Raphaël RIGNIER a écrit :
West a écrit :
Bonjour la liste,

J'ai un gros soucis depuis quelques jours, j'ai à ma disposition un serveur de mail sous Debian externalisé (serveur dédié).

Des que je lance une connexion au serveur, j'ai en retour un "connexion refused", ssh,web, smtp, en telnet sur plusieurs ports.

J'ai bien sur désacttivé le firewall, Fail2ban, mais rien à faire.

Connexion avec le mode rescue, les logs n'indiquent rien de particulier mise à part tous les reboots, qui ont l'air d'etre logué jusqu'a la fin du processus de boot, rien concernant les drops dans les logs kernel,syslog, firewall ou encore messages.

Je suis retourné à mon ancien kernel, bien que le dernier fonctionne depuis dejà plusieurs mois sans soucis (j'ai un 2eme serveur avec quasiement la meme config, mais il n'a rien).

j'ai lancé wireshark, et lors des tentatives de connexion j'ai un beau RST,ACK juste apres mon SYN.

Je n'ai aucune autre possiblité de me connecter mise à part le mode rescue pour remonter les disques. D'ailleurs je vois pas pourquoi ca fonctionne avec ce mode en ssh(port 22) et une fois booter normalement plus rien !!

J'ai testé plusieurs ports, ceux qui sont supposés etres ouverts sur mon serveur, et j'ai pu remarqué que la connexion se faisait sans probleme sur le port LDAP/LDAPS. Je n'ai réalisé le test qu'en telnet sur ldap/ldaps mais je n'avais pas de "connexion refused".


Si quelqu'un peut me donner des idées de recherche, car là je vois plus trop ou chercher, j'ai passé la nuit la dessus sans resultat, c'est peut etre un truc tout bete, mais je suis parti dans pas mal de direction sans resultat, je prefrere donc demander de l'aide à des cerveaux plus reposés et mieux remplis .

Merci de votre aide

++

Bonjour,

Le réseau et la carte ont l'air de fonctionner. Le "connexion refused" correspond à un service qui ne tourne pas. Je pense qu'il faut regarder du côté de la configuration des services 1 par 1 : ex : /etc/init.d/ssh start, et voir les log on encore en mode "non démon" pour voir en temps réel ce qui se passe au niveau du lancement. Exemple : sshd -d -D

Les ports sont ils ouverts? Que donne netstat -l?

Peut être avez-vous subit une attaque ? Et qu'on a déconfiguré tous les services ? Ou aurait installé des versions modifiées ?
Réinstaller les paquet depuis une source sûre avec support de clés GPG?

Ce sont quelques idées en vrac.

Cordialement.



C'est vrai que je peut tenter de lancer un 2eme serveur ssh mais à partir du binaire(et fichiers de conf) de mon disque monté depuis le mode rescue.

Ben normalement les tests je l'ai fait sur des ports qui sont supposés être ouvert j'en ai au moins 7 (pop3s,smtp,smtps,ldap,ldaps,web,ssh).

Je ne peut pas faire de netstat n'ayant pas la main sur le serveur. J'ai pourtant essayer de bidouiller un truc du genre rajouter une ligne de le crontab pour planifier une tache justement pour me remonter ce type d'infos, mais la tache ne se lance pas.

J'ai tenté autre chose, mettre un script au démarrage pour récupérer les infos(netstat,ps ....) il s'est bien exécuté, mais je crois qu'il n'a pas le tps de d'initialiser correctement, ce qui fait qu'on a pas grand chose, faudrait un script de démarrage qui s'exécute bien après son lancement.

niveau log j'ai pas grand chose, mais je vais tenter avec le ssh lancer manuellement deja pour voir si il démarre normalement.

je doute quand meme qu'il s'agisse d'un piratage, même s'il est vrai que c'est une option a ne pas exclure, mais ce serveur n'avait d'accès public que les service de mail, le reste (web,ssh,ldap) était invisible du public (pas de réponses) et avec que 2 ips autorisées à s'y connecté avec bien sur un mot de passe d'@u M0!N$ 15 [EMAIL PROTECTED]@t3r3$ $! tu Vois ce que je veux dire sans parler de fail2ban sur ces services (10mn de bans pour 3 mdp incorrect)


Merci pour les idées en vrac, je vais essayer deja d'avancé avec ca.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Répondre à