đ§ File mail
đ Origines emails
â Processus
đĄ SMTP live
đ Crontabs
đ€ Utilisateurs
đ FTP
đ SSH
â Fichiers
đ Logs
đ Actions
File d'attente Postfix & emails sortants
| Heure | Expéditeur | Destinataire | Taille | Score | Statut |
|---|
| Chargement... |
đĄ La file Postfix rĂ©elle est lue via postqueue -p. Le score spam est calculĂ© par heuristique locale.
Comptes utilisateurs Plesk
| Utilisateur | RĂŽle | DerniĂšre connexion | DerniĂšre IP | Statut | Action |
|---|
| Chargement... |
đĄ Les comptes avec une IP non reconnue dans TRUSTED_IPS (config.php) sont automatiquement marquĂ©s suspects.
Comptes FTP & accÚs récents
| Login | RĂ©pertoire | Domaine | DerniĂšre IP | Statut | Action |
|---|
| Chargement... |
đĄ Les accĂšs FTP sont lus depuis les logs vsftpd/proftpd. Ajoutez votre IP dans TRUSTED_IPS dans config.php.
Sessions SSH & tentatives
| Utilisateur | IP source | Depuis | PID | Statut | Action |
|---|
| Chargement... |
Tentatives de connexion échouées :
# Voir sessions en direct
$ who -u
# Tuer une session
$ kill -9 [PID]
# Bloquer une IP
$ iptables -A INPUT -s [IP] -j DROP
Fichiers suspects (modifiés <24h)
| Chemin | Taille | Modifié | Type | Risque | Action |
|---|
| Scan en cours... |
# Scanner tous les webshells PHP
$ grep -r "eval(base64_decode" /var/www/vhosts/ --include="*.php" -l
# Fichiers PHP créés la nuit derniÚre
$ find /var/www/vhosts -name "*.php" -newer /var/www/vhosts/*/httpdocs/index.php -ls
Journaux systĂšme
Logs lus depuis /var/log/mail.log et /var/log/auth.log
Origines des emails â par script et utilisateur systĂšme
| Script / Source | Utilisateur systĂšme | RĂ©pertoire | Nb emails | Hors vhosts | Risque |
|---|
| Chargement... |
Top expéditeurs Postfix
â
đĄ Les emails "Hors vhosts" sont envoyĂ©s par des scripts dans /tmp, /home, des crons ou des binaires systĂšme â vecteur d'attaque principal.
Processus PHP / Python actifs
| PID | Utilisateur | CPU% | MEM% | Commande | SMTP? | Risque | Action |
|---|
| Chargement... |
# Voir ce qu'un processus a ouvert (fichiers + connexions réseau)
$ lsof -p [PID]
# Connexions SMTP actives de tous les processus
$ lsof -i :25 -i :587 -i :465
# Script exact d'un PID
$ cat /proc/[PID]/cmdline | tr '\0' ' '
Connexions SMTP sortantes en temps réel
| Ătat | Local | Distant | PID | Processus | Script source | Risque | Action |
|---|
| Chargement... |
đĄ Une connexion SMTP "hors vhosts" (non liĂ©e Ă Postfix) indique un script malveillant qui contourne complĂštement le MTA du serveur.
Tùches planifiées (crontabs utilisateurs + systÚme)
đĄ Les attaquants installent souvent un cron pour rĂ©-installer leur backdoor mĂȘme aprĂšs nettoyage. VĂ©rifiez /var/spool/cron/ et /etc/cron.d/.