Mon IP externe est blacklisté par SPAMHAUS

Signaler
Messages postés
17005
Date d'inscription
dimanche 9 septembre 2007
Statut
Contributeur
Dernière intervention
29 janvier 2020
-
jeannets
Messages postés
17005
Date d'inscription
dimanche 9 septembre 2007
Statut
Contributeur
Dernière intervention
29 janvier 2020
-
Bonjour,

Depuis deux ou trois mois, j'ai un blocage pour envoyer (pas pour recevoir), des emails avec "Laposte" et Yahoo, et pas les autres... J'ai un message en retour (uniquement avec la poste) qui me dit que je suis bloqué .. 554 5.7.1 Service unavailable; Client host [92.xx.xxx.xx] blocked using sbl-xbl.spamhaus.org voila... je crois que c'est connu...

J'ai fait la lecture sur le sujet et, Il s'avère que généralement les PC n'en sont pas la source...Mais davantage d'autres appareils... Routeur/switch, TV box, Imprimantes réseau, Tel SIP, NAS, Thermostat intelligent et autre boitiers sous linux/Android...Sur certains ports.. J'ai effectivement des appareils de ce genre et vu que je "Bidouille" avec, leurs config sont variables...

Je sais démonter ce blocage sur Spamhaus... mais dans le mois suivant, il se régénère, il y a même un journal qui me dit 28 fois dans le dernier mois dont le dernier était le 23 decembre...??? L'heure est toujours 0:00:05 (vrai ou faux..?)... et je ne vois pas du tout ce qui en est la cause..??

Donc ma question est comment faire pour savoir d'ou ça vient...? Faire des enregistrements, détecter, analyser...?? avec quoi, comment...??? il y a des Ports de prédilection semble-t-il..?

D'avance merci... Et, bonnes fêtes de fin d'années, ou de début de l'autre.

10 réponses

Messages postés
174458
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
29 janvier 2020
19 205
Salut,

Vas sur ce site : http://multirbl.valli.org/lookup/
Copie/colle ton adresse IP 92.xx.xxx.xx
Lance le test
Vois sur combien de RBL, ton IP est blacklistée.

~~


Tu te connectes avec un routeur ou la box de ton FAI ?
Si c'est un routeur, donne le modèle.

~~

Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :

Suis le tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

Messages postés
17005
Date d'inscription
dimanche 9 septembre 2007
Statut
Contributeur
Dernière intervention
29 janvier 2020
2 044
Merci de ta réponse,

Voici je suis Blacklisted 10 fois, pour le moment...J'ai fait un Remove le 27-12

DNSBL Blacklist Test Summary 	235 of 235 tests done.
Results Not listed: 220 Blacklisted: 10 Brownlisted: 0 Yellowlisted: 0 Whitelisted: 0 Neutrallisted: 0 Failed: 5
Processing All done
DNSBL Combinedlist Test Summary 15 of 15 tests done.
Results Not listed: 14 Blacklisted: 0 Brownlisted: 0 Yellowlisted: 0 Whitelisted: 0 Neutrallisted: 0 Failed: 1
Processing All done
DNSBL Whitelist Test Summary 31 of 31 tests done.
Results Not listed: 31 Blacklisted: 0 Brownlisted: 0 Yellowlisted: 0 Whitelisted: 0 Neutrallisted: 0 Failed: 0
Processing All done
DNSBL Informationallist Test Summary 15 of 15 tests done.
Results Not listed: 5 Blacklisted: 0 Brownlisted: 0 Yellowlisted: 0 Whitelisted: 0 Neutrallisted: 10 Failed: 0
Processing All done


-- Je me connecte avec la BOX de mon FAI une SagemCom F@st 3284dc en mode routeur
suivi d'un switch D-LINK Go SW 16G... donc 16 Ethernet et 10 wifi.

--- Et voici les trois fichiers
First https://pjjoint.malekal.com/files.php?id=FRST_20191228_l12v10i13x7g9
shortcut https://pjjoint.malekal.com/files.php?id=20191228_z9v8m10i5k13
addition https://pjjoint.malekal.com/files.php?id=20191228_x11f6g7v5h7

Bien sûr, c'est le résultat pour un seul ordinateur...
Messages postés
174458
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
29 janvier 2020
19 205
Pas l'impression que le PC soit infecté :
A désinstaller :
CCleaner
CyberLink
Wondershare Helper Compact



PS : CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Si tu veux le garder, désactive la surveillance de CCleaner, inutile, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : https://www.malekal.com/supprimer-ccleaner-demarrage-windows/

~

Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.

~~

Tu as d'autres appareils connectés à cette box ?
Ca dit quoi ton IP sur ce site https://www.shodan.io/ ?

Malekal_morte-
Messages postés
174458
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
29 janvier 2020
19 205
Note que tu as pu récupérer une précédente adresse IP utilisée par un autre internaute SFR qui avait une machine vérolée.
Si l'IP reste un ou deux jours et change selon la politique de SFR.
Avec la nouvelle adresse IP la blacklist sera levée.
jeannets
Messages postés
17005
Date d'inscription
dimanche 9 septembre 2007
Statut
Contributeur
Dernière intervention
29 janvier 2020
2 044
Voici le lien qui m'a trouvé 37 maladies https://pjjoint.malekal.com/files.php?id=20191228_c6z15w99x9

Oui, j'ai d'autres équipements dont 2 serveurs synology, du téléphone SIP, SmartTV Android et quelques cartes de développement Android du type Orange Pi et RK3328.. Imprimante réseau... plusieurs PC..Parfois sous Linux
J'ai parcouru Shodan et mon IP n'y figure pas... Mais j'avoue ne pas très bien saisir l'utilisation de ce site et ce qu'on peut en tirer.
Voilà pour le moment.
Malekal_morte-
Messages postés
174458
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
29 janvier 2020
19 205 > jeannets
Messages postés
17005
Date d'inscription
dimanche 9 septembre 2007
Statut
Contributeur
Dernière intervention
29 janvier 2020

Sais tu si tu as une IP Fixe avec SFR ou une IP dynamique (qui change au bout d'un certains temps).
Je ne connais pas trop le régime des IP chez SFR.

Sinon faudrait vérifier les logs Synology, voir s'il n'envoie pas des mails ou vérifier les connexions établies.
Notamment sortant vers du port 25.
zipe31
Messages postés
38131
Date d'inscription
dimanche 7 novembre 2010
Statut
Contributeur
Dernière intervention
29 janvier 2020
4 546 > Malekal_morte-
Messages postés
174458
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
29 janvier 2020

Salut,

Apparemment son IP est fixe. Si tu fais une recherche par IP, tu verras que ça remonte toutes ses contributions. En général si c'est du dynamique, la recherche ne sort que quelques posts (ou 1 ou 2 pages en fonction de son activité sur le site).
Messages postés
17005
Date d'inscription
dimanche 9 septembre 2007
Statut
Contributeur
Dernière intervention
29 janvier 2020
2 044
Alors... normalement l'IP est dynamique... mais j'ai pu observer la réalité...!!! Je n'ai jamais changé d'IP depuis cette installation; qui est en fait une fausse fibre (un Coax) qui passe à 400 Méga, en utilisant l'ancienne structure de Numéricable; autrefois nommée "la Télédistribution"... Le parcours de ce câble au travers de "Boites miracles" peut aussi etre exposé à ces malveillances...

Le journal des Synology's, je regarderai (plus tard) effectivement, je suis attaqué de temps à autre... par le FTP, sans succès, dont une il y a peu de temps, le 18 et le 24 de ce mois, bloqué par SSH et l'autre par DSM... mais tous les Syno se font attaquer..
Il m'envoie un email par semaine et c'est un port à 3 chiffres.

J'ai vu une liste de port sur le site SpamHaus je devrais aussi vérifier et revoir les NAT de ma BOX
Par contre, il y en a un qui est l'imprimante réseau Laser, je ne crois pas pouvoir le retirer..

Il y a aussi les tablettes... Que faire..??

Merci en tout cas.
Messages postés
174458
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
29 janvier 2020
19 205
Non pas les tablettes.
Vu que le PC a l'air sain, si ton IP spamme vraiment, ça doit être les synology.
Après j'imagine que la box ne donne aucune indication sur ce qui est envoyé...
donc difficile de dire si tu as des connexions sortantes vers le port 25.

Tu peux ouvrir un terminal sur le synologic ?
Genre passer des commandes Linux, type netstat ?
ou des outils d'administration pour voir les connexions effectuées ?

Malekal_morte-
Messages postés
174458
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
29 janvier 2020
19 205 > zipe31
Messages postés
38131
Date d'inscription
dimanche 7 novembre 2010
Statut
Contributeur
Dernière intervention
29 janvier 2020

netstat c'est basique.
J'espère que c'est dedans quand même.
zipe31
Messages postés
38131
Date d'inscription
dimanche 7 novembre 2010
Statut
Contributeur
Dernière intervention
29 janvier 2020
4 546 > Malekal_morte-
Messages postés
174458
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
29 janvier 2020

T'as du bol ;-)
Malekal_morte-
Messages postés
174458
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
29 janvier 2020
19 205 > zipe31
Messages postés
38131
Date d'inscription
dimanche 7 novembre 2010
Statut
Contributeur
Dernière intervention
29 janvier 2020

:>
jeannets
Messages postés
17005
Date d'inscription
dimanche 9 septembre 2007
Statut
Contributeur
Dernière intervention
29 janvier 2020
2 044 > Malekal_morte-
Messages postés
174458
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
29 janvier 2020

Voila ce que je peux y lire ... ... J'avoue ne pas comprendre ces IP qui y sont établies; dont certaines basées à San-Diego. Sinon, je n'y vois que du Samba..

login as: admin
admin@192.168.1.60's password:
admin@jean:~$ ls
@eaDir #recycle www
admin@jean:~$ sudo su
Password:
ash-4.3# ls
@eaDir #recycle www
ash-4.3# cd /.
ash-4.3# ls
bin etc.defaults mnt sbin usr volumeSATA
config initrd proc sys var volumeSATA1
dev lib root tmp var.defaults volumeUSB1
etc lost+found run tmpRoot volume1
ash-4.3# ls
bin etc.defaults mnt sbin usr volumeSATA
config initrd proc sys var volumeSATA1
dev lib root tmp var.defaults volumeUSB1
etc lost+found run tmpRoot volume1
ash-4.3# netstat -n -p-------------------------------------<<<<<<< netstat<<<<<<<<<<<-------------
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 47 0 192.168.1.60:6014 185.222.211.26:64482 ESTABLISHED -
tcp 0 0 192.168.1.60:45326 68.183.161.151:81 TIME_WAIT -
tcp 47 0 192.168.1.60:6013 185.143.221.69:64824 ESTABLISHED -
tcp 47 0 192.168.1.60:6013 185.143.221.69:65164 ESTABLISHED -
tcp 0 0 192.168.1.60:45368 18.195.145.6:443 ESTABLISHED 8178/synorelayd
tcp 0 0 192.168.1.60:6014 185.222.211.26:63086 ESTABLISHED 9604/synoaudiod
tcp 47 0 192.168.1.60:6013 185.143.221.69:65358 ESTABLISHED -
tcp 0 64 192.168.1.60:22 192.168.1.10:6825 ESTABLISHED 2752/sshd: admin [p
tcp 0 0 192.168.1.60:6013 185.143.221.69:64312 ESTABLISHED 9604/synoaudiod
tcp 47 0 192.168.1.60:6014 185.222.211.26:64052 ESTABLISHED -
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags Type State I-Node PID/Program name Path
unix 2 [ ] DGRAM 31262 12324/nmbd /run/samba/msg.sock/12324
unix 2 [ ] DGRAM 15391 8006/scemd /tmp/scemd_event_handler.sock_server
unix 2 [ ] DGRAM 13668 7127/smbd /run/samba/msg.sock/7127
unix 2 [ ] DGRAM 13677 7562/smbd /run/samba/msg.sock/7562
unix 2 [ ] DGRAM 13688 7560/smbd /run/samba/msg.sock/7560
unix 2 [ ] DGRAM 13703 7565/smbd /run/samba/msg.sock/7565
unix 3 [ ] STREAM CONNECTED 1510 1582/synoconfd
unix 3 [ ] STREAM CONNECTED 1449 1525/dbus-daemon /var/run/dbus/system_bus_socket
unix 3 [ ] STREAM CONNECTED 1448 1/init
unix 3 [ ] STREAM CONNECTED 1433 1525/dbus-daemon
unix 3 [ ] STREAM CONNECTED 1432 1525/dbus-daemon
unix 3 [ ] STREAM CONNECTED 1416 1518/dbus-daemon
unix 3 [ ] STREAM CONNECTED 1415 1518/dbus-daemon
unix 3 [ ] STREAM CONNECTED 1406 1481/synologaccd
unix 3 [ ] STREAM CONNECTED 1405 1481/synologaccd


Je vais y chercher un Log, voir s'il est plus bavard....

Je me demande aussi, si le fait de bloquer les PopUp et donc CAptcha ne seraient pas considéré comme un rejet.?? par Spamhaus

Je précise que je n'envoie pas de campagne d'email massive (sauf une bonne centaine pour le nouvel an..) mes Email ne comportent pas non plus de SPAM, ou autre intox publicitaire... par contre, j'en reçois pas mal.
zipe31
Messages postés
38131
Date d'inscription
dimanche 7 novembre 2010
Statut
Contributeur
Dernière intervention
29 janvier 2020
4 546 > jeannets
Messages postés
17005
Date d'inscription
dimanche 9 septembre 2007
Statut
Contributeur
Dernière intervention
29 janvier 2020

Salut,

Okazou… DSM : e-mail
Messages postés
17005
Date d'inscription
dimanche 9 septembre 2007
Statut
Contributeur
Dernière intervention
29 janvier 2020
2 044
Pourquoi mon précédent a été rejeté

Voila ce que je peux y lire ... ... J'avoue ne pas comprendre ces IP qui y sont établies; dont certaines basées à San-Diego. Sinon, je n'y vois que du Samba..

login as: admin
admin@192.168.1.60's password:
admin@jean:~$ ls
@eaDir #recycle www
admin@jean:~$ sudo su
Password:
ash-4.3# ls
@eaDir #recycle www
ash-4.3# cd /.
ash-4.3# ls
bin etc.defaults mnt sbin usr volumeSATA
config initrd proc sys var volumeSATA1
dev lib root tmp var.defaults volumeUSB1
etc lost+found run tmpRoot volume1
ash-4.3# ls
bin etc.defaults mnt sbin usr volumeSATA
config initrd proc sys var volumeSATA1
dev lib root tmp var.defaults volumeUSB1
etc lost+found run tmpRoot volume1
ash-4.3# netstat -n -p-------------------------------------<<<<<<< netstat<<<<<<<<<<<-------------
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 47 0 192.168.1.60:6014 185.222.211.26:64482 ESTABLISHED -
tcp 0 0 192.168.1.60:45326 68.183.161.151:81 TIME_WAIT -
tcp 47 0 192.168.1.60:6013 185.143.221.69:64824 ESTABLISHED -
tcp 47 0 192.168.1.60:6013 185.143.221.69:65164 ESTABLISHED -
tcp 0 0 192.168.1.60:45368 18.195.145.6:443 ESTABLISHED 8178/synorelayd
tcp 0 0 192.168.1.60:6014 185.222.211.26:63086 ESTABLISHED 9604/synoaudiod
tcp 47 0 192.168.1.60:6013 185.143.221.69:65358 ESTABLISHED -
tcp 0 64 192.168.1.60:22 192.168.1.10:6825 ESTABLISHED 2752/sshd: admin [p
tcp 0 0 192.168.1.60:6013 185.143.221.69:64312 ESTABLISHED 9604/synoaudiod
tcp 47 0 192.168.1.60:6014 185.222.211.26:64052 ESTABLISHED -
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags Type State I-Node PID/Program name Path
unix 2 [ ] DGRAM 31262 12324/nmbd /run/samba/msg.sock/12324
unix 2 [ ] DGRAM 15391 8006/scemd /tmp/scemd_event_handler.sock_server
unix 2 [ ] DGRAM 13668 7127/smbd /run/samba/msg.sock/7127
unix 2 [ ] DGRAM 13677 7562/smbd /run/samba/msg.sock/7562
unix 2 [ ] DGRAM 13688 7560/smbd /run/samba/msg.sock/7560
unix 2 [ ] DGRAM 13703 7565/smbd /run/samba/msg.sock/7565
unix 3 [ ] STREAM CONNECTED 1510 1582/synoconfd
unix 3 [ ] STREAM CONNECTED 1449 1525/dbus-daemon /var/run/dbus/system_bus_socket
unix 3 [ ] STREAM CONNECTED 1448 1/init
unix 3 [ ] STREAM CONNECTED 1433 1525/dbus-daemon
unix 3 [ ] STREAM CONNECTED 1432 1525/dbus-daemon
unix 3 [ ] STREAM CONNECTED 1416 1518/dbus-daemon
unix 3 [ ] STREAM CONNECTED 1415 1518/dbus-daemon
unix 3 [ ] STREAM CONNECTED 1406 1481/synologaccd
unix 3 [ ] STREAM CONNECTED 1405 1481/synologaccd


Je vais y chercher un Log, voir s'il est plus bavard....

Je me demande aussi, si le fait de bloquer les PopUp et donc CAptcha ne seraient pas considéré comme un rejet.?? par Spamhaus

Je précise que je n'envoie pas de campagne d'email massive (sauf une bonne centaine pour le nouvel an..) mes Email ne comportent pas non plus de SPAM, ou autre intox publicitaire... par contre, j'en reçois pas mal.
Malekal_morte-
Messages postés
174458
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
29 janvier 2020
19 205 > jeannets
Messages postés
17005
Date d'inscription
dimanche 9 septembre 2007
Statut
Contributeur
Dernière intervention
29 janvier 2020

Non la RBL, pourquoi ton IP se trouve dans les blacklists.
jeannets
Messages postés
17005
Date d'inscription
dimanche 9 septembre 2007
Statut
Contributeur
Dernière intervention
29 janvier 2020
2 044 > Malekal_morte-
Messages postés
174458
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
29 janvier 2020

Effectivement, je ne suis plus en, black list... la dernière fois était le 23 dec.., j'ai été sur le site pour faire un Remove de cette liste, ça a fonctionné et n'est pas encore revenu depuis...
Mais le mois précédent, c'était la même chose et en fin de mois je me retrouve avec 28 déclenchements.....??

-- J'ignorais la fonction de ce SPAMHAUS... C'est après avoir compris ce system de piège, ou je ne me reconnais pas, que j'ai posté mon sujet sur le forum CCM

C'est très étrange... car je me déplace avec le même PC et serveur durant plusieurs mois... et les autres IP (SFR également) ne font pas ça ailleurs... étrange....
jeannets
Messages postés
17005
Date d'inscription
dimanche 9 septembre 2007
Statut
Contributeur
Dernière intervention
29 janvier 2020
2 044 > Malekal_morte-
Messages postés
174458
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
29 janvier 2020

Encore une fois, je me suis fait sauter ma réponse..Pourquoi..?
Effectivement, je ne suis plus en, black list... la dernière fois était le 23 dec.., j'ai été sur le site pour faire un Remove de cette liste, ça a fonctionné et n'est pas encore revenu depuis...
Mais le mois précédent, c'était la même chose et en fin de mois je me retrouve avec 28 déclenchements.....??

-- J'ignorais la fonction de ce SPAMHAUS... C'est après avoir compris ce system de piège, ou je ne me reconnais pas, que j'ai posté mon sujet sur le forum CCM

C'est très étrange... car je me déplace avec le même PC et serveur durant plusieurs mois... et les autres IP (SFR également) ne font pas ça ailleurs... étrange....
jeannets
Messages postés
17005
Date d'inscription
dimanche 9 septembre 2007
Statut
Contributeur
Dernière intervention
29 janvier 2020
2 044 > Malekal_morte-
Messages postés
174458
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
29 janvier 2020

Encore deux fois, je me suis fait sauter ma réponse..Pourquoi..?
Effectivement, je ne suis plus en, black list... la dernière fois était le 23 dec.., j'ai été sur le site pour faire un Remove de cette liste, ça a fonctionné et n'est pas encore revenu depuis...
Mais le mois précédent, c'était la même chose et en fin de mois je me retrouve avec 28 déclenchements.....??

-- J'ignorais la fonction de ce SPAMHAUS... C'est après avoir compris ce system de piège, ou je ne me reconnais pas, que j'ai posté mon sujet sur le forum CCM

C'est très étrange... car je me déplace avec le même PC et serveur durant plusieurs mois... et les autres IP (SFR également) ne font pas ça ailleurs... étrange....
jeannets
Messages postés
17005
Date d'inscription
dimanche 9 septembre 2007
Statut
Contributeur
Dernière intervention
29 janvier 2020
2 044 > Malekal_morte-
Messages postés
174458
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
29 janvier 2020

Encore trois fois, je me suis fait sauter ma réponse..Pourquoi..?
Effectivement, je ne suis plus en, black list... la dernière fois était le 23 dec.., j'ai été sur le site pour faire un Remove de cette liste, ça a fonctionné et n'est pas encore revenu depuis...
Mais le mois précédent, c'était la même chose et en fin de mois je me retrouve avec 28 déclenchements.....??

-- J'ignorais la fonction de ce S.P.A.MHAUS... C'est après avoir compris ce system de piège, ou je ne me reconnais pas, que j'ai posté mon sujet sur le forum CCM

C'est très étrange... car je me déplace avec le même PC et serveur durant plusieurs mois... et les autres IP (SFR également) ne font pas ça ailleurs... étrange....
Messages postés
17005
Date d'inscription
dimanche 9 septembre 2007
Statut
Contributeur
Dernière intervention
29 janvier 2020
2 044
Encore quatre fois, je me suis fait sauter ma réponse..Pourquoi..?
Effectivement, je ne suis plus en, black list... la dernière fois était le 23 dec.., j'ai été sur le site pour faire un Remove de cette liste, ça a fonctionné et n'est pas encore revenu depuis...
Mais le mois précédent, c'était la même chose et en fin de mois je me retrouve avec 28 déclenchements.....??

-- J'ignorais la fonction de ce SPAMHAUS... C'est après avoir compris ce system de piège, ou je ne me reconnais pas, que j'ai posté mon sujet sur le forum CCM

C'est très étrange... car je me déplace avec le même PC et serveur durant plusieurs mois... et les autres IP (SFR également) ne font pas ça ailleurs... étrange....
Messages postés
17005
Date d'inscription
dimanche 9 septembre 2007
Statut
Contributeur
Dernière intervention
29 janvier 2020
2 044
Je ne suis toujours pas Blacklisté sur spamhaus depuis le 23-12 donc depuis 11 jours.

Je dois dire que j'ai trouver dans mes comptes emails deux fournisseurs qui avaient le port 25 que j'ai changer en 587, ça marche aussi.

Voilà, je compte surveiller ça sur un mois... ça semble positif pour le moment.
jeannets
Messages postés
17005
Date d'inscription
dimanche 9 septembre 2007
Statut
Contributeur
Dernière intervention
29 janvier 2020
2 044 > Malekal_morte-
Messages postés
174458
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
29 janvier 2020

Non, je lis mes mails et envoie avec un Client Outlook de Microsoft office...J'ai vérifié tous mes comptes emails... Le port 25 n'est pas utilisé, donc effectivement, je vais le bloquer dans la BOX, je verrai bien...
Et dans cette recherche, j'en ai trouvé un qui bloquait: Outlook.com (le compte de Microsoft)...
Avec le code error 554.5.2.0 la raison était qu'il n'avait pas été "Vérifié" car il manquait mon N° de mobil... ce que j'ai du ajouter, pour recevoir un code de déblocage... et maintenant il fonctionne.. C'est quand même une ingérence quelque part..

Est-ce que ça ne pourrait pas etre des choses comme ça..??
jeannets
Messages postés
17005
Date d'inscription
dimanche 9 septembre 2007
Statut
Contributeur
Dernière intervention
29 janvier 2020
2 044 > jeannets
Messages postés
17005
Date d'inscription
dimanche 9 septembre 2007
Statut
Contributeur
Dernière intervention
29 janvier 2020

Bonjour,

Malgré mon "Remove" d'hier soir, je suis à nouveau blacklisté ce matin....??? j'essaie de comprendre...Pas facile., je l'ai à nouveau démonté... Voilà ca qu'il dit: sur ce site https://www.abuseat.org/lookup.cgi

This IP address was detected and listed 17 times in the past 28 days, and 1 times in the past 24 hours. The most recent detection was at Tue Jan 7 00:05:00 2020 UTC +/- 5 minutes

This IP address was self-removed 2 times in the past week.

This IP address was self-removed 2 times in the past 24 hours.

This IP is infected with Hajime, Wopbot, Mirai or similar malware, primarily used for DDOS attacks via IoT devices. See Mirai: The IoT Bot That Took Down Krebs and Launched a Tbps DDoS Attack on OVH for more information.

These infections are usually used to DDOS web sites. They have been responsible for DDOS attacks in excess of 1TBs (1 terabyte) per second.

Generally the machines infected are running some form of Linux, whether it be full fledged computers, embedded controllers or "Internet of Things" devices such as DVRs, web cams, routers, Polycom video conference equipment etc. These are known to infect at least x86 (Desktop computers, laptops, large servers etc), ARM (most common IoT CPU, many ancilliary network devices such as routers and modems), IBM/Apple PowerPC, MIPS or Sun Sparc devices and computers.


Je précise que j'ai fermé le port 25 hier soir (dans la BOX) et que tous les PC étaient éteint durant la nuit donc la détection à 5:00 h de la nuit...??? c'est quoi..??
Malekal_morte-
Messages postés
174458
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
29 janvier 2020
19 205 > jeannets
Messages postés
17005
Date d'inscription
dimanche 9 septembre 2007
Statut
Contributeur
Dernière intervention
29 janvier 2020

C'est 6h du mat chez toi.
Je te PM.
jeannets
Messages postés
17005
Date d'inscription
dimanche 9 septembre 2007
Statut
Contributeur
Dernière intervention
29 janvier 2020
2 044 > Malekal_morte-
Messages postés
174458
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
29 janvier 2020

Oui, j'ai rectifié le fuseau horaire...depuis, J'ai bloqué tous les 5 ports qui sont incriminés sur la page de https://www.abuseat.org/lookup.cgi (accès si on est XBL)... Bref, je t'ai MP en retour..
jeannets
Messages postés
17005
Date d'inscription
dimanche 9 septembre 2007
Statut
Contributeur
Dernière intervention
29 janvier 2020
2 044 > Malekal_morte-
Messages postés
174458
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
29 janvier 2020

OK, Oui, j'ai rectifié le fuseau horaire...depuis, J'ai bloqué tous les ports qui sont incriminés sur la page de https://www.abuseat.org/lookup.cgi (accès si on est XBL)... Bref, je t'ai MP en retour..
Messages postés
17005
Date d'inscription
dimanche 9 septembre 2007
Statut
Contributeur
Dernière intervention
29 janvier 2020
2 044
Je me réponds à moi même pour ceux qui serait également concernés..

Depuis, J'ai fait la liste de tous mes équipements car d'après SPAMHAUS, ce serait un IOT qui serait probablement en cause... et tous les matins, je vérifie si je suis toujours en Blacklist, Jusqu'à maintenant, c'est le cas, bien que je l'efface tous les soirs... ça semble se faire dans la nuit autour de 05:00 alors que mes PC sont éteints.
-- J'ai donc débranché un serveur PALAPA sur une carte de développeur ...Un jour
-- Le lendemain mon automate de chauffage... en vain
-- Le lendemain j'ai mis une horloge qui coupe mon modem vers 3:00h sur 1/4 d'heure et aussi débranché mon imprimante réseau HP et ce matin, je ne suis plus en liste Noir...??
Ce peut etre un Hazard aussi, j'ai déja eu plusieurs jours sans rien et d'un seul coup, c'est revenu..
Voila.. je compte cerner le fautif en procédant par élimination, un chaque jour.
jeannets
Messages postés
17005
Date d'inscription
dimanche 9 septembre 2007
Statut
Contributeur
Dernière intervention
29 janvier 2020
2 044
Alors, comble de l'ironie, mon Internet était coupé depuis 3:30 de la nuit, jusqu'à 12:15 (midi) et malgré tout, j'étais à nouveau en SpamList au démarrage sois-disant depuis 06:00 du matin... Évidement, c'est fort de bouchon...

Cependant, je crois bien que leur message est toujours le même et il est très possible qu'il s'agisse d'une action antérieure ... et ils précisent qu'elle a été effacée au moins 5 fois la semaine dernière (c'est vrai) ...mais maintenant, je n'arrive plus à m'effacer sur leur site... et je ne peux plus continuer à chercher le fautif par la méthode de substitution..

Qu'est-ce que c'est encore que ce truc... J'ai bien compris la raison pour bloquer les envoie massif d'email (Spam) et saturer les boites et les réseaux... Ils n'ont pas tort... mais pour ma part, je ne fait rien de tout ça, Disons que je reçois 15 emails par jour, j'en envoie autant... (sauf pour les voeux, c'est une centaine en 2x50)

Je ne sais même pas vraiment ce qu'il faut chercher...? Quelqu'un d'autre doit bien subir la même chose..??
jeannets
Messages postés
17005
Date d'inscription
dimanche 9 septembre 2007
Statut
Contributeur
Dernière intervention
29 janvier 2020
2 044 > jeannets
Messages postés
17005
Date d'inscription
dimanche 9 septembre 2007
Statut
Contributeur
Dernière intervention
29 janvier 2020

Suite--

Hier soir13-01, J'ai arrêté mon serveur... Changé l'heure de coupre de nuit de ma BOX, passée à 2:00 de la nuit... Et Passé la BOX sur DNS auto. donc maintenant je suis sur le DNS de mon FAI au lieu de Yandex auparavant..
J'ai fait Remove de mon IP en XBL.. Et j'ai fait une manip sur le site Spamhaus pour enlever mon IP du PBL, sur leur site en "Removal/Form/ en bas de page... après, on ne sais pas si ça marche ou pas.
-- ce matin 14.01, je n'étais plus Blacklisté...Que penser.
Messages postés
17005
Date d'inscription
dimanche 9 septembre 2007
Statut
Contributeur
Dernière intervention
29 janvier 2020
2 044
le 19-01 Mon IP est à nouveau en XBL vers 15:00 alors qu'avant midi, elle n'y était pas;

-- Je soupçonne fort ma BOX, le modem de SFR... Voici pourquoi:
Hier mon FAI a mis en application son changement de débit sur le câble... ça a été le Bazar des déconnexions tout l'après midi, la nuit aussi et encore ce matin en moins pire...
J'ai déconnecté mon modem de l'installation pour lui faire une réinitialisation usine... du coup, il est redevenu "vierge" Je lui ai juste redonné mon plan d'IP réseau et mon Pseudo+mot de passe et voila que je repasse dans les XBL (j'ai aussi lu mes emails)