[renaud63]

voici ce qu'affiche le firewall :

Citation

Nom Description Commande
Nouvelle règle personnalisée Autoriser entrant de tout sur les ports 53/tcp, 53/udp
Interface d'administration de Plesk Autoriser entrant de all
serveur WWW Autoriser entrant de all
Serveur FTP Autoriser entrant de all
Serveur SSH (shell sécurisé) Autoriser entrant de all
SMTP (submission port) server Autoriser entrant de 87.106.217.160
Interdire entrant de tous les autres
Serveur SMTP (envoi de mail) Autoriser entrant de all
Serveur POP3 (récupération de mail) Autoriser entrant de all
serveur IMAP (récupération de mail) Autoriser entrant de all
service de changement de mot de passe du mail Autoriser entrant de all
Serveur MySQL Autoriser entrant de all
Serveur PostgreSQL Interdire entrant de tout
Interface d'administration de Tomcat Interdire entrant de tout
Samba (file sharing in Windows networks) Interdire entrant de tout
VPN Plesk Interdire entrant de tout
Serveur de nom de domaine Autoriser entrant de all
service de Ping Autoriser entrant de all
Politique système pour le trafic entrant Interdire tout autre trafic entrant
Politique système pour le trafic sortant Autoriser tout autre trafic sortant
Politique système pour les transferts (trafic) Interdire transfert de tout autre trafic

et d'après ça la règle pour le 53 est en 1er.
Et dans shell, si je fais : netstat -natup | grep 53
J'obtiens :

Citation

tcp 0 0 0.0.0.0:993 0.0.0.0:* LISTEN 25392/couriertcpd
tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN 25382/couriertcpd
tcp 0 0 87.106.217.160:80 38.99.97.53:51115 SYN_RECV -
tcp 0 0 213.165.94.152:53 0.0.0.0:* LISTEN 20881/named
tcp 0 0 87.106.217.160:53 0.0.0.0:* LISTEN 20881/named
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 20881/named
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 20881/named
tcp 1 0 87.106.217.160:51053 212.227.116.10:80 CLOSE_WAIT 3894/udevd
tcp 1 0 87.106.217.160:43253 93.184.221.133:80 CLOSE_WAIT 3894/udevd
tcp 0 0 ::ffff:87.106.217.160:22 ::ffff:109.210.237.45:58959 ESTABLISHED 15332/sshd: root_AT_no
tcp 0 0 ::ffff:87.106.217.160:80 ::ffff:38.99.97.53:30394 TIME_WAIT -
udp 0 0 0.0.0.0:53 0.0.0.0:* 20881/named
udp 0 0 213.165.94.152:53 0.0.0.0:* 20881/named
udp 0 0 87.106.217.160:53 0.0.0.0:* 20881/named
udp 0 0 127.0.0.1:53 0.0.0.0:* 20881/named
udp 0 0 0.0.0.0:5353 0.0.0.0:* 22329/avahi-daemon:
udp 0 0 :::5353 :::* 22329/avahi-daemon:

Ce message a été modifié par renaud63 - 07 mars 2010 - 13:06.

[jcaron]

Il n'y a pas quelque chose à faire genre "appliquer les règles"? Parce que là c'est sûr, ça ne passe toujours pas. Il n'y a pas de filtrage au niveau de 1&1? Essaie aussi en comparant les règles sur les deux serveurs: il y en a sur lequel ça marche, il faut donc faire pareil sur l'autre :-)

Jacques.

[renaud63]

Euh...quand tu dis "sur les deux serveurs"...
tu parles de 1 and 1 et de mon privé ?

Oui je vois sur 1 and 1 qu'un parefeu est activé sur l'IP 1.
Je modif.

Ce message a été modifié par renaud63 - 07 mars 2010 - 13:28.

[jcaron]

Ah ben voilà...

Les glue records ne sont pas encore à jour, mais pour le reste c'est bon maintenant.

Jacques.

[renaud63]

Super !
Je te remercie beaucoup, vraiment.
Avant de clore ce sujet, j'aurais quelques questions à te poser :

- Pour que les tests fonctionnent, j'ai désactivé le pare-feu de 1 and 1 mais laissé celui de PLesk avec ces deux règles :
* Autoriser entrant de tout sur les ports 53/tcp, 53/udp
* Autoriser sortir vers tout sur les ports 53/tcp, 53/udp
n'est ce pas dangereux de laisser ça ?

- Par ailleurs, j'ai l'impression que mon serveur a été hacké et qu'il sert pour envoyer des spams. Car j'ai trouvé ce genre de "undelivered" dans
la file attente des messages :

Citation

Received: by s15303100.onlinehome-server.info (Postfix)
id 87EAD2407619D; Sun, 7 Mar 2010 09:46:25 -0500 (EST)
Date: Sun, 7 Mar 2010 09:46:25 -0500 (EST)
From: MAILER-DAEMON_AT_s15303100.onlinehome-server.info (Mail Delivery System)
Subject: Undelivered Mail Returned to Sender
To: caroline26141_AT_yahoo.com
Auto-Submitted: auto-replied
MIME-Version: 1.0

Comment en être sûr ? quels tests faire ?
J'ai installé Clamav et mises à jour par cron + fail2ban pour les attaques "brute force" ftp + chrootkit.
clamav scanne le dossier www et ne trouve rien. Faut il faire un scan complet ?
Comment savoir si une "bête" est tapie quelque part ?
Si un des domaines est vérolé, comment savoir lequel ?
Quels logs scruter ?

Merci encore pour tes précieux conseils.
Renaud.

Ce message a été modifié par renaud63 - 07 mars 2010 - 16:02.

[jcaron]

Sans avoir le mail complet (en particulier le motif du mail d'erreur et les headers du mail qui l'a déclenché), difficile à dire...

Jacques.

[renaud63]

oui, je suppose que ce type de mail est un bounce : son titre est "undelivery" et il se retrouve en file attente de postfix.
Mais pas de trace du message original qui a provoqué ce bounce...
Mais si tu avais un doute sur une possible infection, que regarderais-tu ?

[jcaron]

Ben si, dans le corps du bounce...

Sinon tu devrais trouver quelques infos dans /var/log/maillog aussi.

Jacques.

[renaud63]

Je vais regarder de ce côté-là, oui. Car dans la file d'attente, si on ouvre un msg, on a que ses entetes. Pas de corps.
Je te remercie beaucoup pour l'aide que tu m'as apportée.
Bonne fin de week-end.
Cordialement.
Renaud.