OVH Community, votre nouvel espace communautaire.

IP FO à peine utilisée et déjà blacklistée


Nowwhat
22/08/2015, 01h11
Citation Envoyé par CorentinDutrieu
....
sur rblwatcher, seul uceprotect m'a listé en tant que spammeur, aucun autre organisme: https://rblwatcher.com/check/51.254.27.125
https://rblwatcher.com/check/51.254.27.124 aussi

Citation Envoyé par CorentinDutrieu
....
Nowwhat: justement, ce qui est étrange, c'est qu'aucun serveur de mail n'est installé, et aucun mail n'est envoyé depuis ces IP, (d'ailleurs les ports sont bloqués), seul mon serveur web (externe à ovh) en envoie, et je n'ai jamais eu de problèmes avec, c'est là qu'on rentre dans le délire.
sur l'ip, seuls 3 ports sont ouverts: teamspeak, ssh, teamspeak query, je ne comprends vraiment pas comment j'ai pu me faire lister avec ça, et avec une installation toute fraiche (encore un serveur non mis à jour et à l'abandon je comprendrais)
Attention, tu te trompe.
Le fait que la porte 22, 9987 et 10011 sont 'joignables' à partir d'extérieur n'a pas importance ici.
Des mails partent à partir de ton serveur - c'est un processus qui ouvre une porte "n"importe laquelle" sur ton serveur pour se connecter à sa destination - porte "25" (obligé). Puis la connexion est rompu.

Dès que le soft (le processus) est installé sur ton serveur par un tiers, ton serveur commence à spammer - très souvent le hackeur passe par le site web, présent sur le serveur, qui utilise des scripts mal écrit. Il utilise probablement même pas le serveur mail déjà présent.

Se faire contaminer son serveur avec que le ssh ouvert (je présume que le teamspeak 9987 risque rien, ça se saurait - je te conseille de limiter l'accès à ce queryport "10011"), tu risque peu.

Laisse tomber ce "UCEPROTECT BL1" - qui l'utilise (en réception) de pour scanner tes mails ? Peu probablement.

Exemple : https://rblwatcher.com/check/87.98.174.106
J'ai récupéré cet IP, ça fait trois mois.
Je me renseigne auprès "spam.dnsbl.sorbs.net" pour qu'il me disent :
(test ici : http://www.sorbs.net/lookup.shtml )

Le verdict tombe, attention, c'est du lourd:
35 "Spam" entries [08:28:35 20 Jul 2011 GMT+00].
En 2011, cet IP été encore en plein Afrique ... OVH l'acheté début 2015.
Le AS (et donc le propriétaire responsable technique) a changé - le nom de domaine (un ou plusieurs) ont changé par le client. Plus aucun activé 'négative' signalé depuis.

Mais "spam.dnsbl.sorbs.net" garde sa base des données. S'il ne peuvent emmerder quelqu'un aujourd'hui, pas grave, ils peuvent le faire des années plus tard !!

J'ai beau à créer un compte chez "spam.dnsbl.sorbs.net" et déposer une demande pour "delistage".
Réponse : (de la part d'un robo probablement):
Network 87.98.174.106/32: This host has not been previously delisted but has more
than 10 previous listings

We are setting this ticket to 'Rejected', as an action is required
in your part before we can update our lists regarding the IP address(es)
you wrote to us about.

Action required: As you are requesting a delisting of an IP/Network
that has either sent spam recently or has sent so much spam (NDLR: en 2011) that it
exceeds our preset thresholds you must reply to this message justifying
your cause and why you think you should be delisted.

Someone will then review your case and reply accordingly.

Thank you
Pour autant, j'ai décliné mon indenté dans mon 'ticket', indiqué que l'IP (un block entier) a été revendu à un grossiste des IP's, puis, plus tard, acheté par OVH - qui l'a filé à moi.
Si MOI je peut tracer le passé de mon IP, eux, ils peuvent aussi.

Je pense qu'il s'agit qu'un arnaque, avec comme seule possibilité de s’échapper : un chèque.

Qu'il ailles se faire f**tre.

édit: ça me fait penser : je vais monter mon propre 'liste' moi aussi J'ai de quoi lui nourrir avec mon 'spamassassin et fail2ban.

CorentinDutrieu
21/08/2015, 11h31
Bonjour,

merci de vos réponses,

l'ip n'était pas flagguée avant hier soir non, d'ailleurs les 2 autres du bloc ne le sont pas (encore) :lol: , j'ai lu des commentaires à propos d'uceprotect et de leurs 97 euros à débourser afin d'etre délisté...

sur rblwatcher, seul uceprotect m'a listé en tant que spammeur, aucun autre organisme: https://rblwatcher.com/check/51.254.27.125

Nowwhat: justement, ce qui est étrange, c'est qu'aucun serveur de mail n'est installé, et aucun mail n'est envoyé depuis ces IP, (d'ailleurs les ports sont bloqués), seul mon serveur web (externe à ovh) en envoie, et je n'ai jamais eu de problèmes avec, c'est là qu'on rentre dans le délire.

sur l'ip, seuls 3 ports sont ouverts: teamspeak, ssh, teamspeak query, je ne comprends vraiment pas comment j'ai pu me faire lister avec ça, et avec une installation toute fraiche (encore un serveur non mis à jour et à l'abandon je comprendrais)

Nowwhat
21/08/2015, 10h23
Pense à ceci : ne JAMAIS utiliser un IP(FO) pour envoyer un mail avant que (par exemple) mail-tester.com te donne ton 10/10.

Puis, hélas, il n'existe plus des IPv4 "tout neuf et tout propre" - les dernier restant sont acheté au prix d'or chez les FAI's qui en utilisent peu (comme les FAI en plein Sahara) mais leur réputation (historique) est souvent un peu douteuse.

Peu le savent, mais le type qui monte ce IP's sur leur routeurs (dans ce cas : OVH/SYS) ne peuvent PAS procéder à la nettoyage.
C'est au utilisateur FINAL de le faire : remplir des formulaires - envoyer QUE des mails qui sont techniquement 'bien (le 10/10 de mail-tester.com" et surtout : pas des mails répétitif (des spams, quoi) et au bout de quelques semaines / mois : IP propre.

Heureusement, on à plein des IPv6 (quelques milliard par serveur - tout neuf.

bbr
21/08/2015, 09h48
http://www.uceprotect.net/en/?m=7
explique que tu viens d'acheter cette ip et que ce n'est donc pas toi qui a spammé
cherche si tu es blacklisté ailleurs : https://rblwatcher.com/

CorentinDutrieu
21/08/2015, 09h05
Bonjour et merci,

oui, j'en suis sûr, d'ailleurs les 2 IP non utilisées du bloc ne sont pas flagguées (encore), et le /15 entier ne l'est pas

j'ai lu des retours de personnes listées pour rien et à qui on demande de payer une centaine d'euros pour les retirer de la liste (la grosse blague)

ça me paraît vraiment étrange, les serveurs mail, dns etc.. sont hébergés chez mon ancien hébergeur, et en 2 ans je n'ai jamais eu tel problème, et surtout sur une machine fraichement installée

également le fat que je me suis fait attaquer (ddos), hier vers les 22h, et que je me suis fait flagguer à 22h10 chez uce-1, et uniquement chez uce-1, la bonne blague serait qu'un de leur système soit infecté et que j'ai tout simplement répondu à leurs requêtes...

http://www.uceprotect.net/en/rblchec...=51.254.27.125

Daixiwen
21/08/2015, 06h16
Tu es sûr qu'elle n'était pas flagguée avant que tu l'utilises? Uceprotect a une très mauvaise réputation. Ils bloquent des /24 entiers juste "parce que", et surtout ils demandent de payer pour avoir son IP retirée. Je crois me souvenir que des responsables de Spamassasin ont fait des statistiques dessus il y a quelques années et les résultats étaient assez mauvais. Ils ne détectaient pas plus de spams que d'autres rbl, mais surtout il y avait beaucoup de faux positifs.

CorentinDutrieu
20/08/2015, 23h08
Bonsoir,

j'aurais aimé savoir si vous connaissiez les règles de chez UCEPROTECT en matière de spam, je m'explique:

Je possède un serveur SYS depuis maintenant 4 jours, avec 4 IP FO afin de faire 4 VM.

Le problème est que, dès que la 1° VM fut installée et en ligne (debian 8, seuls ports ssh et 9987 ouverts), l'adresse ip s'est faite flagguer par uceprotect.
J'ai d'abord pensé à un problème de reverse, car les ip sont livrées sans reverse par défaut, mais rebelote ce soir sur la 2° IP FO, dès qu'elle fut en ligne, elle s'est faite flagguer.

J'aurais aimé savoir si vous avez des idées du comment cela est possible, car c'est mon premier serveur chez OVH, et c'est la 1° fois que je me fais flagguer spammeur

Merci de vos réponses