Mon IP externe est blacklisté par SPAMHAUSFermé

Question

Bonjour,

Depuis deux ou trois mois, j'ai un blocage pour envoyer  (pas pour recevoir),  des emails avec "Laposte" et Yahoo, et pas les autres... J'ai un message en retour (uniquement avec la poste) qui me dit que je suis bloqué .. 554 5.7.1 Service unavailable; Client host [92.xx.xxx.xx] blocked using sbl-xbl.spamhaus.org  voila... je crois que c'est connu...

J'ai fait la lecture sur le sujet et, Il s'avère que généralement les PC n'en sont pas la source...Mais davantage d'autres appareils... Routeur/switch, TV box, Imprimantes réseau, Tel SIP, NAS, Thermostat intelligent et autre boitiers sous linux/Android...Sur certains ports..  J'ai effectivement des appareils de ce genre et vu que je "Bidouille" avec, leurs config sont variables...

Je sais démonter ce blocage sur Spamhaus... mais dans le mois suivant, il se régénère, il y a même un journal qui me dit  28 fois dans le dernier mois dont le dernier était le 23 decembre...??? L'heure est toujours 0:00:05  (vrai ou faux..?)... et je ne vois pas du tout ce qui en est la cause..??

Donc ma question est comment faire pour savoir d'ou ça vient...? Faire des enregistrements, détecter, analyser...?? avec quoi, comment...??? il y a des Ports de prédilection semble-t-il..?

D'avance merci... Et, bonnes fêtes de fin d'années, ou de début de l'autre.

Malekal_morte- · Answer

Salut,

Vas sur ce site : http://multirbl.valli.org/lookup/
Copie/colle ton adresse IP 92.xx.xxx.xx
Lance le test
Vois sur combien de RBL, ton IP est blacklistée.

~~


Tu te connectes avec un routeur ou la box de ton FAI ?
Si c'est un routeur, donne le modèle.

~~

 Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :

Suis le tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :

 FRST.txt
 Shortcut.
 Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

jeannets · Answer

Merci de ta réponse,

Voici  je suis Blacklisted  10 fois, pour le moment...J'ai fait un Remove le 27-12

DNSBL Blacklist Test Summary 	235 of 235 tests done.Results 	Not listed: 220 	Blacklisted: 10 	Brownlisted: 0 	Yellowlisted: 0 	Whitelisted: 0 	Neutrallisted: 0 	Failed: 5Processing 	All doneDNSBL Combinedlist Test Summary 	15 of 15 tests done.Results 	Not listed: 14 	Blacklisted: 0 	Brownlisted: 0 	Yellowlisted: 0 	Whitelisted: 0 	Neutrallisted: 0 	Failed: 1Processing 	All doneDNSBL Whitelist Test Summary 	31 of 31 tests done.Results 	Not listed: 31 	Blacklisted: 0 	Brownlisted: 0 	Yellowlisted: 0 	Whitelisted: 0 	Neutrallisted: 0 	Failed: 0Processing 	All doneDNSBL Informationallist Test Summary 	15 of 15 tests done.Results 	Not listed: 5 	Blacklisted: 0 	Brownlisted: 0 	Yellowlisted: 0 	Whitelisted: 0 	Neutrallisted: 10 	Failed: 0Processing 	All done

-- Je me connecte avec la BOX de mon FAI une SagemCom F@st 3284dc en mode routeur
suivi d'un switch  D-LINK Go SW 16G... donc 16 Ethernet et 10 wifi.

--- Et voici les trois fichiers
First   https://pjjoint.malekal.com/files.php?id=FRST_20191228_l12v10i13x7g9
shortcut https://pjjoint.malekal.com/files.php?id=20191228_z9v8m10i5k13
addition https://pjjoint.malekal.com/files.php?id=20191228_x11f6g7v5h7

Bien sûr, c'est le résultat pour un seul ordinateur...

Malekal_morte- · Answer

Pas l'impression que le PC soit infecté :
A désinstaller :
CCleaner 
CyberLink  
Wondershare Helper Compact 


PS : CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Si tu veux le garder, désactive la surveillance de CCleaner, inutile, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : https://www.malekal.com/supprimer-ccleaner-demarrage-windows/ 

~

Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.

~~

Tu as d'autres appareils connectés à cette box ?
Ca dit quoi ton IP sur ce site https://www.shodan.io/ ?

jeannets · Answer

Alors... normalement l'IP est dynamique... mais j'ai pu observer la réalité...!!!  Je n'ai jamais changé d'IP depuis cette installation; qui est en fait une fausse fibre (un Coax) qui passe à 400 Méga, en utilisant l'ancienne structure de Numéricable; autrefois nommée "la Télédistribution"... Le parcours de ce câble au travers de "Boites miracles" peut aussi etre exposé à ces malveillances...

Le journal des Synology's, je regarderai  (plus tard) effectivement, je suis attaqué de temps à autre... par le FTP, sans succès, dont une il y a peu de temps, le 18 et le 24 de ce mois, bloqué par SSH et l'autre par DSM... mais tous les Syno se font attaquer..
Il m'envoie un email par semaine et c'est un port à 3 chiffres.

J'ai vu une liste de port sur le site SpamHaus je devrais aussi vérifier et revoir les NAT de ma BOX
Par contre, il y en a un  qui est l'imprimante réseau Laser, je ne crois pas pouvoir le retirer..

Il y a aussi les tablettes...  Que faire..??

Merci en tout cas.

Malekal_morte- · Answer

Non pas les tablettes.
Vu que le PC a l'air sain, si ton IP spamme vraiment, ça doit être les synology.
Après j'imagine que la box ne donne aucune indication sur ce qui est envoyé... 
donc difficile de dire si tu as des connexions sortantes vers le port 25.

Tu peux ouvrir un terminal sur le synologic ?
Genre passer des commandes Linux, type netstat ?
ou des outils d'administration pour voir les connexions effectuées ?

jeannets · Answer

Pourquoi mon précédent a été rejeté

Voila ce que je peux y lire ... ... J'avoue ne pas comprendre ces IP qui y sont établies; dont certaines basées à San-Diego.  Sinon, je n'y vois que du Samba..

login as: adminadmin@192.168.1.60's password:admin@jean:~$ ls@eaDir  #recycle  wwwadmin@jean:~$ sudo suPassword:ash-4.3# ls@eaDir  #recycle  wwwash-4.3# cd /.ash-4.3# lsbin     etc.defaults  mnt   sbin     usr           volumeSATAconfig  initrd        proc  sys      var           volumeSATA1dev     lib           root  tmp      var.defaults  volumeUSB1etc     lost+found    run   tmpRoot  volume1ash-4.3# lsbin     etc.defaults  mnt   sbin     usr           volumeSATAconfig  initrd        proc  sys      var           volumeSATA1dev     lib           root  tmp      var.defaults  volumeUSB1etc     lost+found    run   tmpRoot  volume1ash-4.3# netstat -n -p-------------------------------------<<<<<<< netstat<<<<<<<<<<<-------------Active Internet connections (w/o servers)Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program nametcp       47      0 192.168.1.60:6014       185.222.211.26:64482    ESTABLISHED -tcp        0      0 192.168.1.60:45326      68.183.161.151:81       TIME_WAIT   -tcp       47      0 192.168.1.60:6013       185.143.221.69:64824    ESTABLISHED -tcp       47      0 192.168.1.60:6013       185.143.221.69:65164    ESTABLISHED -tcp        0      0 192.168.1.60:45368      18.195.145.6:443        ESTABLISHED 8178/synorelaydtcp        0      0 192.168.1.60:6014       185.222.211.26:63086    ESTABLISHED 9604/synoaudiodtcp       47      0 192.168.1.60:6013       185.143.221.69:65358    ESTABLISHED -tcp        0     64 192.168.1.60:22         192.168.1.10:6825       ESTABLISHED 2752/sshd: admin [ptcp        0      0 192.168.1.60:6013       185.143.221.69:64312    ESTABLISHED 9604/synoaudiodtcp       47      0 192.168.1.60:6014       185.222.211.26:64052    ESTABLISHED -Active UNIX domain sockets (w/o servers)Proto RefCnt Flags       Type       State         I-Node   PID/Program name     Pathunix  2      [ ]         DGRAM                    31262    12324/nmbd           /run/samba/msg.sock/12324unix  2      [ ]         DGRAM                    15391    8006/scemd           /tmp/scemd_event_handler.sock_serverunix  2      [ ]         DGRAM                    13668    7127/smbd            /run/samba/msg.sock/7127unix  2      [ ]         DGRAM                    13677    7562/smbd            /run/samba/msg.sock/7562unix  2      [ ]         DGRAM                    13688    7560/smbd            /run/samba/msg.sock/7560unix  2      [ ]         DGRAM                    13703    7565/smbd            /run/samba/msg.sock/7565unix  3      [ ]         STREAM     CONNECTED     1510     1582/synoconfdunix  3      [ ]         STREAM     CONNECTED     1449     1525/dbus-daemon     /var/run/dbus/system_bus_socketunix  3      [ ]         STREAM     CONNECTED     1448     1/initunix  3      [ ]         STREAM     CONNECTED     1433     1525/dbus-daemonunix  3      [ ]         STREAM     CONNECTED     1432     1525/dbus-daemonunix  3      [ ]         STREAM     CONNECTED     1416     1518/dbus-daemonunix  3      [ ]         STREAM     CONNECTED     1415     1518/dbus-daemonunix  3      [ ]         STREAM     CONNECTED     1406     1481/synologaccdunix  3      [ ]         STREAM     CONNECTED     1405     1481/synologaccd

Je vais y chercher un Log, voir s'il est plus bavard....

Je me demande aussi, si le fait de bloquer les PopUp et donc CAptcha ne seraient pas considéré comme un rejet.?? par Spamhaus

Je précise que je n'envoie pas de campagne d'email massive  (sauf une bonne centaine pour le nouvel an..)  mes Email ne comportent pas non plus de SPAM, ou autre intox publicitaire... par contre, j'en reçois pas mal.

jeannets · Answer

Encore quatre fois, je me suis fait sauter ma réponse..Pourquoi..?
Effectivement, je ne suis plus en, black list... la dernière fois était le 23 dec..,  j'ai été sur le site pour faire un Remove de cette liste, ça a fonctionné et n'est pas encore revenu depuis...
Mais le mois précédent, c'était la même chose et en fin de mois je me retrouve avec 28 déclenchements.....??

-- J'ignorais la fonction de ce SPAMHAUS... C'est après avoir compris ce system de piège, ou je ne me reconnais pas, que j'ai posté mon sujet sur le forum CCM

C'est très étrange... car je me déplace avec le même PC et serveur durant plusieurs mois... et les autres IP  (SFR également) ne font pas ça ailleurs... étrange....

jeannets · Answer

Je ne suis toujours pas Blacklisté sur spamhaus  depuis le 23-12 donc depuis 11 jours.

Je dois dire que j'ai trouver dans mes comptes emails deux fournisseurs qui avaient le port 25 que j'ai changer en 587, ça marche aussi.

Voilà, je compte surveiller ça sur un mois... ça semble positif pour le moment.

jeannets · Answer

Je me réponds à moi même pour ceux qui serait également concernés..

Depuis, J'ai fait la liste de tous mes équipements car d'après SPAMHAUS, ce serait un IOT qui serait probablement en cause... et tous les matins, je vérifie si je suis toujours en Blacklist, Jusqu'à maintenant, c'est le cas, bien que je l'efface tous les soirs... ça semble se faire dans la nuit autour de 05:00 alors que mes PC sont éteints.
-- J'ai donc débranché un serveur PALAPA sur une carte  de développeur ...Un jour
-- Le lendemain mon automate de chauffage... en vain
-- Le lendemain j'ai mis une horloge qui coupe mon modem vers 3:00h sur 1/4 d'heure et aussi débranché mon imprimante réseau HP  et ce matin, je ne suis plus en liste Noir...?? 
Ce peut etre un Hazard aussi, j'ai déja eu plusieurs jours sans rien et d'un seul coup, c'est revenu..
Voila.. je compte cerner le fautif en procédant par élimination, un chaque jour.

jeannets · Answer

le 19-01  Mon IP est à nouveau en XBL  vers 15:00 alors qu'avant midi, elle n'y était pas;

-- Je soupçonne fort ma BOX, le modem de SFR...  Voici pourquoi:
Hier mon FAI a mis en application son changement de débit sur le câble... ça a été le Bazar des déconnexions tout l'après midi, la nuit aussi et encore ce matin en moins pire...  
J'ai déconnecté mon modem de l'installation pour lui faire une réinitialisation usine... du coup, il est redevenu "vierge" Je lui ai juste redonné mon plan d'IP réseau et mon Pseudo+mot de passe et voila que je repasse dans les XBL  (j'ai aussi lu mes emails)

Mon IP externe est blacklisté par SPAMHAUS

10 réponses

Newsletters