C’est toujours désagréable de découvrir le matin que sa mailbox contient plus de 4000 mails “Undelivered Mail Return to Sender”… Le premier réflexe est de se dire qu’on a été victime de mail bombing, et qu’après un petit nettoyage il n’y paraitra plus rien!
Mais en y regardant de plus près, on se rend compte que les mails originaux ont effectivement été envoyés par notre serveur et qu’il s’agit de messages d’erreur authentiques!!! Une analyse plus approfondie s’impose donc.
On remarque vite que l’envoi de spam est toujours en cours: un des sites hébérgés sur notre serveur serait détourné à cette fin. De plus, une connexion sur un serveur IRC distant est active (port 6667)… On a vite fait de bloquer l’accès à ce site, de stopper le script perl connecté au serveur IRC et de vider la queue de ces mails indésirables.
Voici ce qu’a donné l’analyse post-mortem: Read more