Raphaël RIGNIER a écrit :
West a écrit :
Bonjour la liste,
J'ai un gros soucis depuis quelques jours, j'ai à ma disposition un
serveur de mail sous Debian externalisé (serveur dédié).
Des que je lance une connexion au serveur, j'ai en retour un
"connexion refused", ssh,web, smtp, en telnet sur plusieurs ports.
J'ai bien sur désacttivé le firewall, Fail2ban, mais rien à faire.
Connexion avec le mode rescue, les logs n'indiquent rien de
particulier mise à part tous les reboots, qui ont l'air d'etre logué
jusqu'a la fin du processus de boot, rien concernant les drops dans
les logs kernel,syslog, firewall ou encore messages.
Je suis retourné à mon ancien kernel, bien que le dernier fonctionne
depuis dejà plusieurs mois sans soucis (j'ai un 2eme serveur avec
quasiement la meme config, mais il n'a rien).
j'ai lancé wireshark, et lors des tentatives de connexion j'ai un beau
RST,ACK juste apres mon SYN.
Je n'ai aucune autre possiblité de me connecter mise à part le mode
rescue pour remonter les disques. D'ailleurs je vois pas pourquoi ca
fonctionne avec ce mode en ssh(port 22) et une fois booter normalement
plus rien !!
J'ai testé plusieurs ports, ceux qui sont supposés etres ouverts sur
mon serveur, et j'ai pu remarqué que la connexion se faisait sans
probleme sur le port LDAP/LDAPS.
Je n'ai réalisé le test qu'en telnet sur ldap/ldaps mais je n'avais
pas de "connexion refused".
Si quelqu'un peut me donner des idées de recherche, car là je vois
plus trop ou chercher, j'ai passé la nuit la dessus sans resultat,
c'est peut etre un truc tout bete, mais je suis parti dans pas mal de
direction sans resultat, je prefrere donc demander de l'aide à des
cerveaux plus reposés et mieux remplis .
Merci de votre aide
++
Bonjour,
Le réseau et la carte ont l'air de fonctionner. Le "connexion refused"
correspond à un service qui ne tourne pas.
Je pense qu'il faut regarder du côté de la configuration des services 1
par 1 : ex : /etc/init.d/ssh start, et voir les log on encore en mode
"non démon" pour voir en temps réel ce qui se passe au niveau du
lancement. Exemple : sshd -d -D
Les ports sont ils ouverts? Que donne netstat -l?
Peut être avez-vous subit une attaque ? Et qu'on a déconfiguré tous les
services ? Ou aurait installé des versions modifiées ?
Réinstaller les paquet depuis une source sûre avec support de clés GPG?
Ce sont quelques idées en vrac.
Cordialement.
C'est vrai que je peut tenter de lancer un 2eme serveur ssh mais à
partir du binaire(et fichiers de conf) de mon disque monté depuis le
mode rescue.
Ben normalement les tests je l'ai fait sur des ports qui sont supposés
être ouvert j'en ai au moins 7 (pop3s,smtp,smtps,ldap,ldaps,web,ssh).
Je ne peut pas faire de netstat n'ayant pas la main sur le serveur. J'ai
pourtant essayer de bidouiller un truc du genre rajouter une ligne de le
crontab pour planifier une tache justement pour me remonter ce type
d'infos, mais la tache ne se lance pas.
J'ai tenté autre chose, mettre un script au démarrage pour récupérer les
infos(netstat,ps ....) il s'est bien exécuté, mais je crois qu'il n'a
pas le tps de d'initialiser correctement, ce qui fait qu'on a pas grand
chose, faudrait un script de démarrage qui s'exécute bien après son
lancement.
niveau log j'ai pas grand chose, mais je vais tenter avec le ssh lancer
manuellement deja pour voir si il démarre normalement.
je doute quand meme qu'il s'agisse d'un piratage, même s'il est vrai que
c'est une option a ne pas exclure, mais ce serveur n'avait d'accès
public que les service de mail, le reste (web,ssh,ldap) était invisible
du public (pas de réponses) et avec que 2 ips autorisées à s'y connecté
avec bien sur un mot de passe d'@u M0!N$ 15 [EMAIL PROTECTED]@t3r3$ $! tu Vois ce que
je veux dire sans parler de fail2ban sur ces services (10mn de bans pour
3 mdp incorrect)
Merci pour les idées en vrac, je vais essayer deja d'avancé avec ca.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]