Yop,
 
Bon alors je sais pas trop ce que je dois faire.
Mon serveur a commencé à s'affolé sans que je sache pourquoi, je regarde alors dans mes logs et que vois-je ?!
Postfix qui envois des mails à tout va !
 
J'ai donc stoppé le serveur de mail, vider la file d'attente qui contenait plus de 2200 mails...    
Voilà une partie des logs.

Que dois-je faire ?

www-data ca reseemble à l'utilisateur apache, t'aura pas une appli php qui a des failles de sécurité ?

Ben j'héberge des sites.
Comment je peux interdire que mon serveur mail serve de relai ?

en lisant la doc, par exemple...

Ben la directive relay ne comporte aucune valeur.

alors il ne te reste plus qu'à regarder dans les sites hébergés

500 sites...

faire de l'hébergement implique des contraintes et des responsabilités

Je sais, je sais mais il doit y avoir un moyen de bloquer ça. Je vais me faire la doc.

comme quoi tu aurais du commencer par la doc

Et quid des hébergeurs qui parviennent à bloquer la commande mail() de pi aich pi ? Tu pourrais po faire la même choz ?

Ben mon serveur n'est pas pas en open relay donc la doc ne risque pas de me dire comment faire quand c'est sur la machine elle même.
Nop je veux po désactiver la fonction mail() de pi aich pi  

 
.configure -disable-functions=mail
 
ou un truc du genre
 

 
c'est ballot parce qu'à tous les coups tu t'es fait rooter un de tes sites, voire ta bécane si tu n'es pas open-relay alors.
 
donc le plus sage c'est de couper le service mail, de dire à tes usagers que tu es en maintenance et de trouver le coupable.

Et comment je peux faire pour le trouver ? Je sais pas du tout comment m'y prendre, les logs ne sont pas très bavards.

les mails ne sont pas envoyés depuis Apache/PHP mais via un hack qui tourne avec le user www-data (je me suis deja fait niq*er )
 
fais un ps -U www-data, tu devrais voir des process un peu etrange... généralement ce genre de hack se place soit dans /tmp, soit dans /var/tmp, sous la forme de répertoire cachés (.xxx)
 
Sinon, un coup de 'grep -i wget /var/log/apache{2}/*  te dira surement comment est entré le script

Ben j'ai un open_basedir d'activé donc pour le /tmp ou /var/tmp c'est mort.
Je vais te donner le résultat de mes commandes.

Alors pour le ps -U www-data :

Dans /tmp je n'ai rien de tels.
 
Pour la commande grep :

grep -i wget /var/log/apache2/*
 
le {2} c'etait pour le cas ou le répertoire s'appelait apache ou apache2 Tu as rebooté entre temps ?

Rien d'anormal.

bon bah mauvaise piste alors ...

et cela permet de faire le ménage dans un premier temps en interdisant l'utilisation de /usr/lib/sendmail a ton apache.

Euh ouai mais si je fais ça je pourrai plus utiliser la fonction mail() nan ?

 
si la machine s'est fait rootkitée, il est bon pour une réinstall, plus aucune commande n'est fiable.

la  fonction mail() ne sera pas bloqué , c'est simplement qu'il y aura un simple /dev/null dessus
ensuite cela te permettra de découvrir qui a mis un script php a la con (tm).

 
+1

ceci dit on ne sait pas si il s'est fait rookité
c'est peut etre tout simplement lié a un phpbb qui tourne dessus

Ben quand j'active cette option ca me bloque l'envoi de mail

 
+1
 
d'autant que si il s'etait fait rootkiter, les commandes comme su ou cat, grep, etc aurait pu poser probleme.
 
As tu redémarré ton serveur depuis ?

Euh ouaip

bon là fallait pas

Je viens de faire un test avec une page php:
<?php
system("mail user@xxx.com | data.txt " )
?>
 
Donc tu cherche l'heure exacte de l'envoie :
2006-05-25 00:03:49 1Fj1SH-0001zZ-Iz <= www-data@xxx.dyndns.org U=www-data P=local S=327
 
et tu le retrouve dans apache 2 log
86.197.xxx.xxx- - [25/May/2006:00:03:49 +0200] "GET /~user HTTP/1.1" 404 379 "-" "Mozilla/5.0 (Macintosh; U; PPC Mac OS X; fr) AppleWebKit/417.9 (KHTML, like Gecko) Safari/417.8"
 
et tu as même l'ip du gars (et la page en question).

pour le rootkit  ...??? tu reinstallkit
ok, ok je sort...

meme soucis et impossible d'empecher ça.
 
J'ai décommenter la ligne "stmp inetd" dans le master.cf et resultat postif n'envoi plus rien mais ne reçoit plus rien....
 
J'ai besoin de postfix que pour recevoir mes mails, pas pour en envoyer
 
si quequ'un a une idée ???

Sans log et sans ta configuration on ne va pas pouvoir t'aider.
 
Déjà il faudrait voir d'où viennent les mails :
   - d'internet et ton serveur est utilisé en tant qu'open relay -> corriger la configuration (le site de postfix contient pas mal de documentation sur comment configurer les différents modes)
   - de ton réseau local -> blinder les règles  
   - d'un user réel (typiquement www-data) de ton serveur : tu t'es fait piraté via un service web vraisemblablement.

Je me debrouille un minimum sur linux mais c'est vrai que le coté serveur mail j'y comprend rien de rien.
 
Pour préciser c'est un serveur VKimsufi sur lequel j'ai installé ispconfig avec un script d'installation automatique trouvé sur internet
 

 
un exemple de message que je reçois

 
ou
 

 
je dois en recevoir presque 3000 par jours
apparement que sur mon compte et pas sur les autres messagerie du serveur.
 
Si je pouvais simplement empecher l'acces au smtp de l'exterieur je pense que ça suffirait mais je ne sais comment et je ne veux pas planter le serveur qui est en production
 
Merci pour votre aide

Ça se passe dans le main.cf et entre autres :
 
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
smtpd_sender_restrictions = reject_unknown_sender_domain
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks, reject_invalid_hostname, reject_unknown_hostname, reject_non_fqdn_hostname
 
bien entendu, cela n'est qu'un début à ajuster selon tes besoins.

Je reçois plus rien maintenant
 

 
On peut pas juste empêcher d'envoyer des mails ?

C'est des messages d'erreurs d'autres serveurs SMTP que tu recois. Pas des e-mails qui sont envoyé depuis ta machine, jusqu'à preuve du contraire...
 
Deux hypothèses :  
- soit on se sert effectivement de ta machine pour envoyer des e-mails frauduleux
- soit on sert de TON E-MAIL (et PAS de ta machine), pour envoyer des e-mails fraduleux
 
Dans le 1er cas, tu peux faire quelque chose. Dans le second cas, tu ne peux rien faire. Je vote 2.