DEDIBOX-NEWS.COM
Le Forum Non Officiel de la DEDIBOX
Vous n'êtes pas identifié.
#1 2008-04-18 10:28:45
- DKreeK
- Petit scarabé
- Date d'inscription: 2006-07-13
- Messages: 54
Pb Openrelay
Salut à tous,
Je viens de recevoir un message de la part du NOC m'indiquant que mon serveur était Openrelay. Pouvez vous m'aider car je ne vois pas trop ou chercher ni quoi chercher. Tout ce que je souhaite faire c'est recevoir des mails et en envoyer via le wbemail ou via les sites web hebergé sur la machine. Pas d'accés SMTP depuis l'extérieur.
Voici le message que j'ai recut :
Serveur concerné: sd-XXX (88.191.XXX.XXX)
Date d'emission: mercredi 16 avril 2008 à 09:22
Description: What happened?
ZoneAlarm prevented a remote computer from connecting to port 21 on your computer. This connection attempt was probably a port scan trying to find unprotected FTP (File Transfer Protocol) servers.
Alert property Alert property value Technical explanation
Source IP Address 88.191.XXX.XXX The IP address of the computer that sent the packet which caused the alert.
Source Port 33201 The port used by the source computer when sending the packet.
Destination IP 72.66.170.xxx The IP address of the computer to which the packet was sent.
Destination Port 21 The port on the destination computer used to receive the packet.
TCP Flags SYN Flag indicating the start of an Internet or network connection.
Transport Layer Protocol TCP The protocol that allows data to be transported between software programs on different computers.
Network Layer Protocol IP The protocol that allows two networked computers to locate each other on a network.
Link Layer Protocol Ethernet The protocol that allows two directly linked computers to share a network cable.
Alert Date Apr-15-2008 10:54:41 PM PDT The time when ZoneAlarm detected the alert on your computer.
Alert Count 2 Number of times this connection attempt repeated its attempt on your machine after the original alert. ZoneAlarm shields your machine from repeated displays of an identical alert.
Hors ligne
#2 2008-04-18 13:32:34
Re: Pb Openrelay
Où t'as vu que ZoneAlarm = NOC ?
Où t'as vu que le message te dit que ton serveur est OpenRelay ?
Où t'as vu que le message te parle de SMTP, de port 25, de mail ou autre ?
T'es sur de savoir comprendre l'anglais ?
ZoneAlarm prevented a remote computer from connecting to port 21 on your computer. This connection attempt was probably a port scan trying to find unprotected FTP (File Transfer Protocol) servers.
ZoneAlarm a empeché un ordinateur distant de se connecter au port 21 de votre ordinateur. Cette tentative de connexion est surement un scan de port pour tenter de trouver un FTP non securisé.
Et après, c'est le détail des infos de connexions...
Franchement, je suis curieux de savoir comment tu as fait pour en conclure à un OpenRelay SMTP...
Hors ligne
#3 2008-04-18 13:44:20
- DKreeK
- Petit scarabé
- Date d'inscription: 2006-07-13
- Messages: 54
Re: Pb Openrelay
J'en ai déduit cella de la part du message qui m'a été renvoyé par le service dedibox :
Openrelay: Votre serveur SMTP est openrelay et peut servir à expédier des spams, verifiez sa configuration.
Mais j'ai cherché et fait plusieurs tests, le relay n'est pas authorisé sur le serveur. Je cherche du coté du FTP en ce moent
Dernière modification par DKreeK (2008-04-18 13:44:39)
Hors ligne
#5 2008-04-18 13:56:23
- DKreeK
- Petit scarabé
- Date d'inscription: 2006-07-13
- Messages: 54
Re: Pb Openrelay
Je ne trouve rien du coté du SMTP mais dans le rapport on me parle du port 21. C'est pour ca que je cherche du coté du FTP. Si y a pas un truc qui scan des FTP ouvert.
Hors ligne
#6 2008-04-18 14:02:30
Re: Pb Openrelay
T'as toujours pas du saisir de le sens du message...
Il te dit qu'il a bloqué un scan...
C'est comme si ton antivirus te disait qu'il a détruit un virus...
Et histoire de te faire gagner du temps, il n'y a aucun lien entre FTP et SMTP...
http://www.mxtoolbox.com/diagnostic.aspx
Hors ligne
#7 2008-04-19 01:55:06
- DKreeK
- Petit scarabé
- Date d'inscription: 2006-07-13
- Messages: 54
Re: Pb Openrelay
Je viens de voir que j'avais deux trucs d'installé et qui ne venait pas de moi :
/home/ftp/public_html/nyck.php
/var/lib/mysql/public_html/bebe.php
Et dans les logs je vois des URL du genre : http://sd-XXX.dedibox.fr/~ftp/nyck.php ou http://sd-XXX.dedibox.fr/~mysql/bebe.php
J'ai désactivé le module userdir : a2dismod userdir.
Par contre je n'arrive pas à trouver comment dans les logs ils ont réussi à mettre ces scripts sur le serveur. J'ai analysé les logs et je trouve bien la première utilisation de /~ftp/nyck.php à la même date que la création du dossier. J'ai regarder les logs d'apache sur la journée et la journée précédente et je ne trouve rien. Ni si nyck.php ou bebe.php ni sur l'IP.
Quelqu'un aurais une idée à me filer ?
Hors ligne