise postfix je ne saurais pas le faire avec qmail. Mais il est peut-être possible de configurer qmail pour ne délivrer des mails uniquement vers son réseau.

Est-ce-que tu es sûr que les spammeurs passent par le port 25? Le port officiel pour SMTP submission est le 587.

[netmonk]

Le mieux serait de trouver la faille et de la combler pour que les hackers ne passent plus pas ton site pour envoyer des mails.

Le port 25 des mails est le port sur lequel écoute un serveur de mail, donc l'on parle de mail entrant vers ton ou tes domaines.
Tu n'as pas besoin de serveur mail pour envoyer des mails.

Il faudrait que tu desactives la fonction mail de php si ton site utilise le php.

[Fredamorin]

Merci Netmonk de votre réponse.
Pourriez-vous me dire la commande depuis ssh pour interdire au serveur l'utilisation de php mail ?

D'avance merci

[netmonk]

Je te conseille vraiment de trouver la faille et de la patcher, il se peut que les utilisateurs du site oueb en question aient besoin d'envoyer des mails légitimement.

Ceci étant, la fonction mail() de php repose sur sendmail, le programme installé par défaut sur la majorité des systèmes unix/linux.
Il est indiqué dans le lien suivant une variable globale dans le fichier de configuration de php (php.ini) : sendmail_path
http://php.net/manual/fr/mail.config....sendmail-path

Il te suffit de trouver ce fichier et de rajouter/modifier la valeur de cette variable par "/bin/false" (ou "/bin/true") et de relancer ton service web (apache).

[Fredamorin]

J'utilise Qmail et non Sendmail.
Dans le php.ini, il n'y a pas la fonction sendmail-path
J'ai déplacé les sites sains vers un autre serveur le temps de trouver le fichier. Mais il est important de bloquer le php mail pour éviter que ce domaine envoie toujours 50'000 mails par jour. Si je ne fais pas cela en priorité, le serveur sera blacklisté partout.
Il y a -il une fonction même extrême pour interdire au serveur entier d'envoyer des mails?
Merci de votre aide

[Fredamorin]

Si le part feu est bien configuré, le port 25 peut rester ouvert mais pas accessible, que donnent les commandes suivantes:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

netstat -antp | grep 25

et

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -L -n | grep 25

Etant donné que j'utilise postfix je ne saurais pas le faire avec qmail. Mais il est peut-être possible de configurer qmail pour ne délivrer des mails uniquement vers son réseau.

Est-ce-que tu es sûr que les spammeurs passent par le port 25? Le port officiel pour SMTP submission est le 587.

Merci de ces réflexions. Le port 587 nécessite une authentification donc les spammeurs ne peuvent pas l'utiliser par contre, le port 25 lui n'en a pas besoin. C'est le nid des spammeurs. Par ailleurs, étant donné que les spammeurs utilisent un script php (php mailer) pour envoyer les mails, même lorsque j'ai fermé le serveur SMTP, les mails continuent à être envoyés. il faut bloquer la fonction php mail et la je coince un peu

[netmonk]

Si tu coinces, c'est que tu as mal lu mon précédent message.

Relis le bien et applique ce que je te suggère (ce n'est pas parce qu'une option n'existe pas dans un fichier de configuration qu'elle n'existe pas et qu'elle ne peut pas être rajoutée, le nom de l'option n'a rien à voir avec un nom de programme même si cela peut conduire à la confusion).

Je vais essayé d'être plus explicatif :
- le port 25 est utilisé pour les mails entrants. Par exemple pour ton domaine foutu.com, si tu veux recevoir des mails de gens de l’extérieur, à destination d'utilisateurs de ton domaine (par exemple toto@foutu.com) il te faut un serveur*(sendmail, postfix, qmail ....) qui écoute sur une adresse ip sur le port 25, cette adresse ip est renseignée dans ta zone dns dans le champ MX (Mail eXchange). Donc tout serveur extérieur relayant des mails vers ton domaine, ira faire une requête DNS de type MX*pour obtenir l’adresse IP*du serveur qui est cencé recevoir les mails pour le domaine en question. DONC*LE*PORT*25 n'est important que pour la réception de mail à destination de ton domaine.

- c'est le même principe pour le port 587. En fait le port 25 et le port 587 sont ce qu'on appelle des ports de soumissions c'est à les ports par défaut oû vont écouter les serveurs de mails pour recevoir les mails que les clients vont envoyer.
- dans le cas de l'envoi de mail, le port source n'a pas d'importance et donc est attribué aléatoirement par le système à partir duquel est envoyé le mail. Par contre le port destination sera le port 25 ou le port 587.

Donc à la rigueur ce n'est pas les INPUT*dans tes règles de FW*qu'il faut modifier, mais les OUPUTS, c'est à dire interdire toutes les sockets donc le port destination est 25 ou 587.
Sinon il te reste à bloquer la fonction mail()*dans php en passant par la variable de mon précédent message.

Petit edit :

Pour iptable, il est intéressant de logger les packets droppés histoire de voir si ta règle filtre bien du traffic illégitime pour cela il te faut créer :
- une nouvelle table LOGDROP :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptable -N LOGDROP

- tout ce qui rentre dans logging est loggé et droppé :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
iptables -A LOGDROP  -j LOG --log-prefix "IPTables-Dropped: "  
iptables -A LOGDROP -j DROP

- ensuite dans ta table output tout ce qui sort vers le port 25 et le port 587 tu le renvois dans LOGDROP*

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
iptables -A OUTPUT -p tcp --dport 25 -j LOGDROP
iptables -A OUTPUT -p tcp --dport 587 -j LOGDROP

(tu auras préalablement enlevé tes règles existantes en faisant un iptables -F*OUTPUT ou iptable -D OUTPUT #numéro-de-la-regle)

Et normalement si tu as un syslog bien configuré tu devrais avoir les messages dans /var/log/message ou /var/log/kernel.log du style :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

May 19 23:46:46 netmonk kernel: [60122.054628] IPTables-Dropped: IN= OUT=wlan0 SRC=192.168.12.32 DST=173.194.67.26 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=16914 DF PROTO=TCP SPT=38688 DPT=25 WINDOW=29200 RES=0x00 SYN URGP=0

[netmonk]

Pas d'update ?

[Fredamorin]

Bonjour Netmonk,
D'abord, je te remercie de tes conseils et instructions. C'est vraiment sympa.
La situation étant critique, j'étais obligé de me tourner vers une entreprise d'info gérance. L'administrateur réseaux est en train de regarder.
Je publierai ici, toute la procédure en détail, dès qu'il aura fini.

Meilleures salutations.

Désolé de la réponse tardive.

[netmonk]

Cool, j'espère qu'il va résoudre tes soucis !

[Michel]

Bonjour
Si je comprend bien, le site foutu.com expédie des mails n’importe où. Empêcher les mails de sortir ne va pas supprimer la cause et cela peut se produire sur d'autre site de ton serveur.
Cela pourrait provenir d'un script installé par un pirate sur ce site. Ce script lui permet de communiquer avec ton site pour envoyer des mails.
Donc, si c'est possible, vérifie les fichiers php installés (noms et tailles) ou réinstalle les versions originales après avoir supprimé tous les anciens.
Ensuite essaye de mettre le maximum de répertoires et fichiers en lecture seul pour empêcher les modifications indélicates et normalement cela devrait aller mieux.
Accessoirement, en analysant les logs du serveur apache, et le trafic tu peux essayer de retrouver l'auteur de ces exploits et porter plainte.

[Fredamorin]

Merci beaucoup. J'ai déplacé le domaine, car celui-ci utilise Wordpress et ses centaines de fichiers php ici là. Depuis que j'ai déplacé le domaine vers une autre machine dont le propriétaire est responsable, plus de problème. C'est la technique de la patate chaude