Mon IP externe est blacklisté par SPAMHAUS

Fermé
jeannets Messages postés 26983 Date d'inscription dimanche 9 septembre 2007 Statut Contributeur Dernière intervention 12 juin 2024 - 28 déc. 2019 à 11:04
jeannets Messages postés 26983 Date d'inscription dimanche 9 septembre 2007 Statut Contributeur Dernière intervention 12 juin 2024 - 19 janv. 2020 à 15:06
Bonjour,

Depuis deux ou trois mois, j'ai un blocage pour envoyer (pas pour recevoir), des emails avec "Laposte" et Yahoo, et pas les autres... J'ai un message en retour (uniquement avec la poste) qui me dit que je suis bloqué .. 554 5.7.1 Service unavailable; Client host [92.xx.xxx.xx] blocked using sbl-xbl.spamhaus.org voila... je crois que c'est connu...

J'ai fait la lecture sur le sujet et, Il s'avère que généralement les PC n'en sont pas la source...Mais davantage d'autres appareils... Routeur/switch, TV box, Imprimantes réseau, Tel SIP, NAS, Thermostat intelligent et autre boitiers sous linux/Android...Sur certains ports.. J'ai effectivement des appareils de ce genre et vu que je "Bidouille" avec, leurs config sont variables...

Je sais démonter ce blocage sur Spamhaus... mais dans le mois suivant, il se régénère, il y a même un journal qui me dit 28 fois dans le dernier mois dont le dernier était le 23 decembre...??? L'heure est toujours 0:00:05 (vrai ou faux..?)... et je ne vois pas du tout ce qui en est la cause..??

Donc ma question est comment faire pour savoir d'ou ça vient...? Faire des enregistrements, détecter, analyser...?? avec quoi, comment...??? il y a des Ports de prédilection semble-t-il..?

D'avance merci... Et, bonnes fêtes de fin d'années, ou de début de l'autre.
A voir également:

10 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 639
28 déc. 2019 à 13:36
Salut,

Vas sur ce site : http://multirbl.valli.org/lookup/
Copie/colle ton adresse IP 92.xx.xxx.xx
Lance le test
Vois sur combien de RBL, ton IP est blacklistée.

~~


Tu te connectes avec un routeur ou la box de ton FAI ?
Si c'est un routeur, donne le modèle.

~~

Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :

Suis le tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

0
jeannets Messages postés 26983 Date d'inscription dimanche 9 septembre 2007 Statut Contributeur Dernière intervention 12 juin 2024 5 799
28 déc. 2019 à 16:29
Merci de ta réponse,

Voici je suis Blacklisted 10 fois, pour le moment...J'ai fait un Remove le 27-12

DNSBL Blacklist Test Summary 	235 of 235 tests done.
Results Not listed: 220 Blacklisted: 10 Brownlisted: 0 Yellowlisted: 0 Whitelisted: 0 Neutrallisted: 0 Failed: 5
Processing All done
DNSBL Combinedlist Test Summary 15 of 15 tests done.
Results Not listed: 14 Blacklisted: 0 Brownlisted: 0 Yellowlisted: 0 Whitelisted: 0 Neutrallisted: 0 Failed: 1
Processing All done
DNSBL Whitelist Test Summary 31 of 31 tests done.
Results Not listed: 31 Blacklisted: 0 Brownlisted: 0 Yellowlisted: 0 Whitelisted: 0 Neutrallisted: 0 Failed: 0
Processing All done
DNSBL Informationallist Test Summary 15 of 15 tests done.
Results Not listed: 5 Blacklisted: 0 Brownlisted: 0 Yellowlisted: 0 Whitelisted: 0 Neutrallisted: 10 Failed: 0
Processing All done


-- Je me connecte avec la BOX de mon FAI une SagemCom F@st 3284dc en mode routeur
suivi d'un switch D-LINK Go SW 16G... donc 16 Ethernet et 10 wifi.

--- Et voici les trois fichiers
First https://pjjoint.malekal.com/files.php?id=FRST_20191228_l12v10i13x7g9
shortcut https://pjjoint.malekal.com/files.php?id=20191228_z9v8m10i5k13
addition https://pjjoint.malekal.com/files.php?id=20191228_x11f6g7v5h7

Bien sûr, c'est le résultat pour un seul ordinateur...
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 639
28 déc. 2019 à 17:25
Pas l'impression que le PC soit infecté :
A désinstaller :
CCleaner
CyberLink
Wondershare Helper Compact



PS : CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Si tu veux le garder, désactive la surveillance de CCleaner, inutile, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : https://www.malekal.com/supprimer-ccleaner-demarrage-windows/

~

Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.

~~

Tu as d'autres appareils connectés à cette box ?
Ca dit quoi ton IP sur ce site https://www.shodan.io/ ?

0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 639
28 déc. 2019 à 19:46
Note que tu as pu récupérer une précédente adresse IP utilisée par un autre internaute SFR qui avait une machine vérolée.
Si l'IP reste un ou deux jours et change selon la politique de SFR.
Avec la nouvelle adresse IP la blacklist sera levée.
0
jeannets Messages postés 26983 Date d'inscription dimanche 9 septembre 2007 Statut Contributeur Dernière intervention 12 juin 2024 5 799
28 déc. 2019 à 21:17
Voici le lien qui m'a trouvé 37 maladies https://pjjoint.malekal.com/files.php?id=20191228_c6z15w99x9

Oui, j'ai d'autres équipements dont 2 serveurs synology, du téléphone SIP, SmartTV Android et quelques cartes de développement Android du type Orange Pi et RK3328.. Imprimante réseau... plusieurs PC..Parfois sous Linux
J'ai parcouru Shodan et mon IP n'y figure pas... Mais j'avoue ne pas très bien saisir l'utilisation de ce site et ce qu'on peut en tirer.
Voilà pour le moment.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 639 > jeannets Messages postés 26983 Date d'inscription dimanche 9 septembre 2007 Statut Contributeur Dernière intervention 12 juin 2024
28 déc. 2019 à 22:21
Sais tu si tu as une IP Fixe avec SFR ou une IP dynamique (qui change au bout d'un certains temps).
Je ne connais pas trop le régime des IP chez SFR.

Sinon faudrait vérifier les logs Synology, voir s'il n'envoie pas des mails ou vérifier les connexions établies.
Notamment sortant vers du port 25.
-1
zipe31 Messages postés 36402 Date d'inscription dimanche 7 novembre 2010 Statut Contributeur Dernière intervention 27 janvier 2021 6 412 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
29 déc. 2019 à 07:43
Salut,

Apparemment son IP est fixe. Si tu fais une recherche par IP, tu verras que ça remonte toutes ses contributions. En général si c'est du dynamique, la recherche ne sort que quelques posts (ou 1 ou 2 pages en fonction de son activité sur le site).
0
jeannets Messages postés 26983 Date d'inscription dimanche 9 septembre 2007 Statut Contributeur Dernière intervention 12 juin 2024 5 799
28 déc. 2019 à 22:51
Alors... normalement l'IP est dynamique... mais j'ai pu observer la réalité...!!! Je n'ai jamais changé d'IP depuis cette installation; qui est en fait une fausse fibre (un Coax) qui passe à 400 Méga, en utilisant l'ancienne structure de Numéricable; autrefois nommée "la Télédistribution"... Le parcours de ce câble au travers de "Boites miracles" peut aussi etre exposé à ces malveillances...

Le journal des Synology's, je regarderai (plus tard) effectivement, je suis attaqué de temps à autre... par le FTP, sans succès, dont une il y a peu de temps, le 18 et le 24 de ce mois, bloqué par SSH et l'autre par DSM... mais tous les Syno se font attaquer..
Il m'envoie un email par semaine et c'est un port à 3 chiffres.

J'ai vu une liste de port sur le site SpamHaus je devrais aussi vérifier et revoir les NAT de ma BOX
Par contre, il y en a un qui est l'imprimante réseau Laser, je ne crois pas pouvoir le retirer..

Il y a aussi les tablettes... Que faire..??

Merci en tout cas.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 639
Modifié le 28 déc. 2019 à 23:43
Non pas les tablettes.
Vu que le PC a l'air sain, si ton IP spamme vraiment, ça doit être les synology.
Après j'imagine que la box ne donne aucune indication sur ce qui est envoyé...
donc difficile de dire si tu as des connexions sortantes vers le port 25.

Tu peux ouvrir un terminal sur le synologic ?
Genre passer des commandes Linux, type netstat ?
ou des outils d'administration pour voir les connexions effectuées ?

0
jeannets Messages postés 26983 Date d'inscription dimanche 9 septembre 2007 Statut Contributeur Dernière intervention 12 juin 2024 5 799
29 déc. 2019 à 12:29
Oui, je peux accéder en root SSH ou depuis une Konsol sous Linux Ubuntu par ex... explique moi ce que tu voudrais voir
C'est "Synology" et pas Synologic..!!! bref j'ai aussi en local, accès aux différents menus du panneau de config du Synology... par l'OS DSM... j'ai un journal des connexions aussi, mais je l'ai déja parcouru... sans rien y trouver d'auitre que les tentatives d'intrusion.. (j'ai aussi une liste noir )
J'ai aussi d'autres PC...(made in myself) dont des Dual Boot windows Linux qui n'envoie pas d'emails... Plusieurs BOX_TV qui n'envoient pas d'email non plus... des BOX SIP linksys qui font du renvoie téléphoniques...???

Ceci dit, je serais curieux de savoir quel est le déclencheur qui place mon IP dans SPAMhaus, Bien sur j'ai lu les critères, mais c'est général sur le principe... je voudrais connaitre les critères déclencheurs pour mon cas. en XBL..??

Mon navigateur est FireFox, J'ai souvent une vingtaine d'index d'ouverts simultanément... et j'utilise des bloqueurs d'intrus (µblock et Ghostery) ne seraient-ils pas mal considérés par les sites de PUB et en retour, ou en représailles, me jetter un sort de banissement, par voie de conséquences..??
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 639 > jeannets Messages postés 26983 Date d'inscription dimanche 9 septembre 2007 Statut Contributeur Dernière intervention 12 juin 2024
Modifié le 29 déc. 2019 à 13:34
Les RBL ont des honeypots.
Ils analysent les mails de spam reçus et récupèrent les IP des clients.
Les serveurs SMTP qui les utilisent les remontent aussi.
Donc si un ou plusieurs mails de SPAM a été envoyé depuis ton IP, elle est placée en liste noire.

Il me semble qu'il y a des RBL qui donnent des infos, genre la date de réception du mail de spam etc.
Au bout d'un moment l'IP est retirée (24, 48, 72h) mais s'ils reçoivent à nouveau un mail, c'est reparti pour un tour.

~~

Pour le Synology, il faudrait voir si tu peux passer un :
netstat -n -p

pour voir les connexions établies.
0
zipe31 Messages postés 36402 Date d'inscription dimanche 7 novembre 2010 Statut Contributeur Dernière intervention 27 janvier 2021 6 412 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
29 déc. 2019 à 13:40
Salut,

Les Synology ont shell restreint en général (busybox), donc certaines commandes n'ont pas toutes les options voulues ;-(

Par contre, de mémoire (je n'ai plus touché un Synology depuis belle lurette), l'envoi de mail se configure quelque part, donc en général, il suffit de désactiver cette option… mais peut-être que ma mémoire me fait défaut ;-)
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 639 > zipe31 Messages postés 36402 Date d'inscription dimanche 7 novembre 2010 Statut Contributeur Dernière intervention 27 janvier 2021
29 déc. 2019 à 14:33
netstat c'est basique.
J'espère que c'est dedans quand même.
0
zipe31 Messages postés 36402 Date d'inscription dimanche 7 novembre 2010 Statut Contributeur Dernière intervention 27 janvier 2021 6 412 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
29 déc. 2019 à 14:39
T'as du bol ;-)
0
jeannets Messages postés 26983 Date d'inscription dimanche 9 septembre 2007 Statut Contributeur Dernière intervention 12 juin 2024 5 799
29 déc. 2019 à 18:53
Pourquoi mon précédent a été rejeté

Voila ce que je peux y lire ... ... J'avoue ne pas comprendre ces IP qui y sont établies; dont certaines basées à San-Diego. Sinon, je n'y vois que du Samba..

login as: admin
admin@192.168.1.60's password:
admin@jean:~$ ls
@eaDir #recycle www
admin@jean:~$ sudo su
Password:
ash-4.3# ls
@eaDir #recycle www
ash-4.3# cd /.
ash-4.3# ls
bin etc.defaults mnt sbin usr volumeSATA
config initrd proc sys var volumeSATA1
dev lib root tmp var.defaults volumeUSB1
etc lost+found run tmpRoot volume1
ash-4.3# ls
bin etc.defaults mnt sbin usr volumeSATA
config initrd proc sys var volumeSATA1
dev lib root tmp var.defaults volumeUSB1
etc lost+found run tmpRoot volume1
ash-4.3# netstat -n -p-------------------------------------<<<<<<< netstat<<<<<<<<<<<-------------
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 47 0 192.168.1.60:6014 185.222.211.26:64482 ESTABLISHED -
tcp 0 0 192.168.1.60:45326 68.183.161.151:81 TIME_WAIT -
tcp 47 0 192.168.1.60:6013 185.143.221.69:64824 ESTABLISHED -
tcp 47 0 192.168.1.60:6013 185.143.221.69:65164 ESTABLISHED -
tcp 0 0 192.168.1.60:45368 18.195.145.6:443 ESTABLISHED 8178/synorelayd
tcp 0 0 192.168.1.60:6014 185.222.211.26:63086 ESTABLISHED 9604/synoaudiod
tcp 47 0 192.168.1.60:6013 185.143.221.69:65358 ESTABLISHED -
tcp 0 64 192.168.1.60:22 192.168.1.10:6825 ESTABLISHED 2752/sshd: admin [p
tcp 0 0 192.168.1.60:6013 185.143.221.69:64312 ESTABLISHED 9604/synoaudiod
tcp 47 0 192.168.1.60:6014 185.222.211.26:64052 ESTABLISHED -
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags Type State I-Node PID/Program name Path
unix 2 [ ] DGRAM 31262 12324/nmbd /run/samba/msg.sock/12324
unix 2 [ ] DGRAM 15391 8006/scemd /tmp/scemd_event_handler.sock_server
unix 2 [ ] DGRAM 13668 7127/smbd /run/samba/msg.sock/7127
unix 2 [ ] DGRAM 13677 7562/smbd /run/samba/msg.sock/7562
unix 2 [ ] DGRAM 13688 7560/smbd /run/samba/msg.sock/7560
unix 2 [ ] DGRAM 13703 7565/smbd /run/samba/msg.sock/7565
unix 3 [ ] STREAM CONNECTED 1510 1582/synoconfd
unix 3 [ ] STREAM CONNECTED 1449 1525/dbus-daemon /var/run/dbus/system_bus_socket
unix 3 [ ] STREAM CONNECTED 1448 1/init
unix 3 [ ] STREAM CONNECTED 1433 1525/dbus-daemon
unix 3 [ ] STREAM CONNECTED 1432 1525/dbus-daemon
unix 3 [ ] STREAM CONNECTED 1416 1518/dbus-daemon
unix 3 [ ] STREAM CONNECTED 1415 1518/dbus-daemon
unix 3 [ ] STREAM CONNECTED 1406 1481/synologaccd
unix 3 [ ] STREAM CONNECTED 1405 1481/synologaccd


Je vais y chercher un Log, voir s'il est plus bavard....

Je me demande aussi, si le fait de bloquer les PopUp et donc CAptcha ne seraient pas considéré comme un rejet.?? par Spamhaus

Je précise que je n'envoie pas de campagne d'email massive (sauf une bonne centaine pour le nouvel an..) mes Email ne comportent pas non plus de SPAM, ou autre intox publicitaire... par contre, j'en reçois pas mal.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 639
Modifié le 30 déc. 2019 à 10:18
Pas l'air d'y avoir d'envoi de mail.
Après les connexions distantes established sont peut-être un peu suspicieuses.

Ca revient souvent si tu fais d'autres netstat ?
0
zipe31 Messages postés 36402 Date d'inscription dimanche 7 novembre 2010 Statut Contributeur Dernière intervention 27 janvier 2021 6 412 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
30 déc. 2019 à 10:34
Pour
netstat
, mieux vaut passer par cette commande
netstat -plnt | grep ':25'
.

Voilà un retour de
netstat-n -p
:
# netstat -n -p
Connexions Internet actives (sans serveurs)
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name
tcp 0 0 192.168.10.77:50126 212.27.40.200:443 TIME_WAIT -
tcp 0 0 192.168.10.77:33480 51.68.95.60:443 ESTABLISHED 25430/dwagent
tcp 0 188 192.168.10.77:22 192.168.10.222:56738 ESTABLISHED 29948/sshd: jp [pri
tcp 0 0 192.168.10.77:873 192.168.10.226:2049 ESTABLISHED -
tcp 0 0 192.168.10.77:22 192.168.10.233:35922 ESTABLISHED 29847/sshd: jp [pri


et un retour de
netstat -plnt | grep ':25'
:
# netstat -plnt | grep ':25'
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 722/msmtpd
0
jeannets Messages postés 26983 Date d'inscription dimanche 9 septembre 2007 Statut Contributeur Dernière intervention 12 juin 2024 5 799 > zipe31 Messages postés 36402 Date d'inscription dimanche 7 novembre 2010 Statut Contributeur Dernière intervention 27 janvier 2021
30 déc. 2019 à 12:09
Pour ce qui est de mon POST 18, oui, cette écran revenait à chaque fois...

Ce matin, j'ai agit autrement, ... J'ai fermé mon FireFox avec tous ses index... et redémarré mon serveur... et voici ce que j'ai: avec les deux commandes...d'abord Netstat -np et plus bas netstat -plnt | grep ':25' qui lui, ne répond rien

ash-4.3# netstat -np
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 192.168.1.60:80 103.251.220.216:472 SYN_RECV -
tcp 0 64 192.168.1.60:22 192.168.1.10:1472 ESTABLISHED 10697/sshd: admin [
tcp 0 0 192.168.1.60:22 192.168.1.10:1471 ESTABLISHED 8651/sshd: admin [p
tcp 0 0 192.168.1.60:40739 18.195.122.69:443 ESTABLISHED 8066/synorelayd
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags Type State I-Node PID/Program name Path
unix 2 [ ] DGRAM 14093 7121/smbd /run/samba/msg.sock/7121
unix 2 [ ] DGRAM 14105 7639/smbd /run/samba/msg.sock/7639
unix 2 [ ] DGRAM 14116 7638/smbd


ash-4.3# ^C
ash-4.3# netstat -plnt | grep ':25'
ash-4.3#


On peut observer un allègement très net et purifié hormis ma connexion Putty

Effectivement; je ne pense pas que le fautif soit là..?? de plus mon serveur n'est pas utilisé pour les emails.. Il m'envoie seulement un email auto par semaine pour rendre compte de l'état de mes sauvegardes... et pas sur les adresses Noir donc de Laposte et Yahoo...

Tous mes emails sont traités à partir du même PC, celui-ci d'ou je vous contact... et qui a eu les rapports FRST

Par contre j'ai un compte email Gmail qui a une signature en bas de page... avec une image et un lien vers le site Malekal, pour la lutte contre les infections, le voici ***http://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf*** ne pourrait-il pas provoquer quelque chose..??
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 639 > jeannets Messages postés 26983 Date d'inscription dimanche 9 septembre 2007 Statut Contributeur Dernière intervention 12 juin 2024
30 déc. 2019 à 18:24
Pas l'air d'y avoir de connexions anormales.

Du coup là on voit pas la source du blacklist.
0
jeannets Messages postés 26983 Date d'inscription dimanche 9 septembre 2007 Statut Contributeur Dernière intervention 12 juin 2024 5 799 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
30 déc. 2019 à 18:41
Tu veux dire ma black list à moi, qui est sur mon Synology...??

C'est tout ceux qui ont tenté de se connecter dessus.. la voici... il y a beaucoup de "Russe" mais pas que.

95.70.26.60
95.70.96.178
95.70.22.126
94.242.249.117
185.189.112.107
92.37.143.160
95.70.57.104
87.225.41.13
95.70.20.223
95.70.31.216
91.121.83.167
185.104.184.106
185.104.184.134
114.92.161.33
92.37.236.194
45.136.108.85
50.28.56.159
62.210.202.26
0
jeannets Messages postés 26983 Date d'inscription dimanche 9 septembre 2007 Statut Contributeur Dernière intervention 12 juin 2024 5 799
30 déc. 2019 à 21:31
Encore quatre fois, je me suis fait sauter ma réponse..Pourquoi..?
Effectivement, je ne suis plus en, black list... la dernière fois était le 23 dec.., j'ai été sur le site pour faire un Remove de cette liste, ça a fonctionné et n'est pas encore revenu depuis...
Mais le mois précédent, c'était la même chose et en fin de mois je me retrouve avec 28 déclenchements.....??

-- J'ignorais la fonction de ce SPAMHAUS... C'est après avoir compris ce system de piège, ou je ne me reconnais pas, que j'ai posté mon sujet sur le forum CCM

C'est très étrange... car je me déplace avec le même PC et serveur durant plusieurs mois... et les autres IP (SFR également) ne font pas ça ailleurs... étrange....
0
jeannets Messages postés 26983 Date d'inscription dimanche 9 septembre 2007 Statut Contributeur Dernière intervention 12 juin 2024 5 799
3 janv. 2020 à 11:38
Je ne suis toujours pas Blacklisté sur spamhaus depuis le 23-12 donc depuis 11 jours.

Je dois dire que j'ai trouver dans mes comptes emails deux fournisseurs qui avaient le port 25 que j'ai changer en 587, ça marche aussi.

Voilà, je compte surveiller ça sur un mois... ça semble positif pour le moment.
0
jeannets Messages postés 26983 Date d'inscription dimanche 9 septembre 2007 Statut Contributeur Dernière intervention 12 juin 2024 5 799
6 janv. 2020 à 19:48
Ça y est, aujourd'hui, j'apparais Blacklisté en XBL

Le texte dit que j'ai été détecté 18 fois au cours du dernier mois... dont deux fois dans les dernières 24h et la dernière fois ...à 5:00 heure, vu qu'il est arrêté la nuit, je suppose que c'est 5:00 de l'après midi.... Sous quel méridien, je ne sais pas.

En tout cas, l'ordi était en marche depuis 11:30 ... et j'ai éta absent, jusqu'à 17:00 environ... Là, j'ai lu mes emails, j'en ai envoyé aucun...

J'avoue ne pas comprendre les critères de ce truc..?? je suis allé sur "Remove" du site pour désactiver la chose.

Ah, une chose... Aujourdhui, autour de 17:00 et un peu après, j'ai parametré une montre connectée que j'ai reçu aujourd'hui...Va savoir..??
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 639 > jeannets Messages postés 26983 Date d'inscription dimanche 9 septembre 2007 Statut Contributeur Dernière intervention 12 juin 2024
6 janv. 2020 à 19:51
Ouaip sans plus d'inspection, difficile à dire.

Après faut voir comment tu envoies des mails persos.
Car si tu utilises des webmails...
Tu vas sur ton routeur et tu bloques le port 25 et 587 en sortie.
Ca devrait déjà limiter la casse.
0
jeannets Messages postés 26983 Date d'inscription dimanche 9 septembre 2007 Statut Contributeur Dernière intervention 12 juin 2024 5 799 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
6 janv. 2020 à 22:09
Non, je lis mes mails et envoie avec un Client Outlook de Microsoft office...J'ai vérifié tous mes comptes emails... Le port 25 n'est pas utilisé, donc effectivement, je vais le bloquer dans la BOX, je verrai bien...
Et dans cette recherche, j'en ai trouvé un qui bloquait: Outlook.com (le compte de Microsoft)...
Avec le code error 554.5.2.0 la raison était qu'il n'avait pas été "Vérifié" car il manquait mon N° de mobil... ce que j'ai du ajouter, pour recevoir un code de déblocage... et maintenant il fonctionne.. C'est quand même une ingérence quelque part..

Est-ce que ça ne pourrait pas etre des choses comme ça..??
0
jeannets Messages postés 26983 Date d'inscription dimanche 9 septembre 2007 Statut Contributeur Dernière intervention 12 juin 2024 5 799 > jeannets Messages postés 26983 Date d'inscription dimanche 9 septembre 2007 Statut Contributeur Dernière intervention 12 juin 2024
7 janv. 2020 à 12:26
Bonjour,

Malgré mon "Remove" d'hier soir, je suis à nouveau blacklisté ce matin....??? j'essaie de comprendre...Pas facile., je l'ai à nouveau démonté... Voilà ca qu'il dit: sur ce site https://www.abuseat.org/lookup.cgi

This IP address was detected and listed 17 times in the past 28 days, and 1 times in the past 24 hours. The most recent detection was at Tue Jan 7 00:05:00 2020 UTC +/- 5 minutes

This IP address was self-removed 2 times in the past week.

This IP address was self-removed 2 times in the past 24 hours.

This IP is infected with Hajime, Wopbot, Mirai or similar malware, primarily used for DDOS attacks via IoT devices. See Mirai: The IoT Bot That Took Down Krebs and Launched a Tbps DDoS Attack on OVH for more information.

These infections are usually used to DDOS web sites. They have been responsible for DDOS attacks in excess of 1TBs (1 terabyte) per second.

Generally the machines infected are running some form of Linux, whether it be full fledged computers, embedded controllers or "Internet of Things" devices such as DVRs, web cams, routers, Polycom video conference equipment etc. These are known to infect at least x86 (Desktop computers, laptops, large servers etc), ARM (most common IoT CPU, many ancilliary network devices such as routers and modems), IBM/Apple PowerPC, MIPS or Sun Sparc devices and computers.


Je précise que j'ai fermé le port 25 hier soir (dans la BOX) et que tous les PC étaient éteint durant la nuit donc la détection à 5:00 h de la nuit...??? c'est quoi..??
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 639 > jeannets Messages postés 26983 Date d'inscription dimanche 9 septembre 2007 Statut Contributeur Dernière intervention 12 juin 2024
7 janv. 2020 à 12:57
C'est 6h du mat chez toi.
Je te PM.
0
jeannets Messages postés 26983 Date d'inscription dimanche 9 septembre 2007 Statut Contributeur Dernière intervention 12 juin 2024 5 799
12 janv. 2020 à 15:42
Je me réponds à moi même pour ceux qui serait également concernés..

Depuis, J'ai fait la liste de tous mes équipements car d'après SPAMHAUS, ce serait un IOT qui serait probablement en cause... et tous les matins, je vérifie si je suis toujours en Blacklist, Jusqu'à maintenant, c'est le cas, bien que je l'efface tous les soirs... ça semble se faire dans la nuit autour de 05:00 alors que mes PC sont éteints.
-- J'ai donc débranché un serveur PALAPA sur une carte de développeur ...Un jour
-- Le lendemain mon automate de chauffage... en vain
-- Le lendemain j'ai mis une horloge qui coupe mon modem vers 3:00h sur 1/4 d'heure et aussi débranché mon imprimante réseau HP et ce matin, je ne suis plus en liste Noir...??
Ce peut etre un Hazard aussi, j'ai déja eu plusieurs jours sans rien et d'un seul coup, c'est revenu..
Voila.. je compte cerner le fautif en procédant par élimination, un chaque jour.
0
jeannets Messages postés 26983 Date d'inscription dimanche 9 septembre 2007 Statut Contributeur Dernière intervention 12 juin 2024 5 799
13 janv. 2020 à 18:53
Alors, comble de l'ironie, mon Internet était coupé depuis 3:30 de la nuit, jusqu'à 12:15 (midi) et malgré tout, j'étais à nouveau en SpamList au démarrage sois-disant depuis 06:00 du matin... Évidement, c'est fort de bouchon...

Cependant, je crois bien que leur message est toujours le même et il est très possible qu'il s'agisse d'une action antérieure ... et ils précisent qu'elle a été effacée au moins 5 fois la semaine dernière (c'est vrai) ...mais maintenant, je n'arrive plus à m'effacer sur leur site... et je ne peux plus continuer à chercher le fautif par la méthode de substitution..

Qu'est-ce que c'est encore que ce truc... J'ai bien compris la raison pour bloquer les envoie massif d'email (Spam) et saturer les boites et les réseaux... Ils n'ont pas tort... mais pour ma part, je ne fait rien de tout ça, Disons que je reçois 15 emails par jour, j'en envoie autant... (sauf pour les voeux, c'est une centaine en 2x50)

Je ne sais même pas vraiment ce qu'il faut chercher...? Quelqu'un d'autre doit bien subir la même chose..??
0
jeannets Messages postés 26983 Date d'inscription dimanche 9 septembre 2007 Statut Contributeur Dernière intervention 12 juin 2024 5 799 > jeannets Messages postés 26983 Date d'inscription dimanche 9 septembre 2007 Statut Contributeur Dernière intervention 12 juin 2024
14 janv. 2020 à 22:10
Suite--

Hier soir13-01, J'ai arrêté mon serveur... Changé l'heure de coupre de nuit de ma BOX, passée à 2:00 de la nuit... Et Passé la BOX sur DNS auto. donc maintenant je suis sur le DNS de mon FAI au lieu de Yandex auparavant..
J'ai fait Remove de mon IP en XBL.. Et j'ai fait une manip sur le site Spamhaus pour enlever mon IP du PBL, sur leur site en "Removal/Form/ en bas de page... après, on ne sais pas si ça marche ou pas.
-- ce matin 14.01, je n'étais plus Blacklisté...Que penser.
0
jeannets Messages postés 26983 Date d'inscription dimanche 9 septembre 2007 Statut Contributeur Dernière intervention 12 juin 2024 5 799
19 janv. 2020 à 15:06
le 19-01 Mon IP est à nouveau en XBL vers 15:00 alors qu'avant midi, elle n'y était pas;

-- Je soupçonne fort ma BOX, le modem de SFR... Voici pourquoi:
Hier mon FAI a mis en application son changement de débit sur le câble... ça a été le Bazar des déconnexions tout l'après midi, la nuit aussi et encore ce matin en moins pire...
J'ai déconnecté mon modem de l'installation pour lui faire une réinitialisation usine... du coup, il est redevenu "vierge" Je lui ai juste redonné mon plan d'IP réseau et mon Pseudo+mot de passe et voila que je repasse dans les XBL (j'ai aussi lu mes emails)
0