Bonjour,
 
Depuis 3 jours, j'ai bcp de soucis avec mon serveur postfix qui tourne depuis des mois et des mois sans aucun soucis ni modification. Postfix se met à saturer mon serveur

 
Et ca monte souvent bcp plus haut. En quelques secondes mon fichier de log se rempli
 

 
Le demain de  mon serveur email est @leveilleur.net mais l'adresse www-data@leveilleur.net n'existe pas. De plus, on voit bcp de mail du domaine .com.br
 
Alors là, je n'arrive pas à dire si c'est moi qui spam ou si c'est du spam que je recois :s Pourtant d'après tous les tests trouvés sur internet, je ne suis pas en open relay.
 
Merci

faudrait voir ton postconf -n, ton master.cf et les processes qui tournent
 
egalement le type de machine: CPU, RAM, Disque
 
 
 
www-data est le user d'apache: as tu un script qui enverrait des mails ?

La machine est une vm http://phpsysinfo.leveilleur.net

ça sent la faille XSS dans une page d'envoi de mail en php...

verifie la queue de postfix:
mailq
 
 
poste egalement le master.cf
 
de plus tu devrais de toute facon creer l'alias www-data dans ta base.
 
 
 
edit: tu es egalement un peu court en memoire

J'ai édité pour le master, il est dans le message juste plus haut
 
ALors pour le mailq, j'en ai plein comme cela

 
La je viens de couper apache, et j'ai fait une alias www-data@leveilleur.net et c'est plein de spam
 

 
Et un beau spam est joint à cela

pour la mémoire, c'est une serveur@home et normalement, c'est largement suffisant, mais là depuis 3 jours, il s'en prend plein la poire.
 
Depuis que j'ai coupé apache, ca a l'air d'être mieux niveau charge serveur, ca diminue. Je pense provisoirement desactiver la fonction mail dans apache (faut que je cherche cmt) et également comment virer tous les mails du mailq.
 

 
Apache n'envoit pas de mail, mais ton php oui, donc verifie tes script php, recherche avec grep dans tes .php la fonction mail( et corrige la.

La corrigé de cette facon ?  
http://www.webmasterquebec.com/art [...] tion-mail/
 
avec nl2br ?

pour virer les mails de queue:

 
 
effectivement ton probleme est surement lié a un script sur ton serveur web .  
heberges tu un site ?  
 
en tout cas ton serveur a tout de meme du mal a gerer une augmentation du trafic, mais sur une VM c'a ne m'etonne pas, d'autant plus avec si peu de RAM.
 
 

Merci, il vient d'effacer plus de 100 000 messages
Oui, c'est certain, il ne gère pas très bien les montées en traffic, mais pour un petit @home, c'est suffistant
 
Oui, j'héberge 3 sites internet et je cherche comment protéger les fonctions mail

 
Apres les utilisateur vont avoir des br au milieu de leur message, ça va faire style...
 
Voila comment je controle sur mon site, ce n'est qu'un exemple on peut l'amélioré grandement.
 
 
Le sujet dans la fonction mail est controlé avec strctrl("monsujet" )
Le message du mail est controlé avec strctrl("lemessage du mail",1)
 

merci pour tes deux fonctions, en attendant de vérifier les sites, n'y aurait-il pas moyen de désactiver la function mail() via apache ? histoire de pouvoir remettre les sites up ?

Via apache non, via php oui, edite ton php.ini et met en commentaire la ligne qui indique sendmail -t -i (un truc du genre)

C'est déjà en commentaire :s
 

tu es sur d'editer le bon php.ini ?
 
Si c'est bien le bon, peut etre que tu utilises des CGI ?

Oui, je suis certain que c'est le bon
Configuration File (php.ini) Path  /etc/php5/apache2/php.ini
Non, je n'utilise pas de cgi, en mettant un port bidon, ca va résoudre l'affaire ?

le port c'est pour windows.
 
Mais si il n'y a pas de sendmail -t -i php ne peut pas envoyer de mail, donc c'est autre chose qui envoit un mail (genre un script perl)

Si tu commente la ligne dans le php.ini, il va prendre la valeur par défaut (utiliser sendmail en local sur la machine). Et donc tu seras tjours autant spammé.
Corrige tes scripts ou configure ton mta

ben voila il n'a qu'a mettre /dev/null comme serveur mail dans le php.ini

Ca a fonctionné pendant un petit temps, et voilà qu'a nouveau plein de mail partent de mon serveur. là je ne comprends plus rien... Y a pas un moyen pour interdire cette fonction mail ?
 
merci

Ben tu vires ton script qui sert à envoyer des mails tout simplement

Le truc c'est que je dois me taper le code (mal fait) de 4 à 5 sites qui ne sont pas de moi. La solution simple pour moi serait de bloquer la fonction mail, d'envoyer un exemple de correction à chaque prorio et de leur demander de faire les modifs.

essai de mettre safe_mode = on au lieu de off
Ils seront vachement limité mais ça permet d'avoir un serveur bien plus controlé si tu ne maîtrises pas le code des utilisateurs.

Sinon pour ta question,
disable_functions = mail

merci

La si ils continuent a spamer, c'est que il y a une autre faille

Je vais ternir cela a l'oeil. Après les premières modifs, j'ai eu une dizaine de jours sans soucis et là, ça a repris aujourd'hui à 4h00.
 
De plus, j'ai déjà une reçu une plainte de mon Fai pour spam sur ma connexion

passe en safemode ça va résoudre pas mal de truc je pense

Ben tu regardes les logs de ton serveur Apache, tu trouves la/les page(s) qui posent souci, tu enlèves les droits de lecture dessus, et après tu discutes avec le développeur/propriétaire du site.

Alors dans les access d'apache, je vois ceci de bizarre
 

 
Xmlrpc.php est une page d'un site phpnuke que je suis obligé d'héberger.
 
 
Sinon, dans les erreur.log, y a ca de très très étrange
 

 
Et la, y  un back.txt
http://www.fenomena.info/xpl/back.txt
 

 
Comment arrive t il a exécuter cela sur mon serveur grrrrrrrrrrrr

Oh le joli hack !!!!!!!!!!!!!!!
 
Et une backdoor, une !
 
Vive les applis PHP

mais par ou passe t il ? Pas moyen de trouver, et puis, le telechargement du fichier back.txt se trouve dans le erreur log. Help

Ben deja liste tes process, verifies qu'il ne tourne pas.
Ensuite arrete ton apache.
Regarde si d'autres port sont ouverts (netstat -taup).
 
Il est surement passé par une merde dans un code PHP (genre un include moisi, un system exec...).

 
Rien de bizarre
 

Cherche dans le access.log quelle page ont été appelées aux environs de 03:16:49 ce matin. Tu trouveras vite la coupable (c'est souvent des failles sur des applis connus qui sont utilisées, comme phpBB, plume, et phpNuke n'est surement pas exempt de ce type de faille).
Eensuite voit via quelle adresse les accès à ces pages ont pu être fait.
Puis cherche ensuite ces adresses dans les logs... etc.

J'ai bien une connexion à cet heure là, mais pas moyen de voir ou elle mène, elle appelle la page robots.txt

facile, comme en perl...

Soit tu bride l'utilisateur www-data, soit tu passe en safemode.

Tous les sites sont loggués dans le meme fichier ?

Apparemment ton serveur est compromis par une attaque.
 
Quelques idées :
 
1) Vérifier le directory /tmp pour voir s'il y a des fichiers suspects, donner la liste avec leur owner/group date etc.... (ls -l). La plupart des backdoors ou trojan sont créés dans ce directory sous le uid d'Apache. Normalement dans ce directory il ne devrait y avoir que les fichiers temporaries de sessions de PHP.
 
2) T'assurer que ton php.ini ne permet pas l'ouverture d'URL à distance
(par exemple ne pas permettre l'exécution de ce fameux back.txt qui n'est d'autre qu'un script Perl déguisé :
; Whether to allow the treatment of URLs (like http:// or ftp://) as files.
allow_url_fopen = Off
 
3) Surveiller s'il y a des nouveaux ports en écoute (LISTEN), en particulier le port 8999 qui semble utilisé par le backdoor via netcat (voir ci-dessous).
 
4) La faille vient souvent d'une faille du code de forum (phpBB etc...) ou autre qui permet l'upload des fichiers images (mais qui sont des scripts php déguisés, par exemple toto.php.jpg). Vérifier attentivement les chmod des directories.
 
5) Le log d'Apache montre qu'il a un shell installé qui tente d'appeler fetch, wget, curl etc... pour télécharger des modules venant d'ailleurs.
Il est fortement conseillé de mettre tous ces exécutables en attribut 700 sous le compte root pour éviter les problèmes de sécurité.
 
6) Le safe_mode à OFF pour php est évidemment conseillé, à voir si le code hébergé (forum etc...) le permet.
 
7) Appliquer les derniers patchs ou versions de tous les codes connus (phpBB, phpNuke...).
 
8) Le script Perl du hacker parle de netcat (nc -l -v -p 8999). T'assurer que ce processus ne tourne pas et n'existe pas sur ton serveur.
 
9) Upgrader ton serveur Apache au dernier niveau 2.0.59
http://www.apache.org/dist/httpd/CHANGES_2.0

Merci pour cette réponse très complète.
 
 
1)
srvlinux01tmp# ls -ail
total 20
145729 drwxrwxrwt  5 root root 4096 2007-06-13 09:00 .
     2 drwxr-xr-x 21 root root 4096 2007-01-05 17:28 ..
161923 drwxrwxrwt  2 root root 4096 2007-06-12 16:24 .ICE-unix
161925 drwx------  2 root root 4096 2007-06-12 17:42 mc-root
161922 drwxrwxrwt  2 root root 4096 2007-06-12 16:24 .X11-unix
 
2) Je viens de faire la modification dans le php.ini
 
3)
srvlinux01:~# nmap localhost
 
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2007-06-13 09:03 CEST
Interesting ports on localhost.localdomain (127.0.0.1):
Not shown: 1668 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
25/tcp   open  smtp
53/tcp   open  domain
80/tcp   open  http
110/tcp  open  pop3
139/tcp  open  netbios-ssn
143/tcp  open  imap
443/tcp  open  https
445/tcp  open  microsoft-ds
783/tcp  open  spamassassin
953/tcp  open  rndc
3306/tcp open  mysql
 
Et depuis l'extérieur seul les ports 80, 25 et 110 sont accéssible.
 
4) J'utilise bien un système d'upload d'image, mais je vérifie bien le type du fichier et ici, je viens de faire une recherche manuelle et aucun fichier déguisé.
 
5) Je n'ai pas les commandes fetch et curl, par contre j'ai mis wget en 700
 
6) Malheureusement, je ne peux pas mettre le safe mode a On, sinon j'ai des scritps qui ne fonctionnent pas.
 
7) J'ai un site phpnuke que je suis obligé de garder, je vais voir si je ne pourrais pas le migrer vers un blog récent et tenu à jour
 
8)srvlinux01:~# ps aux | grep nc
root     15817  0.0  0.4   1872   624 pts/0    S+   09:02   0:00 grep nc
C'est ok de ce coté là
 
9)J'utilise la version Apache/2.2.3