Serveur OVH dédié hacké? besoin d'aide

[Lutin Jaune]

Bonjour,

et un grand bravo à ce site, que je parcours déjà depuis quelque temps,

et où l'on trouve les seules infos serieuses concernant les serveurs dédiés...

je viens de reprendre un serveur dédié chez OVH, car l'ancien, qui arrivait presque à la date du renouvellement, a lâché (disk mort).

le nouveau serveur a été livré avec un distribution redhat 7.2 OVH (la même qu'il y a un an sur l'ancien serveur, bonjour la sécurité)

je me demande si ce serveur n'a pas déjà été hacké? et s'il ne sert pas de relay pour du spam

je trouve de plus en plus de mail en retour (par mailer-deamon) vers le compte postmaster_AT_nsxxx.ovh.net

je ne voit aucune trace dans les logs, et pourtant il semble que mon serveur envoie des mails vers des tas d'adresse générées

qqun aurait une piste à me donner pour savoir si mon serveur sert de relay?

Config OVH releasée : PHP 4.4.2/Apache 1.3.34/PhpMyadmin 2.8.2/Mysql 4.1.20

ce matin, j'ai releasé : Qmailadmin 1.2.10 et Vpopmail 5.4.13, mais le "spam"?? semble continuer...

besoin d'aide urgemment avant que le serveur ne se fasse blacklister...

[glibre]

slt

tu as quoi dans ton rcpthost ?

[Lutin Jaune]

merci de ton aide,

j'ai uniquement les 3 domaines que je gère et le serveur nsXXX.ovh.net :

tout semble normal

ns33402.ovh.net

nutrassur.com

all4ta2.com

itcpiercing.com

[glibre]

apres check de ton serveur, il se peut effectivement que ton serveur

serve de relai.

test avec ce site: http://www.dnsgoodies.com/

je te conseille d'installer netqmail, ou du moins le patch chkuser qui permettra

de filtrer les formats d'adresse un peu bizarr.

[Lutin Jaune]

j'avais vu en allant sur http://vsmtp.pagasa.net/

que mon serveur "autoriserait" le relay,

mais j'ai aussi lu que cela ne voulait pas dire que qmail distribue le courrier

tu me propose de placer un filtre qui empêchera les retour de mail du deamon mailer vers postmaster?

j'aimerais surtout savoir si les mails partent de mon serveur, car je crains lavoir été hacké

car lors de la dernière connection ssh (putty) de ce matin, j'ai eu la surprise de voir:

Last login: Mon Jul 24 12:50:16 2006 from cache.ovh.net

habituellement j'ai "... from abo.wanadoo..." ce qui correspond à mon provider.

[glibre]

arg

reste a savoir ce qu"'est cache.ovh.net

peut etre les gars du support?!

sinon c'est pas un filtre, mais un patch qui permet de verifier entre autre l'existence ou pas d'un

utilisateur en local et notamment le format d'adresse.

Cela bloquera les tentatives frequentes avec les adress_ip%domain_AT_domain.com etc.

regardes ca: http://www.shupp.org/toaster/

[Nicolas]

j'avais vu en allant sur http://vsmtp.pagasa.net/

que mon serveur "autoriserait" le relay,

mais j'ai aussi lu que cela ne voulait pas dire que qmail distribue le courrier

tu me propose de placer un filtre qui empêchera les retour de mail du deamon mailer vers postmaster?

j'aimerais surtout savoir si les mails partent de mon serveur, car je crains lavoir été hacké

car lors de la dernière connection ssh (putty) de ce matin, j'ai eu la surprise de voir:

Last login: Mon Jul 24 12:50:16 2006 from cache.ovh.net

habituellement j'ai "... from abo.wanadoo..." ce qui correspond à mon provider.

Bonjour,

C'est p-e une personne d'ovh comme le dit glibre! Tu devrais les contacter afin de savoir si c'est bien eux qui sont allé sur ton serveur (et eventuellement tu leur demande la raison de leur intervention).

[Lutin Jaune]

c'est ce que j'ai fait, pour cache.ovh.net,

je sais pas si c'est du support OVH (support? ca fait drôle de dire ca)

j'ai envoyé un mail au support et je supporte l'attente...

[Lutin Jaune]

bonjour,

je reprend apres une courte nuit

mon problème continue, je recois toujours des bounce de mail que je n'ai pas envoyé

pour la trace de connection depuis ovh.cache.net, il s'agit bien d'un log de OVH

pour vérifier si ma machine était à jour m'ont-ils dit. elle l'est! m'ont-ils affirmé... sic!

alors pourquoi j'ai recu un php,mysql et phpmyadin pas à jour (que j'ai releasé tout seul vu la non aide de OVH)

j'ai peut-être fait des bourdes? et à l'occasion, j'ai peut-être ouvert des portes à d'éventuels hacker?

mais si les guides et how-to d'ovh étaient actualisés, on galèrerait moins

ensuite quand j'ai vu les retours de mails, j'ai releasé qmailadmin et vpopmail

en suivant le tuto de Dan trouvé sur ce site. (Merci Dan, ca a marché sans accro)

je n'arrive donc pas à savoir si c'est moi qui a fait une erreur

ou si le serveur a été livré déjà avec la faille d'open relay?

pour info, et si ca qqun peut m'aider,

je dispose encore pour quelques jours de l'ancien dédié (celui dont le disk a laché)

comme ovh a mis 5 jours à me changer le disk, j'avais repris un nouveau dédié entre temps

en testant l'ancien dédié (remis à plat et config OVH pure) sur le site http://vsmtp.pagasa.net/

le test affiche que le serveur ne réponds pas. il y'a donc qquechose qui a été paramétré ou installé

sur ce serveur et qui doit empêcher soit le relay, soit le retour à une demande de relay ,

mais je n'arrive pas à trouver ce que c'est

qqun pourrais me mettre sur une piste où chercher?

merci d'avance

[glibre]

re--

je n'arrive donc pas à savoir si c'est moi qui a fait une erreur

ou si le serveur a été livré déjà avec la faille d'open relay?

je t'ai dit, installe le patch dont je t'ai parlé, tes problemes seront finis.

en testant l'ancien dédié (remis à plat et config OVH pure) sur le site http://vsmtp.pagasa.net/

le test affiche que le serveur ne réponds pas. il y'a donc qquechose qui a été paramétré ou installé

sur ce serveur et qui doit empêcher soit le relay, soit le retour à une demande de relay ,

mais je n'arrive pas à trouver ce que c'est

qqun pourrais me mettre sur une piste où chercher?

s'il ne repond pas, c'est que ton server SMTP ne tourne pas, et non pas qu'il est bien configuré