Vous avez constaté des problèmes de mails sur votre serveur ? Des ralentissements ? La queue mail de votre serveur a explosé et contient des centaines voire des milliers de mails ? OVH vous a bloqué le port 25 de votre serveur ?
Tout cela sont les signes habituels qu'un des sites hébergés sur le serveur a été piraté et qu'il sert désormais de plateforme de spam. Il faut agir vite car, en plus des problèmes que vous rencontrez, la réputation de l'IP de votre serveur risque d'être dégradée (ce qui risque fort de poser des problème de délivrabilité de mail à long terme).
Voici donc une feuille de route pour rétablir le service :
1) Identifier le site coupable
Un simple coup d'oeil à la queue mail de votre serveur (dans Webmin : Servers > Postfix Mail Server > Mail Queue) vous indiquera probablement le fautif. Dans le cas contraire, il va falloir fouiller les logs système, mails et Apache à la recherche de lignes suspectes.
2) Désactiver le site en question (très simplement via Virtualmin : Disable and Delete > Disable Virtual Server)
3) Nettoyer la queue mail (cela peut se faire via Webmin : Servers > Postfix Mail Server > Mail Queue)
4) Nettoyer entièrement le site et sa base de données de toute trace du pirate (comme cela peut s'avérer très long voire impossible, il est souvent préférable de repartir sur un backup)
5) Changer tous les mots de passes du site (en particulier les mots de passes FTP, MySQL ainsi que ainsi que ceux du panel d'admin du site s'il s'agit d'un CMS du genre Wordpress)
6) S'assurer que le port 25 du serveur n'a pas été bloquer par OVH et, le cas échéant, le débloquer (cela se fait dans le manager OVH, là où sont gérées les adresses IP du serveur)
7) Identifier et corriger la faille qui a permis au pirate d'entrer
C'est assez souvent l'étape la plus complexe, mais il convient de ne surtout pas la zapper, sans quoi le pirate reviendra à coup sûr et tout sera à recommencer. Pour ce faire, il n'y a malheureusement rien d'autre à faire que de fouiller en profondeur les logs Apache du site infecté à la recherche des lignes (souvent des requêtes POST avec des IP exotiques) qui signent le piratage. Comme il existe un très grand nombre de piratages différents, il n'y a malheureusement pas de recette miracle. Si vous utilisez un CMS (Wordpress, Joomla, Drupal, Prestashop, etc.), faites également une recherche Google sur les éventuelles failles de sécurité qui auraient été signalées concernant le CMS ou (plus vraisemblablement) un des plugins ou templates que vous auriez installé.
8) Réactiver le site
