Topic: gros pb avec sme 5.5 et l'upload

[momo2]

Bonjour,
je viens de me rendre compte que mon serveur sme utilise constament tout l'upload de ma connexion adsl et ce depuis dimanche midi  
est ce en rapport avec le virus mydoom ? et si oui comment faire pour le supprimer
quel antivirus pourrais je utiliser par la suite ( j'ai entendu parler de clamav )
faut il que je passe en sme 6.0 ? est ce que dans ce cas la , la sauvegarde du parametrage + comptes users du 5.5 peut etre recuperer sur la 6.0?

aider moi vite car actuellement j'ai du arreter le serveur

[hpe]

Bonjour,
je viens de me rendre compte que mon serveur sme utilise constament tout l'upload de ma connexion adsl et ce depuis dimanche midi  
est ce en rapport avec le virus mydoom ? et si oui comment faire pour le supprimer
quel antivirus pourrais je utiliser par la suite ( j'ai entendu parler de clamav )
faut il que je passe en sme 6.0 ? est ce que dans ce cas la , la sauvegarde du parametrage + comptes users du 5.5 peut etre recuperer sur la 6.0?

aider moi vite car actuellement j'ai du arreter le serveur

Bonjour aussi,

Pas de panique, si l'upload est utilisé, il y a plusiers possibilités :

1) Quelqu'un 'pompe' quelque chose sur ton serveur ... website, ftp, vpn ,... ? cela dépend de ta config.

2) Une machine client de ton réseau est la source du problème (possiblement infectée par un virus ... ou autre)

3) Envoi de mails en masse ... ?

4) Envoi de Fichiers en masse ... ?

En analysant les 'journaux' accessibles par le manager, tu sauras peut-être déterminer la cause  ... c'est un premier pas.

Concernant Mydoom, le SME n'en a que faire, mais si tu as des machines 'client' sous 'Windows', la c'est une autre histoire ...

Hervé

[grand-pa]

Dans un cas pareil, il faut toujours penser à regarder le résultat de la commande netstat : elle permet presqu'à coup sûr de savoir d'où vient le problème.

[momo2]

Merci pour les réponses, je verifie tout cela aujourd'hui et je vous tiens au courant des résultats

par contre je vais peux etre en profiter pour passer le serveur en version 6.0, dans le cas d'un tel upgrade, tout les comptes users sont bien récupérer?
Est ce qu'une sauvegarde de sme 5.5 peut elle etre remis sur une 6.0?

[momo2]

Je n'ai pas trouvé dans l'affichage des logs dans la console pour netstat, comment procede t'on?

par contre j'ai trouvé dans un des logs qu'un port 4022 était ouvert, j'ai tester depuis un autre poste avec un scanner de port et j'ai effectivement trouvé ceci :

Connected: 25 mail
Connected: 80 http
Connected: 110 post office
Connected: 113 authentification service
Connected: 143 interactive mail
Connected: 389 Lightweight Directory Access Protocol
Connected: 443 https MCom
Connected: 4022 port non standart

je donnerais le nom du log ainsi qu'une petite copie de celui ci pour me dire ce que vous en penser

je recois actuellement des retours de mails qui ont été envoyés avec des noms inconnus provenant de mon domaine, en anglais pour la plupart, des spams mais aussi des messages m'indiquant que le message contenait un virus

je pense que mon serveur c'est fait piraté pour servir de base d'envoi de mails, j'aimerais bien comprendre la maniere qui à été utilisé pour cela afin que je puisse securisé un peu mieux le serveur pour l'avenir sachant que je n'ai pas de firewall derriere

petite question : pour installer spam assasin, il faut taper une ligne de commande, on la tape comment?
et est ce que le reglage de celui ci se rajoute ensuite dans la console d'administration web?

[sweepy]

Bonjour

Pour spamassassin tu peut voir la

http://sme.swerts-knudsen.dk

Sweepy  

[grand-pa]

Je n'ai pas trouvé dans l'affichage des logs dans la console pour netstat, comment procede t'on?

En ligne de commande, avec l'utilisateur root, tu tapes tout simplement netstat

je recois actuellement des retours de mails qui ont été envoyés avec des noms inconnus provenant de mon domaine, en anglais pour la plupart, des spams mais aussi des messages m'indiquant que le message contenait un virus

je pense que mon serveur c'est fait piraté pour servir de base d'envoi de mails, j'aimerais bien comprendre la maniere qui à été utilisé pour cela afin que je puisse securisé un peu mieux le serveur pour l'avenir sachant que je n'ai pas de firewall derriere

Tout de suite les grands mots... Un SME, ça ne se pirate pas comme ça !
Informe toi donc plutôt sur les vers qui circulent en ce moment, notamment myDoom et tu verras que ton serveur n'est aucunement en cause.

[momo2]

ok je verifie avec netstat,merci

et pour l'histoire de serveur piraté, je disait cela surtout par rapport à l'upload constant depuis une semaine sachant que le ftp n'etait pas activé et que sur le site web il n'y a pas de fichier à telecharger et que je n'ai rien trouvé de remplacer sur le site

juste une question avec le login root, je dois l'utiliser uniquement sur le serveur? car j'ai bien essayer avec l'activation de ssh mais je n'y arrive pas, en mode telnet ou ftp il est ipmossible de se logger root apparement, admin fonctionne lui

[grand-pa]

juste une question avec le login root, je dois l'utiliser uniquement sur le serveur? car j'ai bien essayer avec l'activation de ssh mais je n'y arrive pas, en mode telnet ou ftp il est ipmossible de se logger root apparement, admin fonctionne lui

Le compte root est utilisable directement sur le serveur ou via SSH.
Le compte admin, pareil plus FTP, mail, manager, samba, etc.

[momo2]

Salut,

MyDoom fait des siennes   En cherchant un peu, j'ai constate que SME verifie uniquement l'adresse IP de l'emeteur pout permettre l'utilisation du service smtp (fichier /etc/tcprules/tcp.smtp). Du coup, un poste infecte envoie des mail a travers SME sous des identites farfelues, et ca passe !

Mon pb d'upload constant du sme ne serait il pas lié à cette utilisation du smtp? si c'est le cas le fait d'interdire l'utilisation du smtp depuis l'internet devrait suffire à supprimer le pb non? à moins que le pb vient d'un poste infecté sur le reseau mais je ne pense j'ai regardé et ils sont tous à jour avec avp

[grand-pa]

le fait d'interdire l'utilisation du smtp depuis l'internet devrait suffire à supprimer le pb non?

C'est une blague, hein ?    

Et si tu nous donnais le résultat de netstat, il serait nettement plus facile de diagnostiquer le problème !

[momo2]

Voila le resulat de netstat :

[root@servmail /root]# netstat
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State      
tcp        0     20 servmail.monsenb.ne:ssh pc-00135:3411           ESTABLISHED
tcp        0      0 servmail.monsenb.ne:www pc-00122:1119           FIN_WAIT2  
tcp        0      0 localhost:http-admin    localhost:1123          TIME_WAIT  
tcp        0      0 localhost:http-admin    localhost:1122          TIME_WAIT  
tcp        0      0 servmail.monsenb.ne:www pc-00135:3410           TIME_WAIT  
tcp        0      0 servmail.monsenb.ne:www pc-00135:3409           TIME_WAIT  
tcp        0      0 localhost:http-admin    localhost:1121          TIME_WAIT  
tcp        0      0 servmail.monsenb.ne:www pc-00135:3407           TIME_WAIT  
tcp        0      0 servmail.monsenb.ne:pop pc-00191:1105           TIME_WAIT  
tcp        0      0 servmail.monsenb.ne:pop pc-00135:3405           TIME_WAIT  
tcp        0      0 localhost:http-admin    localhost:1117          TIME_WAIT  
tcp        0      0 servmail.monsenb.ne:www pc-00135:3403           TIME_WAIT  
tcp        0      0 servmail.monsenb.ne:www pc-00135:2162           FIN_WAIT2  
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags       Type       State         I-Node Path
unix  1      [ ]         STREAM     CONNECTED     1809   @000000fc
unix  1      [ ]         STREAM     CONNECTED     2144   @0000012b
unix  1      [ ]         STREAM     CONNECTED     2941   @0000014a
unix  1      [ ]         STREAM     CONNECTED     2150   @0000012c
unix  1      [ ]         STREAM     CONNECTED     2044   @00000121
unix  1      [ ]         STREAM     CONNECTED     1079   @00000089
unix  1      [ ]         STREAM     CONNECTED     1871   @00000104
unix  1      [ ]         STREAM     CONNECTED     3385   @00000168
unix  1      [ ]         STREAM     CONNECTED     1144   @00000096
unix  1      [ ]         STREAM     CONNECTED     1343   @000000b7
unix  1      [ ]         STREAM     CONNECTED     3386   /dev/log
unix  1      [ ]         STREAM     CONNECTED     2942   /dev/log
unix  1      [ ]         STREAM     CONNECTED     2151   /dev/log
unix  1      [ ]         STREAM     CONNECTED     2145   /dev/log
unix  1      [ ]         STREAM     CONNECTED     2045   /home/dns/dev/log
unix  1      [ ]         STREAM     CONNECTED     1872   /dev/log
unix  1      [ ]         STREAM     CONNECTED     1810   /dev/log
unix  1      [ ]         STREAM     CONNECTED     1344   /dev/log
unix  1      [ ]         STREAM     CONNECTED     1145   /dev/log
unix  1      [ ]         STREAM     CONNECTED     1080   /dev/log
unix  0      [ ]         DGRAM                    421    
[root@servmail /root]#

[momo2]

J'ai enfin réussi à mettre à jour le serveur en version 6.0

voici maintenant le résultat de la commande netstat :

[root@servmail root]# netstat
Connexions Internet actives (sans serveurs)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat      
tcp        0    128 servmail.monsenb.ne:ssh 192.168.0.135:3003      ESTABLISHED
tcp        0      0 servmail.monsenb.ne:pop 192.168.0.198:1290      TIME_WAIT  
tcp        0      0 servmail.monsenb.ne:pop 192.168.0.192:1045      TIME_WAIT  
tcp        0      0 servmail.monsenb.ne:pop 192.168.0.135:1301      TIME_WAIT  
Sockets du domaine UNIX actives(sans serveurs)
Proto RefCpt Indicatrs   Type       Etat          I-Node Chemin
unix  11     [ ]         DGRAM                    778    /dev/log
unix  2      [ ]         DGRAM                    3212  
unix  2      [ ]         DGRAM                    3185  
unix  2      [ ]         DGRAM                    3058  
unix  2      [ ]         DGRAM                    2995  
unix  2      [ ]         DGRAM                    2550  
unix  2      [ ]         DGRAM                    2162  
unix  2      [ ]         DGRAM                    2074  
unix  2      [ ]         DGRAM                    1714  
unix  2      [ ]         DGRAM                    796    
[root@servmail root]#

par contre j'ai controllé les ports ouverts à partir du réseau et il y a des ports utilisés dont je ne connais pas la fonction :

Connected: 22
Connected: 80
Connected: 110
Connected: 113
Connected: 139
Connected: 143
Connected: 389
Connected: 443
Connected: 515
Connected: 1723
Connected: 3128
Connected: 3306

[onsy]

Salut,

Peux-tu nous donner le résultat de la commande 'netstat -vap' ?
Ca nous permettrait de voir quel programme écoute sur quel port.

[momo2]

Bonjour,

j'ai tout réinstaller le serveur avec une installation complete en sme 6.0

je n'avais plus de pb jusque maintenant mais depuis samedi j'ai des messages qui sont envoyés depuis le serveur alors que le routeur pour le réseau local est coupé

lorsque je regarde dans les logs de messagerie, j'ai ces comptes qui apparaissent :
tries : comptes
191  local.<>@domaine.net
191  local.alias-localdelivery-<>@domaine.net
3641  local.root@domaine.net
3642  local.anonymous@domaine.net
3688  local.postmaster@domaine.net
3641  local.alias-localdelivery-root@domaine.net
3642  local.alias-localdelivery-anonymous@domaine.net
12450  remote.admin@domaine.fr ( !!! alors que mon domaine est en .net )


voici le résultat de la commande netstat -vap

[root@servmail root]# netstat -vap
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat        PID/Program name  
tcp        0      0 *:printer               *:*                     LISTEN      1632/lpd Waiting    
tcp        0      0 *:afpovertcp            *:*                     LISTEN      2370/afpd          
tcp        0      0 *:ldap                  *:*                     LISTEN      23958/slapd        
tcp        0      0 *:smux                  *:*                     LISTEN      2271/snmpd          
tcp        0      0 *:netbios-ssn           *:*                     LISTEN      2215/smbd          
tcp        0      0 *:pop                   *:*                     LISTEN      1510/tcpserver      
tcp        0      0 *:imap2                 *:*                     LISTEN      1445/tcpserver      
tcp        0      0 *:www                   *:*                     LISTEN      1802/httpd          
tcp        0      0 *:auth                  *:*                     LISTEN      588/oidentd        
tcp        0      0 localhost:http-admin    *:*                     LISTEN      2046/httpd-admin    
tcp        0      0 servmail.monsenb:domain *:*                     LISTEN      1399/dnscache      
tcp        0      0 servmail.monsenb.ne:ssh *:*                     LISTEN      1891/sshd          
tcp        0      0 *:squid                 *:*                     LISTEN      2184/(squid)        
tcp        0      0 *:smtp                  *:*                     LISTEN      1853/tcpserver      
tcp        0      0 *:1723                  *:*                     LISTEN      2350/pptpd          
tcp        0      0 *:https                 *:*                     LISTEN      1802/httpd          
tcp        0      0 servmail.monsenb.ne:pop 192.168.0.135:2363      TIME_WAIT   -                  
tcp        0      0 servmail.mo:netbios-ssn 192.168.0.186:2485      ESTABLISHED 22960/smbd          
tcp        0      0 servmail.mo:netbios-ssn 192.168.0.151:1039      ESTABLISHED 22106/smbd          
tcp        0    144 servmail.monsenb.ne:ssh 192.168.0.135:2364      ESTABLISHED 22965/0            
tcp        0      0 servmail.mo:netbios-ssn 192.168.0.135:1043      ESTABLISHED 22214/smbd          
udp        0      0 servmail.mon:netbios-ns *:*                                 2246/nmbd          
udp        0      0 *:netbios-ns            *:*                                 2246/nmbd          
udp        0      0 servmail.mo:netbios-dgm *:*                                 2246/nmbd          
udp        0      0 *:netbios-dgm           *:*                                 2246/nmbd          
udp        0      0 localhost:2711          *:*                                 22106/smbd          
udp        0      0 localhost:2713          *:*                                 22214/smbd          
udp        0      0 localhost:2715          *:*                                 22960/smbd          
udp        0      0 *:snmp                  *:*                                 2271/snmpd          
udp        0      0 localhost:domain        *:*                                 1556/tinydns        
udp        0      0 servmail.monsenb:domain *:*                                 1399/dnscache      
udp        0      0 *:icp                   *:*                                 2184/(squid)        
Sockets du domaine UNIX actives(serveurs et établies)
Proto RefCpt Indicatrs   Type       Etat          I-Node PID/Program name    Chemin
unix  2      [ ACC ]     STREAM     LISTENING     613    375/cvm-unix-local  /var/lib/cvm/cvm-unix-local.socket
unix  2      [ ACC ]     STREAM     LISTENING     2707   2113/mysqld         /var/lib/mysql/mysql.sock
unix  2      [ ACC ]     STREAM     LISTENING     2890   2306/clamd          /var/lib/clamav/clamd.sock
unix  13     [ ]         DGRAM                    738    423/syslogd         /dev/log
unix  2      [ ACC ]     STREAM     LISTENING     2118   1632/lpd Waiting    /var/run/lprng
unix  2      [ ]         DGRAM                    791479 23958/slapd        
unix  2      [ ]         DGRAM                    2985   2370/afpd          
unix  2      [ ]         DGRAM                    2978   2365/papd          
unix  2      [ ]         DGRAM                    2947   2350/pptpd          
unix  2      [ ]         DGRAM                    2884   2271/snmpd          
unix  2      [ ]         DGRAM                    2720   2190/atalkd        
unix  2      [ ]         DGRAM                    2702   2180/squid          
unix  2      [ ]         DGRAM                    1792   1358/xinetd        
unix  2      [ ]         DGRAM                    1723   1304/crond          
unix  2      [ ]         DGRAM                    954    588/oidentd        
unix  2      [ ]         DGRAM                    770    428/klogd          
netstat: no support for AF IPX' on this system.
netstat: no support for AF AX25' on this system.
netstat: no support for AF X25' on this system.
netstat: no support for AF NETROM' on this system.

[momo2]

personne n'a de solutions?

on ne peux plus envoyer de messages pour l'instant vu que j'ai supprimer l'adresse du smtp pour eviter l'envoi de mails par le serveur lui même.

j'ai besoin d'aide très vite svp  

[onsy]

Rien de "bizarre" dans tes ports ouverts, à part peut-être ce qui concerne snmp...
En as tu vraiment besoin ? Mais bon, ce n'est pas le sujet

Es-tu sûr que ton upload provient d'un flux SMTP sortant ?
Autrement dit, si tu arrête qmail, est-ce que ton upload s'arrête ?

[momo2]

oui en arretant qmail le flux s'arrette, mais depuis la reinstallation je n'avais plus de pb, l'upload etait correcte et d'ailleur il l'est encore.

le pb est que si je met un serveur smtp valide dans la configuration, sme envoie des messages vers l'internet sans que celui ci ne soit connecter au réseau local, je m'en suis apercu en mettant un contrib de visualisation graphique par mrtg et la courbe de messages envoyé est constante ( environ 400 messages en 8 heures ), des que je supprime l'adresse smtp tout redevient normal.

le smtp est utilisé directement via le réseau local ( mais celui ci n'est pas en cause ) et via internet par webmail en https.

le probleme est que je ne sais pas du tout ce qui est envoyé comme mails et dans quel but ? ( spams ? )

comment avoir une copie des mails envoyés pour vérifier la nature des messages?

[onsy]

Qd tu dis :

le pb est que si je met un serveur smtp valide dans la configuration

c'est où exactement que tu mets un serveur smtp valide ?
SME n'est pas LE serveur smtp de ton réseau ?

[momo2]

non je n'ai pas de smtp, j'ai mis l'adresse indiqué par mon fournisseur d'acces oleane

et puis la je viens de voir que depuis 1 heure sme me bouffe de nouveau tout mon upload, je commence à en avoir ras le bol , ce serveur tournait depuis des mois sans probleme et depuis fin janvier c devenu une catastrophe même après une reinstallation complete en version 6    

[onsy]

non je n'ai pas de smtp, j'ai mis l'adresse indiqué par mon fournisseur d'acces oleane

et puis la je viens de voir que depuis 1 heure sme me bouffe de nouveau tout mon upload, je commence à en avoir ras le bol , ce serveur tournait depuis des mois sans probleme et depuis fin janvier c devenu une catastrophe même après une reinstallation complete en version 6    

Essaie de regarder un peu ce qui passe sur l'upload avec un tcpdump : ça te donnera peut-être un indice sur ce qui transite depuis ton smtp.