Ubuntu-fr

28marc28

gros problème postfix hacké

Bonsoir ou bonjour (2h du mat),

cela fait de puis hier matin que je cherche...

J'ai un peu avancé, mon serveur envoi des mails tout seul, il a finit par bloquer mon smtp free ...

ce matin j'avais plus de 20000 mails en attente ...

J'ai couper la freebox et couper tout les ordi du réseau sauf le serveur et patatra il continue a remplir la liste d'attente.

Donc je suppose, qu'il y a eu intrusion et qu'il y a eu installation d'un prog qui essaye d'envoyer les mails.

Pouvez-vous m'aider à le trouver et le foutre en l'air, voir trouver la faille avec moi ???

Par avance merci.

28marc28

Dernière modification par slasher-fun (Le 08/12/2013, à 12:05)

28marc28

Re : gros problème postfix hacké

J'ai des serveurs html dessus j'ai arrete aussi apache pour vois si cela ne venait pas de la, ca continue.

Je me retrouve avec 30 ou 40 mails par secondes ...

nesthib

Re : gros problème postfix hacké

Il est probable que ton serveur agisse comme un relai ouvert.
Est-ce que tu peux donner un extrait des logs de postfix (généralement /var/log/mail.log) ? Poste aussi le contenu du fichier de configuration de postfix.

---

GUL Bordeaux : Giroll – Services libres : TdCT.org
Hide in your shell, scripts & astuces :  applications dans un tunnel – smart wget – trouver des pdf – install. auto de paquets – sauvegarde auto – ♥ awk
  ⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn

28marc28

Re : gros problème postfix hacké

Merci pour ta reponse nesthib,

Oui je peux en prendre un petit bout car il fait 1Go9 ....

Relais ouvert je suis pas sur car la box débranché cela continue.

dsn=4.7.0, status=deferred (delivery temporarily suspended: host smtp.free.fr[212.27.48.4] refused to talk to me: 421 4.7.0 smtp3-g21.free.fr Error: too many connections from 88.123.140.37)
Oct 20 09:07:35 sweb1 postfix/qmgr[4002]: 8671246A448: from=<vilma_burris@mondomaine.com>, size=933, nrcpt=1 (queue active)
Oct 20 09:07:35 sweb1 postfix/qmgr[4002]: 8B7A7433F7E: from=<melba_glenn@mondomaine.com>, size=920, nrcpt=1 (queue active)
Oct 20 09:07:35 sweb1 postfix/error[1927]: 8C07443E47A: to=<xxxxxxxx@netscape.net>, relay=none, delay=160553,

bruno

Re : gros problème postfix hacké

Donne-nous plutôt ta configuration postfix :

postfix -n

Là dans l'extrait des logs que tu donnes on voit juste que smtp.free.fr refuse tes envois car il a eu trop de connexions.

En attendant :

sudo service postfix stop

pour arrêter le serveur et si nécessaire :

sudo postsuper - d all

pour supprimer tous les courriels dans la file d'attente de postfix (ils seront perdus).

PS : ton IP est déjà répertoriée sur plusieurs liste noires (test ici).

Dernière modification par bruno (Le 23/10/2013, à 09:59)

28marc28

Re : gros problème postfix hacké

bonjour Bruno et merci,

l'instruction postfix ne fonctionne pas ...

voici la réponse que j'obtiens :

postfix: invalid option -- 'n'

Cela me fait penser à un remplacement ...

bruno

Re : gros problème postfix hacké

Au temps pour moi ! Je voulais écrire :

postconf -n

28marc28

Re : gros problème postfix hacké

le voici:

root@sweb1:/var/transfert/mail# postconf -n
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
bounce_queue_lifetime = 5d
config_directory = /etc/postfix
content_filter = smtp-amavis:[127.0.0.1]:10024
default_transport = smtp
delay_warning_time = 4h
local_transport = virtual
maximal_queue_lifetime = 5d
mydestination = domaine1.com,domaine2.com,domaine3.com,domaine4.fr,domaine5.com,domaine6.org,domaine7.com
mydomain = domaine1.com
myhostname = smtp.domaine1.com
mynetworks = 127.0.0.0/8, [::ffff:127.0.0.0]/104, [::1]/128, 192.168.3.0/24
mynetworks_style = subnet
myorigin = domaine1.com
relay_recipient_maps = mysql:/etc/postfix/mysql_relay_domains.cf
relayhost = smtp.free.fr
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, sleep 1, reject_unauth_pipelining
smtpd_helo_restrictions = reject_invalid_helo_hostname
smtpd_recipient_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_unlisted_recipient,reject_unknown_recipient_domain, reject_non_fqdn_recipient,reject_unauth_destination
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_path = private/auth
smtpd_sasl_type = dovecot
smtpd_sender_restrictions = reject_unlisted_sender, reject_unknown_sender_domain, permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_sender
virtual_alias_maps = mysql:/etc/postfix/mysql_virtual_alias_maps.cf
virtual_gid_maps = static:5000
virtual_mailbox_base = /home/vmail
virtual_mailbox_domains = mysql:/etc/postfix/mysql_virtual_mailbox_domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf
virtual_uid_maps = static:5000

bruno

Re : gros problème postfix hacké

A priori ce n'est pas un relais ouvert. Mais…
Pourquoi autant de domaines dans mydestination puisque tu sembles utiliser une base mysql pour gérer les utilisateurs et les domaines ?
Où sont les directives indiquant l'emplacement des clefs/certificat pour l’authentification SASL ? Je ne les vois pas…

Il faut que tu examines attentivement tes logs pour voir quelle machine (ip) et quel utilisateur s'est connecté pour envoyer tous ces courriels.
Tu as peut-être une machine vérolé sur ton réseau local ou un couple utilisateur/mot de passe faible qui a été compromis.

28marc28

Re : gros problème postfix hacké

Pour te répondre simplement:

Pourquoi autant de domaines dans mydestination puisque tu sembles utiliser une base mysql pour gérer les utilisateurs et les domaines ?

**J'heberge plusieurs domaines, tout simplement.

Où sont les directives indiquant l'emplacement des clefs/certificat pour l’authentification SASL ? Je ne les vois pas…

**J'utilise pas sasl, simplement le mot de passe pour le pop et le smtp.

Il faut que tu examines attentivement tes logs pour voir quelle machine (ip) et quel utilisateur s'est connecté pour envoyer tous ces courriels.
Tu as peut-être une machine vérolé sur ton réseau local ou un couple utilisateur/mot de passe faible qui a été compromis.

**J'ai déjà fait tout cela, et cela vient, a priori du serveur tout seul (tout seul sur le reseau box débranché, cela continu)

pires57

Re : gros problème postfix hacké

Tu aurais pas un script qui tourne en boucle et balance les mails sur le serveur?

---

Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

28marc28

Re : gros problème postfix hacké

merci pires57 pour ta réponse,

c'est ben ce que je pense, le seul truc c'est que je n'arrive pas à le trouver.(suis pas asser callé en linux ...)

bruno

Re : gros problème postfix hacké

Est-ce qu'il y a un serveur web sur la me machine ?
Le fait que "cela continue" alors que le serveur est déconnecté du réseau, c'est simplement que les courriels sont en file d’attente et que postfix essaie régulièrement de les renvoyer.
Le mieux serait quand me que tu nous copies quelue part les logs complets.

28marc28

Re : gros problème postfix hacké

@Bruno,

alors oui il y a les web des noms de domaine, j'ai fais des essais en arretant apache.
Et en purgent la file d'attente et c'est pareil.

Concernant le log il fait 1Go9 je ne sais pas trop comment te le mettre à dispo, en ftp ce sera trop long.

bruno

Re : gros problème postfix hacké

Si les sites web utilisent postfix pour envoyer des courriels cela peut venir de là : site compromis, script d'envoi de courriel ou formulaire mal codé.
Maintenant si tu dis que cela recommence après avoir arrêté Apache et purgé la file d'attente c'est beaucoup plus inquiétant. Il faut voir la suggestion de Pires57 : examiner la liste des processus tournant sur la machine et encore une fois la partie de mail.log au moment ou l'envoi de courriels recommence.

pires57

Re : gros problème postfix hacké

renvois le retour des commandes suivante sur ton serveur:

top
ps aux

---

Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

Pseudo supprimé

Re : gros problème postfix hacké

today, yesterday; le jour où tu penses avoir été attaqué.

sudo pflogsumm -d today  /var/log/mail.log -u 4 -h 4 --problems_first

regader la plage horaire correspondante aux hostilités & bounces et faire un

more +/"Oct 23 01: example" /var/log/mail.log

en espèrant tomber sur l'évènement qui est à l'origine de la réaction en chaîne.

Reste à voir selon les résultats, s'il ne s'agir pas d'autres choses.
a/ filtrage
b/ fréquence des requêtes inadéquate sur un relais (voir *_destination_rate_delay = 1)
c/ saturation de la modélisation par relais; utiliser un relais pour plusieurs domaines de messagerie, devient inadéquate, selon les besoins. add-on services; sympa, mailman, newsletters ?
d/ attaques & connexions parallèles;  (voir *_destination_concurrency_limit = 5 )
e/ fail2ban enraye la plupart des déconvenues smtp.
exemple;
/etc/fail2ban/filter.d/postfix.conf

failregex = reject\: RCPT from .*\[<HOST>\]: .*: Relay access denied
		lost connection after RCPT from (.*)\[<HOST>\]
		disconnect from (.*)\[<HOST>\]
		warning: Connection rate limit exceeded (.*)\[<HOST>\]

/etc/fail2ban/filter.d/sasl.conf

failregex = warning:(.*)\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed: authentication failure

jail.local

[postfix]

#OK fonctionne, répond indirectement à une attaque hydra. 
enabled  = true
port	 = "25,465,587"
filter   = postfix
# filter RELAY DENIED + lost connection after RCPT from + disconnect from 
logpath  = /var/log/mail.log
findtime = 20
maxretry = 20
bantime  = 1800
#OK fonctionne action   = iptables-multiport[name=postfix, port="25,465,587", protocol=tcp]
action   = iptables-multiport[name=postfix, port="25,465,587", protocol=tcp]
 mail-whois-lines[name=%(__name__)s, dest=%(destemail)s, logpath=%(logpath)s]

[sasl]

#ok TOUT fonctionne 
enabled  = true
protocol = tcp
port	 = "imap2,imaps,smtp,submission,ssmtp"
filter   = sasl
#filter SASL AUTH LOGIN
logpath  = /var/log/mail.log
findtime = 20
maxretry = 10
bantime  = 1800
action   = iptables-multiport[name=sasl, port=%(port)s, protocol=%(protocol)s]
 mail-whois-lines[name=%(__name__)s, dest=%(destemail)s, logpath=%(logpath)s]

f/...etc