Koozali.org: home of the SME Server
Other Languages => Français => Topic started by: momo2 on February 01, 2004, 08:46:40 AM
-
Bonjour,
je viens de me rendre compte que mon serveur sme utilise constament tout l'upload de ma connexion adsl et ce depuis dimanche midi :-o
est ce en rapport avec le virus mydoom ? et si oui comment faire pour le supprimer
quel antivirus pourrais je utiliser par la suite ( j'ai entendu parler de clamav )
faut il que je passe en sme 6.0 ? est ce que dans ce cas la , la sauvegarde du parametrage + comptes users du 5.5 peut etre recuperer sur la 6.0?
aider moi vite car actuellement j'ai du arreter le serveur
-
Bonjour,
je viens de me rendre compte que mon serveur sme utilise constament tout l'upload de ma connexion adsl et ce depuis dimanche midi :-o
est ce en rapport avec le virus mydoom ? et si oui comment faire pour le supprimer
quel antivirus pourrais je utiliser par la suite ( j'ai entendu parler de clamav )
faut il que je passe en sme 6.0 ? est ce que dans ce cas la , la sauvegarde du parametrage + comptes users du 5.5 peut etre recuperer sur la 6.0?
aider moi vite car actuellement j'ai du arreter le serveur
Bonjour aussi,
Pas de panique, si l'upload est utilisé, il y a plusiers possibilités :
1) Quelqu'un 'pompe' quelque chose sur ton serveur ... website, ftp, vpn ,... ? cela dépend de ta config.
2) Une machine client de ton réseau est la source du problème (possiblement infectée par un virus ... ou autre)
3) Envoi de mails en masse ... ?
4) Envoi de Fichiers en masse ... ?
En analysant les 'journaux' accessibles par le manager, tu sauras peut-être déterminer la cause ... c'est un premier pas.
Concernant Mydoom, le SME n'en a que faire, mais si tu as des machines 'client' sous 'Windows', la c'est une autre histoire ...
Hervé
-
Dans un cas pareil, il faut toujours penser à regarder le résultat de la commande netstat : elle permet presqu'à coup sûr de savoir d'où vient le problème.
-
Merci pour les réponses, je verifie tout cela aujourd'hui et je vous tiens au courant des résultats
par contre je vais peux etre en profiter pour passer le serveur en version 6.0, dans le cas d'un tel upgrade, tout les comptes users sont bien récupérer?
Est ce qu'une sauvegarde de sme 5.5 peut elle etre remis sur une 6.0?
-
Je n'ai pas trouvé dans l'affichage des logs dans la console pour netstat, comment procede t'on?
par contre j'ai trouvé dans un des logs qu'un port 4022 était ouvert, j'ai tester depuis un autre poste avec un scanner de port et j'ai effectivement trouvé ceci :
Connected: 25 mail
Connected: 80 http
Connected: 110 post office
Connected: 113 authentification service
Connected: 143 interactive mail
Connected: 389 Lightweight Directory Access Protocol
Connected: 443 https MCom
Connected: 4022 port non standart
je donnerais le nom du log ainsi qu'une petite copie de celui ci pour me dire ce que vous en penser
je recois actuellement des retours de mails qui ont été envoyés avec des noms inconnus provenant de mon domaine, en anglais pour la plupart, des spams mais aussi des messages m'indiquant que le message contenait un virus
je pense que mon serveur c'est fait piraté pour servir de base d'envoi de mails, j'aimerais bien comprendre la maniere qui à été utilisé pour cela afin que je puisse securisé un peu mieux le serveur pour l'avenir sachant que je n'ai pas de firewall derriere
petite question : pour installer spam assasin, il faut taper une ligne de commande, on la tape comment?
et est ce que le reglage de celui ci se rajoute ensuite dans la console d'administration web?
-
Bonjour
Pour spamassassin tu peut voir la
http://sme.swerts-knudsen.dk
Sweepy :pint:
-
Je n'ai pas trouvé dans l'affichage des logs dans la console pour netstat, comment procede t'on?
En ligne de commande, avec l'utilisateur root, tu tapes tout simplement netstat
je recois actuellement des retours de mails qui ont été envoyés avec des noms inconnus provenant de mon domaine, en anglais pour la plupart, des spams mais aussi des messages m'indiquant que le message contenait un virus
je pense que mon serveur c'est fait piraté pour servir de base d'envoi de mails, j'aimerais bien comprendre la maniere qui à été utilisé pour cela afin que je puisse securisé un peu mieux le serveur pour l'avenir sachant que je n'ai pas de firewall derriere
Tout de suite les grands mots... Un SME, ça ne se pirate pas comme ça ! :hammer:
Informe toi donc plutôt sur les vers qui circulent en ce moment, notamment myDoom et tu verras que ton serveur n'est aucunement en cause. :-P
-
ok je verifie avec netstat,merci
et pour l'histoire de serveur piraté, je disait cela surtout par rapport à l'upload constant depuis une semaine sachant que le ftp n'etait pas activé et que sur le site web il n'y a pas de fichier à telecharger et que je n'ai rien trouvé de remplacer sur le site
juste une question avec le login root, je dois l'utiliser uniquement sur le serveur? car j'ai bien essayer avec l'activation de ssh mais je n'y arrive pas, en mode telnet ou ftp il est ipmossible de se logger root apparement, admin fonctionne lui
-
juste une question avec le login root, je dois l'utiliser uniquement sur le serveur? car j'ai bien essayer avec l'activation de ssh mais je n'y arrive pas, en mode telnet ou ftp il est ipmossible de se logger root apparement, admin fonctionne lui
Le compte root est utilisable directement sur le serveur ou via SSH.
Le compte admin, pareil plus FTP, mail, manager, samba, etc.
-
Salut,
MyDoom fait des siennes :-) En cherchant un peu, j'ai constate que SME verifie uniquement l'adresse IP de l'emeteur pout permettre l'utilisation du service smtp (fichier /etc/tcprules/tcp.smtp). Du coup, un poste infecte envoie des mail a travers SME sous des identites farfelues, et ca passe !
Mon pb d'upload constant du sme ne serait il pas lié à cette utilisation du smtp? si c'est le cas le fait d'interdire l'utilisation du smtp depuis l'internet devrait suffire à supprimer le pb non? à moins que le pb vient d'un poste infecté sur le reseau mais je ne pense j'ai regardé et ils sont tous à jour avec avp
-
le fait d'interdire l'utilisation du smtp depuis l'internet devrait suffire à supprimer le pb non?
C'est une blague, hein ? :hammer: :hammer: :hammer:
Et si tu nous donnais le résultat de netstat, il serait nettement plus facile de diagnostiquer le problème ! :-P
-
Voila le resulat de netstat :
[root@servmail /root]# netstat
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 20 servmail.monsenb.ne:ssh pc-00135:3411 ESTABLISHED
tcp 0 0 servmail.monsenb.ne:www pc-00122:1119 FIN_WAIT2
tcp 0 0 localhost:http-admin localhost:1123 TIME_WAIT
tcp 0 0 localhost:http-admin localhost:1122 TIME_WAIT
tcp 0 0 servmail.monsenb.ne:www pc-00135:3410 TIME_WAIT
tcp 0 0 servmail.monsenb.ne:www pc-00135:3409 TIME_WAIT
tcp 0 0 localhost:http-admin localhost:1121 TIME_WAIT
tcp 0 0 servmail.monsenb.ne:www pc-00135:3407 TIME_WAIT
tcp 0 0 servmail.monsenb.ne:pop pc-00191:1105 TIME_WAIT
tcp 0 0 servmail.monsenb.ne:pop pc-00135:3405 TIME_WAIT
tcp 0 0 localhost:http-admin localhost:1117 TIME_WAIT
tcp 0 0 servmail.monsenb.ne:www pc-00135:3403 TIME_WAIT
tcp 0 0 servmail.monsenb.ne:www pc-00135:2162 FIN_WAIT2
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags Type State I-Node Path
unix 1 [ ] STREAM CONNECTED 1809 @000000fc
unix 1 [ ] STREAM CONNECTED 2144 @0000012b
unix 1 [ ] STREAM CONNECTED 2941 @0000014a
unix 1 [ ] STREAM CONNECTED 2150 @0000012c
unix 1 [ ] STREAM CONNECTED 2044 @00000121
unix 1 [ ] STREAM CONNECTED 1079 @00000089
unix 1 [ ] STREAM CONNECTED 1871 @00000104
unix 1 [ ] STREAM CONNECTED 3385 @00000168
unix 1 [ ] STREAM CONNECTED 1144 @00000096
unix 1 [ ] STREAM CONNECTED 1343 @000000b7
unix 1 [ ] STREAM CONNECTED 3386 /dev/log
unix 1 [ ] STREAM CONNECTED 2942 /dev/log
unix 1 [ ] STREAM CONNECTED 2151 /dev/log
unix 1 [ ] STREAM CONNECTED 2145 /dev/log
unix 1 [ ] STREAM CONNECTED 2045 /home/dns/dev/log
unix 1 [ ] STREAM CONNECTED 1872 /dev/log
unix 1 [ ] STREAM CONNECTED 1810 /dev/log
unix 1 [ ] STREAM CONNECTED 1344 /dev/log
unix 1 [ ] STREAM CONNECTED 1145 /dev/log
unix 1 [ ] STREAM CONNECTED 1080 /dev/log
unix 0 [ ] DGRAM 421
[root@servmail /root]#
-
J'ai enfin réussi à mettre à jour le serveur en version 6.0
voici maintenant le résultat de la commande netstat :
[root@servmail root]# netstat
Connexions Internet actives (sans serveurs)
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat
tcp 0 128 servmail.monsenb.ne:ssh 192.168.0.135:3003 ESTABLISHED
tcp 0 0 servmail.monsenb.ne:pop 192.168.0.198:1290 TIME_WAIT
tcp 0 0 servmail.monsenb.ne:pop 192.168.0.192:1045 TIME_WAIT
tcp 0 0 servmail.monsenb.ne:pop 192.168.0.135:1301 TIME_WAIT
Sockets du domaine UNIX actives(sans serveurs)
Proto RefCpt Indicatrs Type Etat I-Node Chemin
unix 11 [ ] DGRAM 778 /dev/log
unix 2 [ ] DGRAM 3212
unix 2 [ ] DGRAM 3185
unix 2 [ ] DGRAM 3058
unix 2 [ ] DGRAM 2995
unix 2 [ ] DGRAM 2550
unix 2 [ ] DGRAM 2162
unix 2 [ ] DGRAM 2074
unix 2 [ ] DGRAM 1714
unix 2 [ ] DGRAM 796
[root@servmail root]#
par contre j'ai controllé les ports ouverts à partir du réseau et il y a des ports utilisés dont je ne connais pas la fonction :
Connected: 22
Connected: 80
Connected: 110
Connected: 113
Connected: 139
Connected: 143
Connected: 389
Connected: 443
Connected: 515
Connected: 1723
Connected: 3128
Connected: 3306
-
Salut,
Peux-tu nous donner le résultat de la commande 'netstat -vap' ?
Ca nous permettrait de voir quel programme écoute sur quel port. ;-)
-
Bonjour,
j'ai tout réinstaller le serveur avec une installation complete en sme 6.0
je n'avais plus de pb jusque maintenant mais depuis samedi j'ai des messages qui sont envoyés depuis le serveur alors que le routeur pour le réseau local est coupé
lorsque je regarde dans les logs de messagerie, j'ai ces comptes qui apparaissent :
tries : comptes
191 local.<>@domaine.net
191 local.alias-localdelivery-<>@domaine.net
3641 local.root@domaine.net
3642 local.anonymous@domaine.net
3688 local.postmaster@domaine.net
3641 local.alias-localdelivery-root@domaine.net
3642 local.alias-localdelivery-anonymous@domaine.net
12450 remote.admin@domaine.fr ( !!! alors que mon domaine est en .net )
voici le résultat de la commande netstat -vap
[root@servmail root]# netstat -vap
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name
tcp 0 0 *:printer *:* LISTEN 1632/lpd Waiting
tcp 0 0 *:afpovertcp *:* LISTEN 2370/afpd
tcp 0 0 *:ldap *:* LISTEN 23958/slapd
tcp 0 0 *:smux *:* LISTEN 2271/snmpd
tcp 0 0 *:netbios-ssn *:* LISTEN 2215/smbd
tcp 0 0 *:pop *:* LISTEN 1510/tcpserver
tcp 0 0 *:imap2 *:* LISTEN 1445/tcpserver
tcp 0 0 *:www *:* LISTEN 1802/httpd
tcp 0 0 *:auth *:* LISTEN 588/oidentd
tcp 0 0 localhost:http-admin *:* LISTEN 2046/httpd-admin
tcp 0 0 servmail.monsenb:domain *:* LISTEN 1399/dnscache
tcp 0 0 servmail.monsenb.ne:ssh *:* LISTEN 1891/sshd
tcp 0 0 *:squid *:* LISTEN 2184/(squid)
tcp 0 0 *:smtp *:* LISTEN 1853/tcpserver
tcp 0 0 *:1723 *:* LISTEN 2350/pptpd
tcp 0 0 *:https *:* LISTEN 1802/httpd
tcp 0 0 servmail.monsenb.ne:pop 192.168.0.135:2363 TIME_WAIT -
tcp 0 0 servmail.mo:netbios-ssn 192.168.0.186:2485 ESTABLISHED 22960/smbd
tcp 0 0 servmail.mo:netbios-ssn 192.168.0.151:1039 ESTABLISHED 22106/smbd
tcp 0 144 servmail.monsenb.ne:ssh 192.168.0.135:2364 ESTABLISHED 22965/0
tcp 0 0 servmail.mo:netbios-ssn 192.168.0.135:1043 ESTABLISHED 22214/smbd
udp 0 0 servmail.mon:netbios-ns *:* 2246/nmbd
udp 0 0 *:netbios-ns *:* 2246/nmbd
udp 0 0 servmail.mo:netbios-dgm *:* 2246/nmbd
udp 0 0 *:netbios-dgm *:* 2246/nmbd
udp 0 0 localhost:2711 *:* 22106/smbd
udp 0 0 localhost:2713 *:* 22214/smbd
udp 0 0 localhost:2715 *:* 22960/smbd
udp 0 0 *:snmp *:* 2271/snmpd
udp 0 0 localhost:domain *:* 1556/tinydns
udp 0 0 servmail.monsenb:domain *:* 1399/dnscache
udp 0 0 *:icp *:* 2184/(squid)
Sockets du domaine UNIX actives(serveurs et établies)
Proto RefCpt Indicatrs Type Etat I-Node PID/Program name Chemin
unix 2 [ ACC ] STREAM LISTENING 613 375/cvm-unix-local /var/lib/cvm/cvm-unix-local.socket
unix 2 [ ACC ] STREAM LISTENING 2707 2113/mysqld /var/lib/mysql/mysql.sock
unix 2 [ ACC ] STREAM LISTENING 2890 2306/clamd /var/lib/clamav/clamd.sock
unix 13 [ ] DGRAM 738 423/syslogd /dev/log
unix 2 [ ACC ] STREAM LISTENING 2118 1632/lpd Waiting /var/run/lprng
unix 2 [ ] DGRAM 791479 23958/slapd
unix 2 [ ] DGRAM 2985 2370/afpd
unix 2 [ ] DGRAM 2978 2365/papd
unix 2 [ ] DGRAM 2947 2350/pptpd
unix 2 [ ] DGRAM 2884 2271/snmpd
unix 2 [ ] DGRAM 2720 2190/atalkd
unix 2 [ ] DGRAM 2702 2180/squid
unix 2 [ ] DGRAM 1792 1358/xinetd
unix 2 [ ] DGRAM 1723 1304/crond
unix 2 [ ] DGRAM 954 588/oidentd
unix 2 [ ] DGRAM 770 428/klogd
netstat: no support for AF IPX' on this system.
netstat: no support for AF AX25' on this system.
netstat: no support for AF X25' on this system.
netstat: no support for AF NETROM' on this system.
-
:-( personne n'a de solutions?
on ne peux plus envoyer de messages pour l'instant vu que j'ai supprimer l'adresse du smtp pour eviter l'envoi de mails par le serveur lui même.
j'ai besoin d'aide très vite svp :roll:
-
Rien de "bizarre" dans tes ports ouverts, à part peut-être ce qui concerne snmp...
En as tu vraiment besoin ? Mais bon, ce n'est pas le sujet ;-)
Es-tu sûr que ton upload provient d'un flux SMTP sortant ?
Autrement dit, si tu arrête qmail, est-ce que ton upload s'arrête ?
-
oui en arretant qmail le flux s'arrette, mais depuis la reinstallation je n'avais plus de pb, l'upload etait correcte et d'ailleur il l'est encore.
le pb est que si je met un serveur smtp valide dans la configuration, sme envoie des messages vers l'internet sans que celui ci ne soit connecter au réseau local, je m'en suis apercu en mettant un contrib de visualisation graphique par mrtg et la courbe de messages envoyé est constante ( environ 400 messages en 8 heures ), des que je supprime l'adresse smtp tout redevient normal.
le smtp est utilisé directement via le réseau local ( mais celui ci n'est pas en cause ) et via internet par webmail en https.
le probleme est que je ne sais pas du tout ce qui est envoyé comme mails et dans quel but ? ( spams ? )
comment avoir une copie des mails envoyés pour vérifier la nature des messages?
-
Qd tu dis :
le pb est que si je met un serveur smtp valide dans la configuration
c'est où exactement que tu mets un serveur smtp valide ?
SME n'est pas LE serveur smtp de ton réseau ?
-
non je n'ai pas de smtp, j'ai mis l'adresse indiqué par mon fournisseur d'acces oleane
et puis la je viens de voir que depuis 1 heure sme me bouffe de nouveau tout mon upload, je commence à en avoir ras le bol , ce serveur tournait depuis des mois sans probleme et depuis fin janvier c devenu une catastrophe même après une reinstallation complete en version 6 :-( :-(
-
non je n'ai pas de smtp, j'ai mis l'adresse indiqué par mon fournisseur d'acces oleane
et puis la je viens de voir que depuis 1 heure sme me bouffe de nouveau tout mon upload, je commence à en avoir ras le bol , ce serveur tournait depuis des mois sans probleme et depuis fin janvier c devenu une catastrophe même après une reinstallation complete en version 6 :-( :-(
Essaie de regarder un peu ce qui passe sur l'upload avec un tcpdump : ça te donnera peut-être un indice sur ce qui transite depuis ton smtp. :pint: