mail bombing

[jibe]

Salut,

J'ai subi ce matin une sérieuse attaque de mail bombing qui me laisse sceptique... et très inquiet.

Leny (ma chère et tendre) a démarré la première son poste sous Ubuntu, et tenté de relever ses mails avec thunderbird 1.5.0.4 (boites IMAP sur la SME 6.01, fetchmail de sibsib, clamav+spamassassin de knudsen, mailrules). Elle m'appelle, parce que Thunderbird n'en finit pas...

La SME semble très active, et quelques investigations plus tard, je comprends : attaque de mail bombing, environ 8 mails/s rejetés, adressés tous à des adresses inexistantes de mon nom de domaine, et donc arrivant directement sur la SME (j'ai d'autres boites chez Free, relevées par fetchmail).

Finalement, le tout s'est calmé quelque temps après l'arrêt du poste de Leny. Pas tout à fait sûr que ce soit bien cet arrêt qui ait stoppé l'afflux de mails, puisque ça n'a pas été simultané et que j'avais fait quelques tentatives pour stopper l'afflux (déconnexion du modem pour pouvoir reprendre la main - le serveur était saturé et ne répondait plus - et arrêt de fetchmail entre autres). Mais en analysant les logs, c'est flagrant : le mail bombing a démarré exactement en même temps que Thunderbird !!!

L'analyse des logs ne m'indique pas grand chose, si ce n'est la trace de tous ces emails rejetés pour adresse inexistante. Un clamscan sur le poste de Leny n'a rien trouvé, celui que j'ai lancé sur le serveur n'est pas terminé, mais pour le moment n'indique rien de spécial...

Quelqu'un a une piste de recherche ?

Petite indication : Leny a la sale habitude, malgré mes avertissements, à aller trainer sur des sites philippins manifestement pas clairs. Clamav arrête régulièrement des virus en provenance de ces sites. Un virus inconnu qui aurait infecté Thunderbird ? Sous Ubuntu, ça me surprend quand même...

[Franck78]

J'ai déjà eu deux foix le thunderbird d'une copine (xp1503/4) qui c'est planté les index dans ses boites. Résultat: impression de lire à n'en plus finir, nombre de message incohérent. etc etc etc...
Si le pop/imap consulté par thunderbird se limite à la SME, pas vraiment de lien avec la reception par le SMTP...

Ah oui, pour réparer TH, suffit de virer les fichiers d'index.

[jibe]

Salut,

Merci pour ta réponse, Franck. Hélas, cela aurait été trop simple : les mails sont bien arrivés, ils figurent dans les logs. Et ils n'ont jamais été distribués, ayant été rejetés par qmail pour adresse inconnue.

Je rappelle le problème en résumant : DOS du serveur par mailbombing (en fait, très classique), le dit mailbombing ayant été déclenché exactement en même temps que thunderbird était lancé (d'où j'en conclus probablement lancé par)...

Une longue coupure de courant a arrêté le serveur avant que clamav ait fini de le scanner... Je relancerai... Aujourd'hui, tout semble rentré dans l'ordre, mais je n'ai pas reconnecté le poste de Leny (plus de liaison ethernet).

D'autres idées ?

[jibe]

Salut,

Avant de relancer un scan total, j'ai scanné les boites de Leny. Clamav m'y détecte un trojan, mais dans les mails reçus aujourd'hui...

=> Question annexe : comment clamav n'a-t-il pas détecté à la réception le trojan qu'il détecte ensuite lors d'un scan

Tout continue à bien fonctionner, mais toujours avec le poste de Leny déconnecté. Je tenterai demain de le reconnecter et de lui faire lire ses mails. On verra ce qui se passe...

D'ici là, si quelqu'un a une idée ? Je préférerais comprendre ce qui s'est passé, ou à défaut faire un max de vérifs (suggestions bienvenues) avant de retenter le lancement de Thunderbird sur le poste de Leny...

A noter que sur mon poste, tout se passe sans problèmes.

[mat67]

Salut,

J'ai subi ce matin une sérieuse attaque de mail bombing qui me laisse sceptique... et très inquiet.

Leny (ma chère et tendre) a démarré la première son poste sous Ubuntu, et tenté de relever ses mails avec thunderbird 1.5.0.4 (boites IMAP sur la SME 6.01, fetchmail de sibsib, clamav+spamassassin de knudsen, mailrules). Elle m'appelle, parce que Thunderbird n'en finit pas...

La SME semble très active, et quelques investigations plus tard, je comprends : attaque de mail bombing, environ 8 mails/s rejetés, adressés tous à des adresses inexistantes de mon nom de domaine, et donc arrivant directement sur la SME (j'ai d'autres boites chez Free, relevées par fetchmail).

Finalement, le tout s'est calmé quelque temps après l'arrêt du poste de Leny. Pas tout à fait sûr que ce soit bien cet arrêt qui ait stoppé l'afflux de mails, puisque ça n'a pas été simultané et que j'avais fait quelques tentatives pour stopper l'afflux (déconnexion du modem pour pouvoir reprendre la main - le serveur était saturé et ne répondait plus - et arrêt de fetchmail entre autres). Mais en analysant les logs, c'est flagrant : le mail bombing a démarré exactement en même temps que Thunderbird !!!

L'analyse des logs ne m'indique pas grand chose, si ce n'est la trace de tous ces emails rejetés pour adresse inexistante. Un clamscan sur le poste de Leny n'a rien trouvé, celui que j'ai lancé sur le serveur n'est pas terminé, mais pour le moment n'indique rien de spécial...

Quelqu'un a une piste de recherche ?

Petite indication : Leny a la sale habitude, malgré mes avertissements, à aller trainer sur des sites philippins manifestement pas clairs. Clamav arrête régulièrement des virus en provenance de ces sites. Un virus inconnu qui aurait infecté Thunderbird ? Sous Ubuntu, ça me surprend quand même...

salut,

concernant le Ubuntu, qu'en fait elle sa cheriounette ? quel usage ? Bureautique ? autre ?

je pose la question vue que je le trouve de plus en plus interessant ce Ubuntu.

[jibe]

Salut,

concernant le Ubuntu, qu'en fait elle sa cheriounette ? quel usage ? Bureautique ? autre ?

je pose la question vue que je le trouve de plus en plus interessant ce Ubuntu.

On s'écarte un peu de la question de départ
Disons principalement bureautique et internet. Elle fait des traductions, principalement français ou anglais -> tagalog ou hiligaynon ou l'inverse, mais aussi un peu de français -> anglais. Elle a donc également un logiciel spécialisé (me souviens pas duquel, faudrait que j'aille voir sur sa bécane) qui permet tout un tas de trucs : gestion des historiques de modifications, comparaisons, comptage des mots etc. Un peu aussi d'applications graphiques (web design et création/retouches d'images pour sites web, animations), mais ça elle le fait encore beaucoup sous windows.

J'ai remis en route son poste, pour le moment ça a l'air Ok. Mais j'ai reçu depuis beaucoup plus (plus du double) de spam que d'habitude... Un collègue m'a dit avoir eu aussi une attaque de mailbombing Lundi... Je ne sais pas trop quoi penser, et ne suis pas très tranquille...

Mais bon, vu comme ça a l'air d'inspirer du monde ici, je vais "wait and see"...

[arapaho]

La SME semble très active, et quelques investigations plus tard, je comprends : attaque de mail bombing, environ 8 mails/s rejetés, adressés tous à des adresses inexistantes de mon nom de domaine, et donc arrivant directement sur la SME (j'ai d'autres boites chez Free, relevées par fetchmail).

Bon 8 rejets par seconde, c'est pas non plus une tuerie si ta SME n'est pas sous-dimensionnée [genre [3|4]86].

Ensuite le thunderbird qui n'en finit plus, je pencherais plus pour un problème d'accès concurrent sur les fichiers entre le daemon IMAP et thunderbird et le daemon SMTP qui pédalait dans la semoule. Donc clairement une coïncidence. Ou du moins un aggravement.

Faudrait monitorer un peu plus jibe Genre le nombre de handles demandés, ouverts, les erreurs d'accès concurrents sur les fichiers entre les daemons parce que ça reste relativement vague comme problème.

[jibe]

Salut,

Certes, tes conseils sont judicieux, arapaho ! Mais pendant, j'avais toutes les peines du monde à avoir la main (genre 1 à 2 minutes pour se logger et pour taper des commandes). Oui, c'est vrai que ma SME est un peu sous-dimentionnée, bien qu'en temps normal elle s'en sorte très bien : c'est un Céleron de 1,2 Ghz mais seulement 128 Mo de ram. Donc, pas pu voir grand chose pendant l'attaque.

Après, je n'ai rien vu (su voir ?) dans les logs. Mais ne sachant pas trop quoi et où chercher, je suis peut-être passé à côté de choses intéressantes... C'était aussi un peu le but de ma question : savoir quoi et où chercher.

Tu m'as éclairé sur le quoi (j'aurais effectivement dû y penser !) Maintenant, reste à savoir où je peux trouver les nombres de handle et les erreurs d'accès concurrentiels ? Jamais eu jusque là à me poser la question si et où cela peut être inscrit...

L'absence de nouveau problème semble faire nettement pencher la balance vers une simple coïncidence, mais je suis quand même très surpris de ce démarrage simultané de l'afflux de mails et de thunderbird. Je ne peux affirmer que c'est à la seconde près, mais j'avais regardé l'heure juste avant que Leny ouvre Thunderbird et je peux affirmer qu'il y a moins d'une minute d'écart (je règle ma montre sur l'horloge système, synchronisée par ntp)...

[jibe]

Il y a eue il y au debut de ce mois un exploit remote exploitation de Ubuntu qui affecte thunderbird sous Ubuntu V 5.10 et 5.04 -regarde peut etre de ce cote la- pour pallier a ce probleme pas de magie... upgrader .

Aïe, pas vu passer l'info... Merci de me l'avoir donnée

Bon, je sais ce qu'il me reste à faire ce week-end : je suis toujours sous Breezy...

Il faudra quand même que je voie comment cette faille a pu être utilisée à travers la SME...

[pbordere]

Bonjour,

Juste à titre d'info sur le dimensionnement matériel d'une SME 6.5.

Avec un PII 350Mhz et 256Mo de ram, ma machine ma permis de filtrer les mails du bureau lorsque des clients ont été infectés par des virus "bombardiers". Durant près de 48h (le temps que ces clients fassent le ménage chez eux) ma sme filtrait plus de 5000 virus par heures tout en restant (relativement) disponible. Certe, les disques crépitaient allégrement...

[jibe]

Salut,

Merci pour l'info. Mais d'après ma (petite) expérience, en pareil cas il semble que ce soit plus la RAM qui joue que la vitesse du proc... Il faut dire aussi qu'un céleron est bien mal placé dans ce cas, sa vitesse ne lui sert à rien puisqu'il ne parvient pas à communiquer avec la mémoire assez vite. Voir aussi le réglage de la swap...

Je pense donc que, compte tenu de tout cela, il n'est pas étonnant que ma SME se soit "mise à genoux" devant l'afflux de mails, les 128 Mo de ram étant alors insuffisants. Va falloir que j'investisse !

Pas de nouvelle attaque depuis. Je penche donc assez pour l'explication donnée par s0l0. Pas eu le temps cependant de regarder comment cela avait pu se faire à travers la SME...

[jibe]

Salut,

Je reviens un peu sur le sujet, pour la question concernant les caractéristiques techniques requises...

Ma SME est tombée en panne 2h après mon départ en vacances Un coup d'orage un peu violent... Du coup, pendant deux semaines, mon courrier est resté dans le MX Backup (dans mon cas, MailHop de dyndns). Au retour, après remise en état de marche, la SME était complètement saturée et il fallait à nouveau largement deux minutes pour se logger ou voir quelque chose se passer après avoir tapé une commande...

Le fautif est de toute évidence spamassassin qui semble excessivement gourmand en ressources. Tout va bien lorsque les mails arrivent "normalement", mais lorsqu'ils affluent à grand débit, comme lors du transfert du MX Backup vers la SME ou lors d'une récupération d'un grand nombre par fetchmail, la SME est débordée !

Comment améliorer les choses ? Une augmentation de la mémoire serait-elle suffisante ? Si oui, il faudrait passer à combien (128 Mo actuellement, 150 mails/jour... et pas loin de 2500 d'un coup à mon retour de vacances, dont bien évidemment plus de 90% de spam)