Mon serveur est détourné pour du spam !!!

[rudddy]

Bonjour,

j'ai vu récemment à de plusieurs reprises que mon IP est considéré comme spam par plusieurs fai, dont hotmail.fr, wanadoo et orange.

J'ai reçu un retour de mail en erreur :

j'ai regardé le message d'origine : ce n'est pas moi qui 'avait envoyé : c'était un spam (medHelp) et j'ai analysé les entêtes de ce mail :

Return-Path: <>
Delivered-To: 1-webmaster@monmail.fr
Received: (qmail 2038 invoked from network); 28 Mar 2008 18:12:55 +0100
Received: from mx.mailprotect.be (217.19.237.57)
by nsXXXXX.ovh.net.84.101.00.in-addr.arpa with SMTP; 28 Mar 2008 18:12:55 +0100
Received: by mx.mailprotect.be (Postfix)
id EC1B74A0151; Fri, 28 Mar 2008 18:09:59 +0100 (CET)
Date: Fri, 28 Mar 2008 18:09:59 +0100 (CET)
From: MAILER-DAEMON@mx.mailprotect.be (Mail Delivery System)
Subject: Undelivered Mail Returned to Sender
To: webmaster@monmail.fr
Auto-Submitted: auto-replied
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="5A1B64A021D.1206724199/mx.mailprotect.be"
Message-Id: <20080328170959.EC1B74A0151@mx.mailprotect.be>

et apparemment le spammeur a utilisé mon serveur pour faire son envoi !!!!

comment bloquer cela ???


Merci de votre aide !!

[finstreet]

bon courage pour sécuriser tes formulaires

[rudddy]

bon courage pour sécuriser tes formulaires

oui c'est vrai que j'ai un formulaire de contact sur mon site et je recois en ce moment une fois par jour une demande de spam avec des url ds mes champs de formulaire.

1- comment se protéger de cela ?
2- les spammeurs passent par là pour envoyer leur pourriel ?

[Bool]

Hello,

les causes les plus fréquentes :
- détournement d'un formulaire de contact sur un des sites
- serveur de mail en "open relay"
- "hack de la machine" pour faire tourner un outil dédié au spam

Maintenant es tu certain que le mail en question soit bien passé par ta machine ?

Edit : pour les formulaires de contact, c'est un grand classique. Il suffit d'interdire les retours chariot dans les différents champs (From / To / Sujet généralement) et c'est réglé.

[rudddy]

Hello,

les causes les plus fréquentes :
- détournement d'un formulaire de contact sur un des sites
- serveur de mail en "open relay"
- "hack de la machine" pour faire tourner un outil dédié au spam

Maintenant es tu certain que le mail en question soit bien passé par ta machine ?

oui suivant l'entête de ce mail : il comprend mon nom de sreveur : nsXXXX.ovh.net !!!

comment vérifier les 3 points que tu as précisés ???

[deathwish]

- serveur de mail en "open relay"

Le plus simple : vérifier que le serveur demande bien une authentification avant de donnée la possibilité d'envoyé un mail. (vous pouvez facilement tester ça avec un telnet addresse_du_serveur 25).

Ensuite, si il demande une authentification, regarder quelles utilisateurs ont le droits d'envoyer des mails (sous linux, à parts root et les logins d'utilisateurs, il faudrait tous les bloquer .... et en particulier l'utilisateurs nobody ... ).

- "hack de la machine" pour faire tourner un outil dédié au spam

Si la machine a été piraté, jeter un coup d'oeil dans les logs (/var/logs/)
(en espérant que la hacker ne c'est pas amusé à supprimer ses traces ^^).
Des logiciels peuvent analyser automatiquement les logs
Executer des logiciels du genre chkrootkit pour linux, qui permettent de savoir si un SK est passé par là ...

- détournement d'un formulaire de contact sur un des sites

Il y avait une faille dans php, qui permettait d'utiliser le champs de sujet, pour changer d'adresse de destination ... peut être faire une mise à jour.
Sinon, faire un preg_match("#^(.*)(to|from|cc|cci)(.*): (.*)$#i",$var) sur l'ensemble des champs (j'ai pas testé ma regexp, mais ça devrait être un truc du genre :p)

[rudddy]

voila réponse du support : vous en pensez quoi ?

Bonjour,

Si vous avez eu une personne se servant de votre serveur dédié générer du spam donc certainement l'ip n'est plus blanche. Par contre vérifiez bien que vous n'avez pas autoriser d'autre domaine a pouvoir utiliser le serveur de mail de votre machine. Ensuite je vous invite a vérifier votre serveur dédié pour controler votre site et vos scripts .

Je reste à votre disposition pour tout renseignement complémentaire.

Cordialement,Kenny

[rudddy]

pour les formulaires de contact, c'est un grand classique. Il suffit d'interdire les retours chariot dans les différents champs (From / To / Sujet généralement) et c'est réglé.

comment on l'interdit ? à la saisie en js ou à la validation en php ?

Merci

[Bool]

en PHP évidement ! le JS n'est pas interprété par les robots, et même s'il l'était il serait très facilement contourné.

Sinon la réponse du support est un truc bateau, même réponse que les nôtres en gros. C'est peut être même une réponse "pré formatée"

[rudddy]

en PHP évidement ! le JS n'est pas interprété par les robots, et même s'il l'était il serait très facilement contourné.

en fait, je viens de changer j'avais un vieux script avec :

Code: Tout sélectionner

extract($_POST,EXTR_OVERWRITE);

c'est aps beau ej sais mais j'ai récupéré toutes les variables une par une !!!
sinon comment bloquer le retour chariot en php ? en expression régulière, strpos, trim ??
et quels sont les codes de retour chariot ?
Merci

Sinon la réponse du support est un truc bateau, même réponse que les nôtres en gros. C'est peut être même une réponse "pré formatée"

[/quote]

[rudddy]

Si la machine a été piraté, jeter un coup d'oeil dans les logs (/var/logs/)
(en espérant que la hacker ne c'est pas amusé à supprimer ses traces ^^).

ou la la j'ai des logs très bizarres :

87.118.64.163 - - [31/Mar/2008:00:05:32 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 299 "-" "-"
161.53.64.111 - - [31/Mar/2008:00:44:50 +0200] "GET /phpmyadmin/main.php HTTP/1.0" 404 296 "-" "-"
161.53.64.111 - - [31/Mar/2008:00:44:50 +0200] "GET /db/main.php HTTP/1.0" 404 288 "-" "-"
161.53.64.111 - - [31/Mar/2008:00:44:50 +0200] "GET /PMA/main.php HTTP/1.0" 404 289 "-" "-"
87.118.64.163 - - [31/Mar/2008:00:53:22 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 299 "-" "-"
64.182.121.85 - - [31/Mar/2008:04:02:40 +0200] "GET /thisdoesnotexistahaha.php HTTP/1.1" 404 302 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
64.182.121.85 - - [31/Mar/2008:04:02:41 +0200] "GET /vhcs2/lostpw.php HTTP/1.1" 404 293 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
64.182.121.85 - - [31/Mar/2008:04:02:41 +0200] "GET /vhcs2/tools/filemanager/login.php HTTP/1.1" 404 310 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
213.186.41.69 - - [31/Mar/2008:09:26:02 +0200] "GET /phpmyadmin/main.php HTTP/1.0" 404 296 "-" "-"
213.186.41.69 - - [31/Mar/2008:09:26:03 +0200] "GET /PhpMyAdmin/main.php HTTP/1.0" 404 296 "-" "-"
213.186.41.69 - - [31/Mar/2008:09:26:03 +0200] "GET /PMA/main.php HTTP/1.0" 404 289 "-" "-"

[Bool]

Avec un simple truc du genre par exemple :

Code: Tout sélectionner

$x = str_replace( array( "\r", "\n" ), '', $x );

[rudddy]

Avec un simple truc du genre par exemple :

Code: Tout sélectionner

$x = str_replace( array( "\r", "\n" ), '', $x );

c'est fait merci

sion que penses tu des logs ? c'est la misère non ?

[Bool]

non c'est "classique" : un robot scrupte ton site à la recherche de failles... tant qu'il n'en trouve pas, pas vraiment de soucis.

[rudddy]

non c'est "classique" : un robot scrupte ton site à la recherche de failles... tant qu'il n'en trouve pas, pas vraiment de soucis.

ok mais le jour où i len trouve je suis fini ...

sinon tu sais comment bloquer mon serveur smtp à d'autres IP afin qu'ils n'utilisent plus mon serveur ?