OVH Community, votre nouvel espace communautaire.

VPS indisponibilité ou attaque ddos


shirokoweb
22/03/2015, 11h55
et le KVM ?
C'est devinettes sur devinettes décidément... Pourquoi le SSH ne répond plus ???
Qu'avez-vous fait précisément ? Désactivé le login (accès SSH) en root ?
Désactiver le port 22 ???? Quelle idée... si vous vouliez changer le port de SSH c'est le fichier /etc/ssh/sshd_config qu'il faut modifier en indiquant un nouveau port (qui n'est pas utilisé par un autre service...)
Désactivé le login par mot de passe ? (avant de générer une clef publique / privée) ?
J'ai fait un petit tuto concernant SSH, simple à suivre et à mettre en oeuvre :
http://forum.ovh.com/showthread.php?...l=1#post638076
Je suis persuadé qu'il y a de nombreuses personnes prêtes à vous aider sur le forum, mais vous devez être plus précis, en retraçant étape par étape ce que vous avez fait.
On vous parle de logs depuis le début, mais à aucun moment vous nous dites si vous les avez épluchés.

Nowwhat
22/03/2015, 10h32
Il te reste que la mode rescue ....

Sauf si Plesk possède des possibilités de modifier des paramètres et relancer des services comme SSH.

nanogoldos
21/03/2015, 09h44
J'infogère moi-même et Plesk est un choix pour le côté graphique sachant que j'ai des clients qui gèrent des petites fonctions comme les emails donc c'est un compromis.

Le port 22 désactivé finalement c'est une erreur, Plesk ne peut plus faire ses mises à jours automatiques, ni les mises à jour manuelles.

Mon port 32 ne répond plus non plus. Plus d'accès en SSH.

Il me reste quoi à part le mode rescue pour reprendre la main ?

shirokoweb
20/03/2015, 18h49
nanogoldos,

On ne peut pas jouer aux devinettes ni apporter de réponses concrètes sans faire un audit du système.
Cet audit est soit réalisé par un prestataire soit par vous-même.

Si c'est un prestataire, il saura où et quoi regarder.
Si c'est VOUS qui le faite, faut fournir un maximum d'informations, ce qui est installé sur la machine, gérez vous les DNS, état de la base de données, utilisation d'un serveur mail ou non, etc etc etc.

Déjà, vous pouvez voir ce qui bouffe le plus de ressources :
installez htop : apt-get install -y htop
démarrez htop : htop
Vous pouvez customiser l'affichage (y'a plein de tutos dessus).

Éventuellement audit de la BDD (y'a plein de tutos sur le net)

Donnez-vous accès à des espaces client ? (hébergements etc) ou êtes vous le seul à utiliser votre VPS ?
Si vous êtes le seul utilisateur, je ne vois pas l'intérêt d'installer plesk sur un VPS, vous pouvez absolument tout gérer en ligne de commande.

Avez-vous analysé vos fichiers de logs ? Si oui lesquels ?
Où se trouvent les fichiers de logs sur plesk ? http://kb.sp.parallels.com/fr/111283

Qu'indiquent les logs de votre site e-commerce ?

Avez-vous un service de monitoring ? genre munin (au hasard) même si je ne suis pas fan de ce genre de module
Des alternatives à munin ? Google est ton ami

Cordialement

nanogoldos
20/03/2015, 15h55
ljijij

nanogoldos
20/03/2015, 14h49
;lplplp

nanogoldos
20/03/2015, 12h25
Bonjour,
Voici un point d'avancement de mes actions pour cas d'école et pour avancer.

rkhunter : les warnings sont réglés
SSH : port 22 désactivé

Firewall ip6tables : blocage des 2 range IP 123.125.71.0/24 et 208.80.192.0/24
Fail2ban : calme

Les ip bloquées n'ont envoyés que 9 paquets à 380ko depuis 24h

J'ai toujours l'interface Plesk qui mouline
Que puis-je faire encore comme autres actions ?

Nowwhat
19/03/2015, 08h33
Citation Envoyé par nanogoldos
Rkhunter en place

Voici les warnings
[...]
Pour chaque warning de Rkhunter, tu va nourrir Google avec.
Ajoute aussi le terme 'Rkhunter' et la référence de ton OS.
T'auras vite compris si, le warning est bénin, et ce qu'il faut faire pour que Rkhunter ne l'affiche plus.

fail2ban : installe-le - ne te limite pas à que protéger la porte 22, - et pense à mettre le ban-time par 'jail' à au moins 24, vois plus d'heures.

SSH : abandonne d’urgence l'authentification par utilisateur+mot de passe.
L'authentification "utilisateur+mot de passe" existe uniquement pour qu'un boite de location (KS ou OVH° puisse te transféré la contrôle d'un serveur (ton VPS). L'admin,toi, devrait activer la méthode d’authentification avec des certificats publique/privé.
Dès que ça marche, interdit carrément l'accès "clavier".

nanogoldos
19/03/2015, 00h33
Rkhunter en place

Voici les warnings

[00:27:20] Warning: Found enabled xinetd service: /etc/xinetd.d/ftp_psa
[00:27:20] Warning: Found enabled xinetd service: /etc/xinetd.d/poppassd_psa

[00:27:29] Warning: The SSH configuration option 'PermitRootLogin' has not been set.
The default value may be 'yes', to allow root access.


[00:27:33] Warning: Suspicious file types found in /dev:
[00:27:33] /dev/md/autorebuild.pid: ASCII text
[00:27:33] /dev/.udev/queue.bin: data
[00:27:33] /dev/.udev/db/block:sda1: ASCII text
[00:27:33] /dev/.udev/db/net:eth0: ASCII text
[00:27:33] /dev/.udev/db/block:sda2: ASCII text
[00:27:33] /dev/.udev/db/input:event1: ASCII text
[00:27:33] /dev/.udev/db/block:sda: ASCII text
[00:27:33] /dev/.udev/db/input:mouse1: ASCII text
[00:27:33] /dev/.udev/db/input:event0: ASCII text
[00:27:33] /dev/.udev/db/input:event3: ASCII text
[00:27:33] /dev/.udev/db/input:event2: ASCII text
[00:27:33] /dev/.udev/db/block:sr0: ASCII text
[00:27:33] /dev/.udev/db/block:ram9: ASCII text
[00:27:33] /dev/.udev/db/block:ram8: ASCII text
[00:27:34] /dev/.udev/db/block:ram7: ASCII text
[00:27:34] /dev/.udev/db/block:ram6: ASCII text
[00:27:34] /dev/.udev/db/block:ram5: ASCII text
[00:27:34] /dev/.udev/db/block:ram4: ASCII text
[00:27:34] /dev/.udev/db/block:ram3: ASCII text
[00:27:34] /dev/.udev/db/block:ram2: ASCII text
[00:27:34] /dev/.udev/db/block:ram15: ASCII text
[00:27:34] /dev/.udev/db/block:ram14: ASCII text
[00:27:34] /dev/.udev/db/block:ram13: ASCII text
[00:27:34] /dev/.udev/db/block:ram12: ASCII text
[00:27:34] /dev/.udev/db/block:ram11: ASCII text
[00:27:34] /dev/.udev/db/block:ram10: ASCII text
[00:27:34] /dev/.udev/db/block:ram1: ASCII text
[00:27:34] /dev/.udev/db/block:ram0: ASCII text
[00:27:34] /dev/.udev/db/block:loop7: ASCII text
[00:27:34] /dev/.udev/db/block:loop6: ASCII text
[00:27:34] /dev/.udev/db/block:loop5: ASCII text
[00:27:34] /dev/.udev/db/block:loop4: ASCII text
[00:27:34] /dev/.udev/db/block:loop3: ASCII text
[00:27:34] /dev/.udev/db/block:loop2: ASCII text
[00:27:34] /dev/.udev/db/block:loop1: ASCII text
[00:27:34] /dev/.udev/db/block:loop0: ASCII text
[00:27:34] /dev/.udev/db/serio:serio0: ASCII text
[00:27:34] /dev/.udev/rules.d/99-root.rules: ASCII text
[00:27:34] /dev/shm/SharedLockManagerStorage_v2-dc15acd881: data
[00:27:35] Checking for hidden files and directories [ Warning ]
[00:27:35] Warning: Hidden directory found: /dev/.mdadm
[00:27:35] Warning: Hidden directory found: /dev/.udev
[00:27:35] Warning: Hidden file found: /usr/share/man/man5/.k5login.5.gz: gzip compressed data, from Unix, max compression
[00:27:35] Warning: Hidden file found: /usr/share/man/man5/.k5identity.5.gz: gzip compressed data, from Unix, max compression
[00:27:35] Warning: Hidden file found: /usr/share/man/man1/..1.gz: gzip compressed data, from Unix, max compression
[00:27:35] Warning: Hidden file found: /usr/bin/.ssh.hmac: ASCII text
[00:27:35] Warning: Hidden file found: /usr/bin/.fipscheck.hmac: ASCII text
[00:27:35] Warning: Hidden file found: /usr/sbin/.sshd.hmac: ASCII text


[00:26:02] /usr/bin/whatis [ Warning ]
[00:26:02] Warning: The command '/usr/bin/whatis' has been replaced by a script: /usr/bin/whatis: POSIX shell script text executable

[00:25:59] /usr/bin/ldd [ Warning ]
[00:25:59] Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne-Again shell script text executable

[00:25:58] /usr/bin/GET [ Warning ]
[00:25:58] Warning: The command '/usr/bin/GET' has been replaced by a script: /usr/bin/GET: a /usr/bin/perl -w script text executable






00:25:50] Warning: The command '/sbin/ifdown' has been replaced by a script: /sbin/ifdown: Bourne-Again shell script text executable
[00:25:50] /sbin/ifup [ Warning ]
[00:25:50] Warning: The command '/sbin/ifup' has been replaced by a script: /sbin/ifup: Bourne-Again shell script text executable


Merci

nanogoldos
19/03/2015, 00h19
Bonsoir,

Voici des éléments de réponses

Dans les logs je n'ai vu que ça de suspect

Mar 18 23:30:25 mail postfix/smtpd[9375]: connect from unknown[unknown]
Mar 18 23:30:25 mail /usr/lib64/plesk-9.0/psa-pc-remote[1453]: Unable to interpret remote host address
Mar 18 23:30:25 mail postfix/smtpd[9375]: NOQUEUE: milter-reject: CONNECT from unknown[unknown]: 451 4.7.1 Service unavailable - try again later; proto=SMTP
Mar 18 23:30:25 mail postfix/smtpd[9375]: lost connection after CONNECT from unknown[unknown]
Mar 18 23:30:25 mail postfix/smtpd[9375]: disconnect from unknown[unknown]


La commande w me donne moi connecté en SSH
uptime donne

00:07:13 up 45 days, 12:26, 1 user, load average: 0.10, 0.08, 0.01

ps aux|grep -i HTTP|wc -l
11

Merci

shirokoweb
18/03/2015, 23h54
Qu'appelez-vous "attaques" ? Vous faites référence à fail2ban, subissez-vous un nombre important de tentatives de connexion à vos services ? ssh, sql, postfix...
Des brute force, on en dénombre des dizaines par jour sur nos serveurs, en provenance des 4 coins du globe et même en provenance d'IP OVH.
Il y a de nombreuses précautions à prendre pour la sécurisation d'un serveur.
Que disent vos logs ? N'est-ce pas le site e-commerce (ou l'un des modules) qui est à l'origine des défaillances ?
Votre VPS n'est-il pas un esclave lui-même ?
iptables est-il installé / configuré
rootkit hunter installé ?
Franchement, la liste est longue...
que donnent les cmd w et uptime ?
que donne ps aux|grep -i HTTP|wc -l ?
Avez-vous contacté le support OVH ?
Bref, sans savoir ce qui est installé sur votre bécane et sans avoir de logs précis, ça revient à appeler un garagiste en lui disant ma voiture fait un bruit bizarre, mais j'ai fait le plein, qu'est ce que je peux faire?

nanogoldos
18/03/2015, 22h45
Bonsoir,

J'ai un VPS Cloud avec un Plesk 12 dessus qui héberge un site e-commerce

Depuis lundi j'ai des indisponibilités.

J'ai configuré Fail2ban et j'ai des attaques venant de Chine.
J'ai modifié le port 22 du SSH

J'ai réussi à réduire les indisponibilités et les temps d'arrêt.

Voici un traceroute pour illustrer

Que puis-je faire ?
Merci



  • traceroute to 151.80.116.208 (151.80.116.208), 30 hops max, 60 byte packets
  • 1 unknown.carohosting.net (69.59.28.1) 1.204 ms 1.752 ms 1.949 ms
  • 2 ve2001.cr01.clt.carohosting.com (76.76.1.9) 0.238 ms 0.603 ms 0.819 ms
  • 3 ae-3-3.swag1-dc1-clt.caro.net (174.34.252.45) 0.998 ms 1.350 ms 1.525 ms
  • 4 * * *
  • 5 * * *
  • 6 * * *
  • 7 rbx-g2-a9.fr.eu (91.121.131.181) 91.599 ms 91.804 ms 91.398 ms
  • 8 rbx-s10-a9.fr.eu (37.187.231.174) 90.009 ms 90.520 ms 90.742 ms
  • 9 208.ip-151-80-116.eu (151.80.116.208) 89.511 ms 90.291 ms 90.106 ms