IpCop piraté, HELP ME !!!

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar Yann31 » 21 Oct 2002 10:40

Bonjour, <BR> <BR>J'ai un problème, j'ai mon adresse IP qui est sur plusieurs black lists. <BR>Apparement plusieurs dizaines de mails à la seconde sortent de chez moi... <BR> <BR>Dans les logs de Web proxy, je peux voir des choses comme çà (les logs de 2 secondes...) : <BR> <BR>09:58:27 192.168.236.1 newlex.netpluscom.com:25 <BR>09:58:27 192.168.236.1 mxpita.iwon.com:25 <BR>09:58:27 192.168.236.1 mail.toastmaster.com:25 <BR>09:58:27 192.168.236.1 mail.oneworldsoftware.com:25 <BR>09:58:27 192.168.236.1 mail.mninter.net:25 <BR>09:58:28 192.168.236.1 nortel.com:25 <BR>09:58:28 192.168.236.1 mailserver.advnet.net:25 <BR>09:58:28 192.168.236.1 ns.xernet.fr:25 <BR>09:58:28 192.168.236.1 sitemail4.everyone.net:25 <BR>09:58:28 192.168.236.1 abexchange1.akronbrass.com:25 <BR>09:58:28 192.168.236.1 mail.mamail.com:25 <BR>09:58:28 192.168.236.1 relay.elektra.ru:25 <BR>09:58:28 192.168.236.1 spool12.valueweb.net:25 <BR>09:58:28 192.168.236.1 mail.zipmail.com:25 <BR>09:58:28 192.168.236.1 smtpmail.xensei.com:25 <BR>09:58:28 192.168.236.1 mail.sunnet.net:25 <BR>09:58:28 192.168.236.1 mail.zipmail.com:25 <BR>09:58:28 192.168.236.1 gateway.nettally.com:25 <BR>09:58:28 192.168.236.1 smtp-gw-4.msn.com:25 <BR>09:58:28 192.168.236.1 mail.i2k.com:25 <BR>09:58:28 192.168.236.1 usmtp.tidc.telus.com:25 <BR>09:58:28 192.168.236.1 mail.zipmail.com:25 <BR>09:58:28 192.168.236.1 mx2.netunlimited.net:25 <BR>09:58:28 192.168.236.1 mail.texpetro.com:25 <BR>09:58:28 192.168.236.1 bones.efg-waco.com:25 <BR>09:58:28 192.168.236.1 e3.ny.us.ibm.com:25 <BR>09:58:28 192.168.236.1 gateway.wvi.com:25 <BR>09:58:28 192.168.236.1 nmx.yeah.net:25 <BR>09:58:28 192.168.236.1 mx07.ipa.net:25 <BR> <BR> <BR> <BR>J'ai pensé à plusieurs points : <BR> <BR>1/ une machine de mon LAN est infectée et envoie du spam, peu probable car d'apres les graphs tout le trafic est sur le RED (le trafic entrant et sortant du GRENN est quasi nul...) <BR> <BR>2/ Un virus sur IpCop, est-ce possible ? <BR> <BR>3/ une faille dans IpCop... pourtant je n'ai pas de port forwarding, pas créé de règles supplémentaires (external services access), bref j'ai la config standard (V0.1.1 avec les 6 patchs) - le seul truc que j'ai installé c'est dansguardian. <BR> <BR>4/ Autre chaose à quoi j'aurais pu ne pas penser... <BR> <BR>PLEASE HELP ME.... <BR> <BR>
Avatar de l’utilisateur
Yann31
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 262
Inscrit le: 20 Août 2002 00:00
Localisation: 31 - near toulouse

Messagepar bri2 » 21 Oct 2002 11:02

REVEILLEZ VOUS LES MECS çà me fait flipper cette histoire !!!!!
Tout solution amène de nouveaux problèmes (Murphy)
Avatar de l’utilisateur
bri2
Vice-Amiral
Vice-Amiral
 
Messages: 896
Inscrit le: 09 Fév 2002 01:00
Localisation: cap d'ail

Messagepar wann » 21 Oct 2002 11:15

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Dans les logs de Web proxy, je peux voir des choses comme çà (les logs de 2 secondes...) : <BR> <BR>09:58:27 192.168.236.1 newlex.netpluscom.com:25 <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Je trouve bizarre que tu aies ce genre de logs dans la partie proxy qui ne doit être qu'un proxy http/ftp il me semble... (et pas un proxy smtp) <BR> <BR>Sinon, dans tes logs, on identifie clairement la machine source dont l'IP est 192.168.236.1 <BR>Est-ce bien une machine de ton lan ? <BR> <BR>
"Free your mind and your ass wil follow" (George Clinton)
Avatar de l’utilisateur
wann
Amiral
Amiral
 
Messages: 1032
Inscrit le: 07 Jan 2002 01:00
Localisation: Nantais, parfois ;-)

Messagepar Yann31 » 21 Oct 2002 11:31

192.168.236.1 est l'IP de IpCop. Comme je le disais j'ai installé DansGuardian. Depuis tout ce que je vois dans les logs Webproxy, sont avec l'@IP d'IpCop. Parcontre j'ai un autre onglet (content filtering) où là j'ai l'@ réelle de la personne qui va sur ou ou telle page, mais dans ces logs la je n'ai pas de trace des logs de spam (...:25)
Avatar de l’utilisateur
Yann31
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 262
Inscrit le: 20 Août 2002 00:00
Localisation: 31 - near toulouse

Messagepar antolien » 21 Oct 2002 13:48

ça fait peur ton truc ! <BR> <BR>je connais des logiciels de spam qui utilisent des proxy smtp avec leur liste mise à jour qui permetent d'envoyer des mails anonymes. <BR>C'est peut être une des machines du lan qui à ce genre de chose d'installée. <BR>Chose bizarre c'est que l'ip source soit celle d'ipcop. <BR> <BR>Essaye d'isoler les machines de ton lan une par une en vérifiant tes logs. <BR>S'il n'y a aucun changement, ce sera sur ipcop et là on va pouvoir avoir peur...
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar remi » 21 Oct 2002 14:34

donne ton adresse IP internet, pour voir si je trouve qchose
Art de vivre : Mourir pour mourir, que cela soit entre le $%#&! des femmes et le $%#&! des bouteilles !
Avatar de l’utilisateur
remi
AdminIxus
AdminIxus
 
Messages: 3218
Inscrit le: 22 Avr 2002 00:00
Localisation: Lyon

Messagepar Yann31 » 21 Oct 2002 14:56

arsenic : je t'ai envoyé mon IP en Message privé... <BR> <BR>Merci d'avance
Avatar de l’utilisateur
Yann31
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 262
Inscrit le: 20 Août 2002 00:00
Localisation: 31 - near toulouse

Messagepar remi » 21 Oct 2002 15:17

tout me parait correctement protégé, je n'atteint même pas ton ipcop, <BR> <BR>je comprends pa, mais g fais ca rapidly, j'essaierai ce soir, j'aurai mieux le temps...
Art de vivre : Mourir pour mourir, que cela soit entre le $%#&! des femmes et le $%#&! des bouteilles !
Avatar de l’utilisateur
remi
AdminIxus
AdminIxus
 
Messages: 3218
Inscrit le: 22 Avr 2002 00:00
Localisation: Lyon

Messagepar Yann31 » 21 Oct 2002 15:22

antolien : <BR>Depuis tout ca, je me suis deconnecté et reconnecté, du cout j'ai changé d'@IP. Depuis que j'ai changé d'@IP, plus de spam... Mais pour combien de temps ? Enfin tout ca pour dire que je ne peux pas (pour l'instant) essayer "ta méthode". <BR>Mais bon si on réfléchit un peu : j'ai changé d'@ IP et là plus de spam, est-ce que ca ne voudrait pas dire que c'est plutot de l'exterieur que ca vient ? Car si c'etait de l'interieur le fait de me deconnecter et me reconnecter la machine sur le LAN aurait continué à spammer... <BR> <BR>N'etes vous pas d'accord avec moi (ou plutot avec cette logique) ? <BR> <BR> <BR>arsenic : Merci et tiens moi au courant (je t'envoie mon email en PM)
Avatar de l’utilisateur
Yann31
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 262
Inscrit le: 20 Août 2002 00:00
Localisation: 31 - near toulouse

Messagepar remi » 21 Oct 2002 15:32

c pour ca que je voyais rien, y avais rien a voir !!!! <IMG SRC="images/smiles/icon_lol.gif"> <IMG SRC="images/smiles/icon_lol.gif">
Art de vivre : Mourir pour mourir, que cela soit entre le $%#&! des femmes et le $%#&! des bouteilles !
Avatar de l’utilisateur
remi
AdminIxus
AdminIxus
 
Messages: 3218
Inscrit le: 22 Avr 2002 00:00
Localisation: Lyon

Messagepar antolien » 21 Oct 2002 15:33

oui, ta logique est implaquable, <BR> <BR>Juste besoin d'une précision: <BR>donne nous l'adresse source(ainsi que le port) <BR>et celle de destination(idem). <BR>car d'après ce que j'ai pu comprendre, l'adresse source est celle de ton firewall, donc cela ne viens pas de l'exterieur. <BR> <BR>Dans le cas contraire, c'est ton firewall qui a bloqué les messages entrants en smtp sur ton domaine. Ce serai alors du spam qui ARRIVE de l'exterieur, et non qui PART vers l'exterieur. <BR> <BR>Je sais pas si je me suis bien exprimé...
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar eol » 21 Oct 2002 16:31

petite question: as tu un serveur de mail d'installe sur ta becane ? <BR> <IMG SRC="images/smiles/icon_confused.gif">
Le paresseux demande un oiseau, le courageux ne demande qu'un arc et des fleches (proverbe indien), auquel j'ajoute : le présomptueux ne demande qu'un arc et une fleche
Avatar de l’utilisateur
eol
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 218
Inscrit le: 11 Sep 2002 00:00
Localisation: Lyon

Messagepar antolien » 21 Oct 2002 16:43

oui bonne question, car si tu as un serveur de mail, c'est presque normal: <BR> <BR>"presque" parce que toutes les 2 sec ça fait bcp (ca dépend combien ya de postes clients). <BR> <BR>et aussi parce que normalement cela n'est pas logué (sauf si justement le port forward n'est pas activé pour le serveur de mail) <BR> <BR>on attend alors >source >destination pour y voir plus clair <BR> <BR>A suivre ...
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar Yann31 » 21 Oct 2002 16:59

<!-- BBCode Start --><B>antolien : </B><!-- BBCode End -->Comme je l'ai expliqué depuis que j'ai installé DansGuardian, dans les logs Webproxy, tout ce qui est fait sur Internet est marqué avec l'@IP du serveur IpCop. Parcontre si je veux savoir qui est allé sur <!-- BBCode auto-link start --><a href="http://www.yahoo.fr" target="_blank">www.yahoo.fr</a><!-- BBCode auto-link end --> (par exemple)à telle heure, je vais voir dans les logs Content filter et là j'ai l'adresse IP de la machine sur le LAN qui est allé sur Yahoo. Parcontre ce qui est bizarre c'est que je vois les logs sur le port 25 dans les logs Web proxy (donc avec l'IP d'IpCop) mais pas dans content filter (logs de DansGuardian) <BR> <BR>J'espere que ce que j'ai dit est clair parce que je commence a m'embrouiller <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>Donc en fait, pour résumer, dans les logs je ne vois pas d'autres adresses sources que celle d'IpCop (ce qui est logiquevu ce que j'ai expliqué). Maintenant il y a peut etre un autre endroit ou je pourrais trouver ca mais il faut que vous me disiez où... <BR> <BR><!-- BBCode Start --><B>eol :</B><!-- BBCode End --> Non je n'ai pas de serveur de mail installé : Install standard de IpCop + DansGuardian (à moins qu'il y ait un serveur de mail installé par défaut)... <BR> <BR>En vous remerciant à tous de votre aide.
Avatar de l’utilisateur
Yann31
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 262
Inscrit le: 20 Août 2002 00:00
Localisation: 31 - near toulouse

Messagepar Yann31 » 21 Oct 2002 17:02

En tous cas pas de port forwarding...
Avatar de l’utilisateur
Yann31
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 262
Inscrit le: 20 Août 2002 00:00
Localisation: 31 - near toulouse

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Google [Bot] et 1 invité

cron