[Réglé] envoi important de spam à partir d'une de vos IP

Forum de support pour les questions concernant l'utilisation de phpBB 3.1, les problèmes rencontrés lors de manipulations, de configuration du forum ou de personnalisation autres que les Styles ou les Extensions.

Modérateur: Equipe

Règles du forum
A lire impérativement : Règlement de phpBB-fr.com

Pensez à effectuer une recherche, la réponse à votre question a de grandes chances d'avoir déjà été donnée.
Partager sur FacebookPartager sur TwitterPartager sur Google+

[Réglé] envoi important de spam à partir d'une de vos IP

Messagepar thierry92 » 08 Oct 2016 à 07:13

Bonjour a tous,

Je viens de recevoir un mail de la part de mon hébergeur OVH qui m'annonve ceci :

Bonjour,

Notre protection Anti-Spam a détecté un envoi important de spam à partir d'une de vos IP:
176.31.98.72

Afin d'assurer la sécurité de notre réseau le trafic sortant de votre serveur vers les ports 25 a été suspendu.

Afin que vous puissiez effectuer les vérifications voici un échantillon des emails bloqués:

Destination IP: 208.80.204.94 - Message-ID: 5d48457dabc90ee768705e1e25d7d275@patrol-gr.fr - Spam score: 9999 Destination IP: 98.136.216.25 - Message-ID: f69119ed7bf8877ccf307b6727d2133c@patrol-gr.fr - Spam score: 9999 Destination IP: 65.55.92.184 - Message-ID: 665ac67290e7cb7571f2fded42ffaed0@patrol-gr.fr - Spam score: 9999 Destination IP: 98.138.112.34 - Message-ID: fe9497c3f2ec44f912981b090debadfe@patrol-gr.fr - Spam score: 9999 Destination IP: 65.55.33.135 - Message-ID: 491a4ea3992b905eb5d722a432931e8e@patrol-gr.fr - Spam score: 9999

Merci de consulter attentivement ce guide:

http://guide.ovh.net/AntiSpamBestPratice

Si vous avez identifié et résolu la cause du blocage, vous pouvez débloquer votre IP depuis le manager, en vous rendant à cette adresse :

https://www.ovh.com/manager/#/configura ... 6.31.98.72


Sur notre serveur nous avons deux forums : http://www.bivouac4x4.net et http://www.patrol-gr.fr

J'ai recherché les utilisateurs avec les adresses mais je ne trouve aucun utilisateur !!! J

Sur le net j'ai pris des adresses citées dans le message :
- 98.136.216.25 et je tombe sur http://98.136.216.25.ipaddress.com/
- 208.80.204.94 et je tombe sur http://208.80.204.94/mag/

J'avoue que je ne sais pas trop quoi faire pour virer tout ça !!!

Merci pour votre aide

Thierry
thierry92
Apprenti-posteur
Apprenti-posteur
 
Messages: 150
Enregistré le: 06 Mar 2015 à 00:24

Re: envoi important de spam à partir d'une de vos IP

Messagepar pierredu » 08 Oct 2016 à 09:14

C'est assez clair, non ?
Le site patrol-gr.fr a été piraté.
La première chose à faire est de changer le mot de passe FTP.
Il faut ensuite aller voir sur le serveur avec un client FTP et vérifier que tous les fichiers présents sont là et sont légitimes.

Si vous n'avez pas fait de mise à jour récente, regardez les fichiers dont les dates coïncident avec l'incident.

Bon courage.
Avatar de l’utilisateur
pierredu
Extensions
Extensions
 
Messages: 916
Enregistré le: 29 Mai 2011 à 05:49
Localisation: Paris

Re: envoi important de spam à partir d'une de vos IP

Messagepar Steph » 08 Oct 2016 à 09:47

Salut,

Dans ce cas regarde notre sujet de documentation : Que faire en cas de piratage
Avatar de l’utilisateur
Steph
Administrateur
Administrateur
 
Messages: 17266
Enregistré le: 29 Déc 2008 à 15:48
Localisation: Alsace / Bas-Rhin / France

Re: envoi important de spam à partir d'une de vos IP

Messagepar thierry92 » 20 Oct 2016 à 14:41

Salut a tous,
Je reviens vers vous car j'ai essayé de comparer les fichiers comme a dit Pierredu mais j'ai rien trouvé
J'ai changé le MDP du FTP
j'ai analysé avec Norton et SophosVirus, mais rien a faire je ne trouve rien ....
Ou se trouve les mails en attente d'envoie, car le port étant bloqué je pense qu'ils doivent stockés quelque part mais ou ???

Je ne sais plus trop quoi faire ....
thierry92
Apprenti-posteur
Apprenti-posteur
 
Messages: 150
Enregistré le: 06 Mar 2015 à 00:24

Re: envoi important de spam à partir d'une de vos IP

Messagepar Manard » 20 Oct 2016 à 17:19

Bonjour,

A mon avis ces spams n'ont pas été émis depuis phpBB mais depuis ta boîte mail sur le serveur. Regarde à la racine de ton hébergement où se trouve public_html, tu devrais y trouver un dossier appelé Mail, c'est ce que nous avons sur un serveur hébergé chez OVH, mais l'architecture est peut-être différente de la tienne ?

Bonne recherche

Bernard
Manard
Roi des posts
Roi des posts
 
Messages: 897
Enregistré le: 31 Mar 2012 à 08:24

Re: envoi important de spam à partir d'une de vos IP

Messagepar thierry92 » 20 Oct 2016 à 18:12

Je suis sur un serveur dédié que pour nos 2 sites.
Je n'ai pas trouvé ni le fichier "public_html" ni le répertoire "mail"

:oops: :oops:
thierry92
Apprenti-posteur
Apprenti-posteur
 
Messages: 150
Enregistré le: 06 Mar 2015 à 00:24

Re: envoi important de spam à partir d'une de vos IP

Messagepar pierredu » 20 Oct 2016 à 19:42

Même si les courriels sont bloqués dans le pipeline du serveur sur l'hébergeur, il faut trouver ce qui les a envoyés depuis le site.
Avatar de l’utilisateur
pierredu
Extensions
Extensions
 
Messages: 916
Enregistré le: 29 Mai 2011 à 05:49
Localisation: Paris

Re: envoi important de spam à partir d'une de vos IP

Messagepar thierry92 » 20 Oct 2016 à 22:47

Si je reprends une adresse spam comme 5d48457dabc90ee768705e1e25d7d275@patrol-gr.fr

Comment je fais pour retrouver l'utilisateur, je n'ai pas d'utilisateur avec un nom comme ça : 5d48457dabc90ee768705e1e25d7d275

La dernière fois je m'en suis sorti assez rapidement pour une bannière pub ,... Mais la c'est la galère :oops: :oops:
thierry92
Apprenti-posteur
Apprenti-posteur
 
Messages: 150
Enregistré le: 06 Mar 2015 à 00:24

Re: envoi important de spam à partir d'une de vos IP

Messagepar Manard » 21 Oct 2016 à 11:20

Bonjour Thierry,

Tu dois avoir un serveur mail livré avec ton hébgergement dédié, cherche là au lieu du forum. Le plus sûr est de changer ton mot de passe de ce serveur.

Il est probable que ce soit Qmail : http://guide.ovh.com/QmailAdmin

Bonne recherche

Bernard
Manard
Roi des posts
Roi des posts
 
Messages: 897
Enregistré le: 31 Mar 2012 à 08:24

Re: envoi important de spam à partir d'une de vos IP

Messagepar anna20 » 21 Oct 2016 à 11:59

Il faut absolument changer tous les mots de passes, serveur,ftp, phpbb-fr..., vous avez un seul site hébergé sur le serveur ou plusieurs?
anna20
Posteur néophyte
Posteur néophyte
 
Messages: 3
Enregistré le: 19 Oct 2016 à 18:21

Re: envoi important de spam à partir d'une de vos IP

Messagepar thierry92 » 21 Oct 2016 à 17:00

anna20 a écrit:Il faut absolument changer tous les mots de passes, serveur,ftp, phpbb-fr..., vous avez un seul site hébergé sur le serveur ou plusieurs?


Il y a deux sites : http://www.bivouac4x4.net et http://www.patrol-gr.fr
Tous les mots de passe ??? même ceux des bases de données, de l’accès au forums etc etc ...


Manard a écrit:Bonjour Thierry,

Tu dois avoir un serveur mail livré avec ton hébgergement dédié, cherche là au lieu du forum. Le plus sûr est de changer ton mot de passe de ce serveur.

Il est probable que ce soit Qmail : http://guide.ovh.com/QmailAdmin

Bonne recherche

Bernard


Le mot de passe ftp a été changé seulement
Ils sont rangés ou les mails ??

Pour couronner le tout, je viens de m'apercevoir que l’espace libre sur notre serveur diminue de 1 % par jour voir 2...
Je ne sais plus quoi faire :oops: :oops:

Merci pour votre aide en tous cas :D :D
thierry92
Apprenti-posteur
Apprenti-posteur
 
Messages: 150
Enregistré le: 06 Mar 2015 à 00:24

Re: envoi important de spam à partir d'une de vos IP

Messagepar galixte » 21 Oct 2016 à 19:05

Salut,

oui tous les mots de passe. :)

Les e-mails ne sont pas stockés (accessibles) sur l’espace FTP.
Communau EzCom
Image
« Traductions d’extensions & styles pour phpBB 3.1.x & 3.2.x ».
ImageListes de toutes les extensions recensées pour phpBB 3.1.x & 3.2.x.
ImageListes de tous les styles recensés pour phpBB 3.1.x & 3.2.x.
Avatar de l’utilisateur
galixte
Floodeur universel
Floodeur universel
 
Messages: 9883
Enregistré le: 08 Mar 2004 à 01:40
Localisation: Sud de la France.

Re: envoi important de spam à partir d'une de vos IP

Messagepar thierry92 » 27 Nov 2016 à 08:22

Bonjour a tous ...

Je reprends mes recherche pour solutionner mon soucis et voila ce que j'ai fais :

J'ai télécharger le serveur complet (enfin presque certains ont été refusés lors du téléchargement) j'ai lancé un scan complet avec AD-AWARE et il m'a signalé deux fichiers infestés qui se trouve eu tout début du serveur var/mail/
Les deux fichiers infectés sont thierry92 et www-data

Extrait des ccontenus :

pour www-data a écrit:--5F657385F0.1480100029/bivouac4x4.net
Content-Description: Undelivered Message
Content-Type: message/rfc822
Content-Transfer-Encoding: 8bit

Return-Path: <www-data@bivouac4x4.net>
Received: by bivouac4x4.net (Postfix, from userid 33)
id 5F657385F0; Tue, 22 Nov 2016 04:24:00 +0100 (CET)
To: konrad0310@osloskolen.no
Subject: =?utf-8?Q?Er_du_klar_kj=C3=A6rlighet=3F?=
X-PHP-Originating-Script: 33:system.php(1940) : eval()'d code
Date: Tue, 22 Nov 2016 04:24:00 +0100
From: Root User <root@localhost>
Message-ID: <7db7d90fe029fecd919c17d47c6fa2d2@www.patrol-gr.fr>
X-Priority: 3
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="b1_7db7d90fe029fecd919c17d47c6fa2d2"
Content-Transfer-Encoding: 8bit

--b1_7db7d90fe029fecd919c17d47c6fa2d2
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8bit

Hei kjekken,

jeg har akkurat blitt medlem av siden og vil fortelle deg hvordan det er å være her!

Du hører ofte om disse historiene av venner hvor de forteller om sine hook-ups, men jeg har egentlig alltid trodd det har vært for godt til å være sant.

Nå har jeg forstått at denne type dating kommer fra mennesker som er akkurat som meg, på utkikk etter uforpliktet sex. Det er ikke bare GRATIS å bli medlem, men du finner mange attraktive, sexy mennesker som er åpne, klare for å flørte, chatte, møtes og LIGGE MED NOEN!

Jeg tenkte at det er et must av meg å fortelle alle RUNDT MEG om denne siden.

[ http://www.mon-massage.ch/model.php?i=1 ... 45n&Qibo=n ] Besøk siden

Jeg håper å se deg der!


pour thierry92 a écrit:From voicemail@bivouac4x4.net Fri Nov 25 20:26:21 2016
Return-Path: <voicemail@bivouac4x4.net>
X-Original-To: thierry92@bivouac4x4.net
Delivered-To: thierry92@bivouac4x4.net
Received: from Dynamic-IP-19014617051.cable.net.co (unknown [190.146.170.51])
by bivouac4x4.net (Postfix) with ESMTP id E9F3A2DD97
for <thierry92@bivouac4x4.net>; Fri, 25 Nov 2016 20:26:20 +0100 (CET)
From:voicemail@bivouac4x4.net
To:thierry92@bivouac4x4.net
Subject: [Vigor2820 Series] New voice mail message from 01405135236 on 2016/11/25 14:20:59
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="9e3299aFa0e711EA"


--9e3299aFa0e711EA
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline

Dear thierry92 :
There is a message for you from 01405135236, on 2016/11/25 14:20:59 .
You might want to check it when you get a chance.Thanks!



--9e3299aFa0e711EA
Content-Type: application/zip; name="Message_from_01405135236.wav.zip"
Content-Transfer-Encoding: BASE64
Content-Description: Voicemail sound attachment.
Content-Disposition: attachment; filename="Message_from_01405135236.wav.zip"
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J'ai sauvegardé ces fichiers sur mon PC et effacé les originaux du serveur, j'ai vidé le cache des 2 forums et relancé le serveur, et ils sont revenus dans la foulée !!!

Postfix a été arrêté et les mails ont été effacé pour retrouver de la place sur le disque dur ...

Maintenant comment faire pour me débarrasser de cette m***e

Merci pour votre aide
thierry92
Apprenti-posteur
Apprenti-posteur
 
Messages: 150
Enregistré le: 06 Mar 2015 à 00:24

Re: envoi important de spam à partir d'une de vos IP

Messagepar pierredu » 27 Nov 2016 à 11:21

Bonjour,

Tu parles de fichiers dont le téléchargement ne s'est pas fait depuis ton serveur. C'est probablement ton antivirus qui les a détectés. Il faudrait que tu les supprimes eux aussi.
Avatar de l’utilisateur
pierredu
Extensions
Extensions
 
Messages: 916
Enregistré le: 29 Mai 2011 à 05:49
Localisation: Paris

Re: envoi important de spam à partir d'une de vos IP

Messagepar thierry92 » 27 Nov 2016 à 19:22

Ce n'est pas mon anti-virus qui m'a interdit le téléchargement, le message indiquait plutot que ce n'était pas possible de le télécharger car il était en service. (enfin si je me rappel bien)

Mais depuis ce matin, j'ai téléchargé les deux forums et j'ai analyser ensuite par AD-Aware et celui ci m'a trouvé 6 Trojans dont voici les noms :
N:\pgrfr\site\bqxfe\usutjkeyepc.js"
N:\pgrfr\site\rfw\pjsevrifye.js"
N:\pgrfr\site\rhgyn\moeuygigni.js"
N:\pgrfr\site\rqus\mrxmfowcj.js"
N:\pgrfr\site\yf\rpsypmqxv.js"
N:\pgrfr\site\qgnpy\qrlitnbugzwy.js"


J'ai donc effacé purement et simplement ces 6 fichiers, mais pourquoi j'ai un répertoire site/ à la racine du forum pgr.fr alors que ça n’apparaît pas sur l'autre ??
A quoi sert ce répertoire site/ et tous ces répertoires constitué de deux à 5 ou 6 lettres et chiffres ??

Merci pour vos réponses
Modifié en dernier par Steph le 27 Nov 2016 à 19:24, modifié 1 fois.
Raison: Suppression de la citation inutile du précedent message en entier
thierry92
Apprenti-posteur
Apprenti-posteur
 
Messages: 150
Enregistré le: 06 Mar 2015 à 00:24

Suivante

Retourner vers Utilisation

 


  • Articles en relation
    Réponses
    Vues
    Dernier message

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 1 invité