Virus sur serveur de mail (postfix sur station Sun) ?

[benj63]

Bonjour,

Je travaille dans une petite société, et nous avons notre propre serveur de mail sur une machine Sun Solaris Ultraspark. Elle n'est pas derrière notre firewall, puisque celui-ci nous sert uniquement pour séparer notre réseau privé, interne, de l'extérieur.

J'ai installé postfix, et un serveur pop3... et ce ptit serveur de mail fonctionne bien depuis 3 mois...

Seulement, depuis 2 jours, des choses bizarres sont apparues :

- un compte utilisateur de la machine a disparu hier (je l'ai recréé)
- le mot de passe de ce compte semble avoir été modifié aujourd'hui (puisque l'utilisateur ne pouvait plus se connecter)
- un autre compte utilisateur a disparu aujourd'hui...


Est-ce du à un virus ? A une attaque extérieure ? Comment faire pour sécuriser ma machine ?

Merci par avance !

[mat67]

Bonjour,

Je travaille dans une petite société, et nous avons notre propre serveur de mail sur une machine Sun Solaris Ultraspark. Elle n'est pas derrière notre firewall, puisque celui-ci nous sert uniquement pour séparer notre réseau privé, interne, de l'extérieur.

J'ai installé postfix, et un serveur pop3... et ce ptit serveur de mail fonctionne bien depuis 3 mois...

Seulement, depuis 2 jours, des choses bizarres sont apparues :

- un compte utilisateur de la machine a disparu hier (je l'ai recréé)
- le mot de passe de ce compte semble avoir été modifié aujourd'hui (puisque l'utilisateur ne pouvait plus se connecter)
- un autre compte utilisateur a disparu aujourd'hui...


Est-ce du à un virus ? A une attaque extérieure ? Comment faire pour sécuriser ma machine ?

Merci par avance !

il faudrait faire un audit securité, et/ou installer un firewall devant cette machine aussi. je suppose que quelqu'un a un accés admin sur cette machine de l'extérieur (ce qui ne serait pas arrivé avec un firewall bien configuré devant)

[doohanjoe]

Je suis assez d'accord avec mat67, il faudrait consulter les fichiers de logs pour voir si il y a eu des connections et depuis où et par qui, si ça se trouve c'est même quelqu'un d'interne à la société

Et pour ce qui est des virus, je ne pense pas que ça soit ça vu qu'il ne doit pas y en avoir beaucoup qui tourne non seulement sur du Sun mais qui marchent sur une architecture de type sparc

Bon courage !

[mat67]

Je suis assez d'accord avec mat67, il faudrait consulter les fichiers de logs pour voir si il y a eu des connections et depuis où et par qui, si ça se trouve c'est même quelqu'un d'interne à la société

Et pour ce qui est des virus, je ne pense pas que ça soit ça vu qu'il ne doit pas y en avoir beaucoup qui tourne non seulement sur du Sun mais qui marchent sur une architecture de type sparc

Bon courage !

oui, +1 pour "quelqu'un d'interne à la société ", j'y avais pensé aussi.

Mais bon, même en interne, avec un mot de passe admin beton avec les 4 criteres "2 min" + "2 maj" + "2 accent" + "2 chiffres" minimum, c'est difficile de faire quelque chose de "pas autorisé" sur le serveur.

Oui, bon courage à eux effectivement !