Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2281 connectés 

  FORUM HardWare.fr
  Windows & Software

  ip blacklistée, comment diagnostiqué le probleme sur un réseau?

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

ip blacklistée, comment diagnostiqué le probleme sur un réseau?

n°2305498
hep8
Posté le 26-01-2006 à 15:55:12  profilanswer
 

Bonjour a tous,
 
J'ai un enorme probleme a mon boulot, notre IP internet a été blacklistée sur plusieur site!!!
On s'est deja déblacklisté, mais on se fait reblacklister dans les heures qui suivent, et il nous menace maintenant de ne plus nous déblacklister si on ne regle pas le problème...
 
Si je comprend bien, nous somme considéré comme spameur... c'est ca???
 
Comment diagnostiquer le probleme?
Comment on "sniffe" tout un réseau? (pour trouver les machine infectées)
Comment on snif une interface choisie (d'un pc, d'un serveur, switch,...) a partir de mon poste de travail?
Comment empecher que l'on se serve de notre serveur mail pour spamer?
 
Config:
 
Réseau ethernet.
Serveur Windows 2000 avec Exghange, DNS, DHCP Active directory.
D'autre serveur Windows (2000, 2003), d'autre serveur linux.
Poste de travail en 98 (encor une 50ene) en 200 et xp (la majorité 200PC).
Serveur firewall (interscan viruswall 5) (mandrake 10.0)
Voila en gros...
 
J'ai du mal a saisir le probleme et je ne sais par ou commencer!
 
Merci de m'aider!

mood
Publicité
Posté le 26-01-2006 à 15:55:12  profilanswer
 

n°2305615
cbo59
Posté le 26-01-2006 à 17:24:10  profilanswer
 

Je pense que tu aurais plus de chance si tu mettais ton post dans la section réseau...
Bonne chance.
 
Cyril.
 

n°2305632
chailloug
où est passé mon temps libre ?
Posté le 26-01-2006 à 17:39:39  profilanswer
 

dans les logs de ton firewall t'as rien  comme information ?

n°2305668
raphaeldav​id
Posté le 26-01-2006 à 18:08:23  profilanswer
 

Salut,
 
d'après moi , ton serveur exchange (SMTP) n'est pas en relais fermé.  
Ce qui veux dire qu'on peut envoyer des messages à partir de ceux-ci sans être sur ton réseau...
 
Essais ça en 1er lieu
 
teste le  
http://vsmtp.pagasa.net/
 
2ement ( si il est ouvert) ferme le
 
http://www.unixwiz.net/techtips/ex [...] relay.html

n°2305731
hep8
Posté le 26-01-2006 à 19:06:47  profilanswer
 

Je regarde tout ca demain et je vous dit quoi!
 
Merci.

n°2306460
hep8
Posté le 27-01-2006 à 15:41:23  profilanswer
 

J'ai fais ce que vous me conseilliez, mais je ne me trouve pas plus avancé.
 
-Tout d'abord, les logs du firewall:
 
Trend Micro Interscan Viruswall

Spoiler :

Log «smtp export » :
 
Log de spam (commence en mai, 5500 alert jusqu'aujourd'hui, pas d'augmentation depuis les problemes):
 
...
2006/01/27 06:15:24 GMT+01:00,yipvqvnswrhtnx@hotmail.com,nathalie.dupont@MonDomaine.be,Re [10],Quarantine
...
2006/01/25 20:13:00 GMT+01:00,uefhzgscycb@hotmail.com,michelledupont@MonDomaine.be,Our Replica Classics watches are almost everlasting. You can pass them from generation to generation.,Quarantine
...
 
Log de virus (commence en mai, 2300 alert jusqu'aujourd'hui, pas d'augmentation depuis les problemes):
 
...
2006/01/27 13:44:29 GMT+01:00,//home.info@misc.irisnet.be,marc.dupont@MonDomaine.be,Shocking document,WORM_NETSKY.P,Clean,Quarantine
...
 
Log de content filter (commence en mai, 400 alert jusqu'aujourd'hui, pas d'augmentation depuis les problemes):
 
...
2006/01/25 16:09:29 GMT+01:00,christiane.Dupont@verviers.be,"Dupont Pierre" &lt / pierre.dupont@MonDomaine&gt / , ,Not Modified,Delete
...
 
Log de File Blocking :
 
Rien depuis juin dernier ! (Youpieeee !)
 
Log de url Blocking :
 
Rien depuis juin dernier ! (Encore youpieeee !)


"Dupont" et "Mondomaine" sont de moi! ;-)
 
Seulment ces logs ne me dise pas grand chose, je n'ai bien sur mis que des exemple de ce que j'y trouve.
Qu'en penssez vous?
 
-Ensuite j'ai fais les teste sur le sit et le serveur est bien en relais fermé.
 
Pour que vous compreniez ma situation, sachez que je suis a ce poste d'administrateur (mon premier emploi!) depuis moin de 2 mois, ce qui explique que je sois un peu perdu!
 
PS Dois-je poster dans la partie réseau? Comme le propose cbo59?


Message édité par hep8 le 27-01-2006 à 15:43:26
n°2306487
L'apatride
Posté le 27-01-2006 à 16:05:26  profilanswer
 

Je te conseille de mettre une machine equipee d un firewall entre le routeur et le "modem" (en gros en derniere position avant l exterieur), de bloquer les ips de tous les sites qui te blacklistent et de surveiller le log, cela devrait t informer sur les sources du probleme et eviter que les proprietaires des sites en question ne se fachent definitivement.
 
Par firewall j entend bien sur un vrai firewall genre zonealarm ou sygate. Tu peux aussi te monter une machine en bridge (un vieux clou sous linux fait l affaire) equipee d un firewall (iptables ou, plus simple, shorewall) et d un soft de capture de packets tcp/ip (type ethereal), l avantage de ce genre de config est qu il suffit de l intercaler dans une portion de reseau pour avoir un log de tout ce qui transite par cette portion, bref, un outil (presque) indispensable pour tout admin reseau

n°2307321
intrus34
Posté le 28-01-2006 à 16:37:46  profilanswer
 

donnez moi l'adresse de votre serveur je vais vous dire ce qui va pas :D

n°2307329
intrus34
Posté le 28-01-2006 à 16:43:28  profilanswer
 

PS: si vous etes pas sur de la config de votre SMTP mieux vaut faire transiter vos mails par le SMTP de votre FAI, ça évite d'etre blacklisté a vie par n'importe quel domaine... l'option sous exchange bah je sais plus comment ça s'appelle...

n°2308988
hep8
Posté le 30-01-2006 à 12:37:52  profilanswer
 

J'ai sniffer un peu, et ce que j'en ressort pour le moment, c'est un poste de travail du reseau qui fait plein de requete arp vers toutes les machines (broadcast)...
 
Ca veut dire quoi ces requete arp ... et puis au fond, je cherche quoi exactement en sniffant?

mood
Publicité
Posté le 30-01-2006 à 12:37:52  profilanswer
 

n°2308998
Walk_Man
To live is to die.
Posté le 30-01-2006 à 12:47:09  profilanswer
 

alors amha
 
1/ vire la mandrake et fou debian ou freebsd pour ta gate ca sera un bon début.
2/ installer un antivirus sur ton parc. (si ce n'est deja fait mais tu n'en parles pas), ou alors scan tes machines avec secuser.com/antivirus.
3/ si une machine te parrait douteuse, débranche la et ensuite renseigne toi. Mais ne la laisse pas tout te pourrir.
 
edit : et sur la machine firewall / gate, fait un gros travaille de regle, qu'est ce qui doit sortir oui non comment etc... Travaille de fourmis a faire effectivement mais qui va empecher tout les programmes non validés par tes soins (worms et autre joyeuseté entre autres) de communiquer avec l'exterieur.
 
edit2 : si les sites qui te bannent / blacklistent ont forcement des traces, des logs, a te donner, ils te blacklistent pas comme ca, demande leurs des traces completes de ce quui vient de chez toi, les en-tetes, les ports, blablablabla.


Message édité par Walk_Man le 30-01-2006 à 12:51:23
n°2311368
hep8
Posté le 01-02-2006 à 11:44:47  profilanswer
 

Apres quelque vérifications, j'ai du mettre des antivirus sur des machhines qui n'étaient pas protégées, notament celle dont je parle plus haut et qui floodais avec des requete arp. (on a une machine avec f-secure en serveur et tous les dérivés pourposte de travail, pour serveurs...)
 
Comme nous allons changer de FAI prochainement, et apres ces vérifications et une baisse significative du trafic réseaux, j'ai retiré nos IP des listes hier, et ca semble tenir. J'ai cependant une question sur une remarque de l'un de ces site. Je ne comprend pas ce dont il parle (en gras principalement):
 

Spoiler :

The misc.spam group is mostly (but not entirely) composed of entire addresses blocks that have a) sent spam here, b) have consecutive or missing reverse dns, and c) have no customer sub-delegation via either the controlling RIR (ARIN, RIPE, LACNIC, APNIC, etc) or an rwhois server referenced in the main RIR records.
 
In particular, ip.ip.ip.ip(adr de mon interface de sortie) has reverse dns of ip.ip-ip-ip.adsl-fix.skynet.be. If your domain name does not appear as the last components in any of those reverse dns names, that needs to be fixed first. Also, none of those names have a dns A record pointing to the original ip.ip.ip.ip.(adr de mon interface de sortie) That needs to be fixed. Any email sent to the address at the top of this page will be ignored until that is fixed.
 
In my opinion, the following comment also applies to static ip addresses, where the provider does not actually identify the user of that ip address by domain name.


 
je ne sais de quoi il parle, j'ai un domaine, un ip pour l'interface extérieur au réseau et il trouve que je suis chez skynet... que veut-il de plus? Que dois-je vérifier avant de les contacter?
 
Pour le firewall, vous me conseiller de bloquer tout et d'autoriser les application (=les ports) une a une? (pour repartir du bon pieds avec notre nouveau FAI)

n°2312664
intrus34
Posté le 02-02-2006 à 12:39:31  profilanswer
 

hep8 a écrit :


Spoiler :


In particular, ip.ip.ip.ip(adr de mon interface de sortie) has reverse dns of ip.ip-ip-ip.adsl-fix.skynet.be. If your domain name does not appear as the last components in any of those reverse dns names, that needs to be fixed first. Also, none of those names have a dns A record pointing to the original ip.ip.ip.ip.(adr de mon interface de sortie) That needs to be fixed. Any email sent to the address at the top of this page will be ignored until that is fixed.
 
In my opinion, the following comment also applies to static ip addresses, where the provider does not actually identify the user of that ip address by domain name.


 
je ne sais de quoi il parle, j'ai un domaine, un ip pour l'interface extérieur au réseau et il trouve que je suis chez skynet... que veut-il de plus? Que dois-je vérifier avant de les contacter?


 
Apparemment, par mesure de sécurité, peut etre excéssive, le serveur de ce domaine demande que vous
ayez un DNS dans lequel votre interface WAN est référencée en PTR et en A, c'est a dire il cherche votre adresse
IP, fait une requete DNS inverse (PTR) et regarde si l'un de ces enregistrements PTR correspond a votre
interface WAN (enregistrement A), en gros faudrait que  soit votre FAI gère le DNS de votre domaine, soit votre registrar s'il le fait, soit vous meme.
 

Citation :


Pour le firewall, vous me conseiller de bloquer tout et d'autoriser les application (=les ports) une a une? (pour repartir du bon pieds avec notre nouveau FAI)


 
ça dépend ce qu'on appelle tout bloquer...mais en gros vaut mieux pas rediriger des ports sur vos serveurs si c'est pas utile c'est sur.

n°2313057
hep8
Posté le 02-02-2006 à 18:28:43  profilanswer
 

Ok, je vois de quoi tu parle pour le dns, en théorie du moins, je vais aller voir ca plus en detail.
Faut que je vois un peu ce que j peux faire avec mon FAI.
 
Pour le firewall faudra donc passer un peu de temps pour le configurer au mieu.
 
Merci.


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software

  ip blacklistée, comment diagnostiqué le probleme sur un réseau?

 

Sujets relatifs
problème avec Nero 7reseau wifi et livebox
Reseau wifi visible mais impossible de se connecterProblème réseau mixte 2000/xp (ping ok, mais réseau pas vu...)
[Résolu] Afficher bureau PC sur un téléviseur via réseau Ethernetprobléme sauvegarde
les avantages de l'evolution du reseau informatiqueADSL + câble dans un réseau local
Probleme reseaux et livebox 
Plus de sujets relatifs à : ip blacklistée, comment diagnostiqué le probleme sur un réseau?


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR