Salut à tous,
Cette nuit OVH a placé un de mes serveurs dédiés en mode "rescue".
Selon le mail envoyé par OVH (vous trouverez l'extrait joint des logs du mail ci-dessous, où j'ai remplacé mon ip par XXX.YYY.ZZZ), il s'agit d'un SCAN:SYS.
Je n'ai pas tout compris d'où pouvait venir le problème, ni même ce qu'est un SCAN:SYS sinon je ne posterai pas ici
J'ai demandé à OVH s'ils pouvaient m'éclairer, ils m'ont répondu que c'était pas leur travail et qu'il fallait que je me débrouille... bon je le comprends, mais c'est un peu rude du coup
Avant de le remettre en service, j'aimerais savoir si certains ont déjà été confrontés au problème, et où regarder dans les logs car là je cherche un peu une aiguille dans une botte de foin.
A priori, cela ne vient pas d'une faille des quelques sites installés sur le serveur. Aucun CMS connu, juste des front-office fait maison, sûrement imparfaits mais sans faille connue par un tiers.
Du coup, je penche plutôt vers une faille de ma distri (Ubuntu 14.10) et probablement des accès pas assez sécurisés sur mon serveur. Par ex fail2ban n'est pas installé, iptables est vierge... je n'avais jamais été confronté à ce type de hack jusqu'à présent.
Merci à ceux qui pourront me filer un coup de main
Code:
Attack detail : 26K scans
dateTime srcIp:srcPort dstIp:dstPort protocol flags bytes reason
2015.11.25 05:18:27 CET XXX.YYY.ZZZ:29220 207.58.168.112:22 TCP SYN 60 SCAN:SYN
2015.11.25 05:18:27 CET XXX.YYY.ZZZ:58250 207.58.187.152:22 TCP SYN 60 SCAN:SYN
2015.11.25 05:18:27 CET XXX.YYY.ZZZ:30708 207.58.141.139:22 TCP SYN 60 SCAN:SYN
2015.11.25 05:18:27 CET XXX.YYY.ZZZ:3485 207.58.155.58:22 TCP SYN 60 SCAN:SYN
2015.11.25 05:18:27 CET XXX.YYY.ZZZ:21438 207.58.168.113:22 TCP SYN 60 SCAN:SYN
2015.11.25 05:18:27 CET XXX.YYY.ZZZ:21209 207.58.190.24:22 TCP SYN 60 SCAN:SYN
2015.11.25 05:18:27 CET XXX.YYY.ZZZ:11059 207.58.185.147:22 TCP SYN 60 SCAN:SYN
2015.11.25 05:18:27 CET XXX.YYY.ZZZ:42558 207.58.176.242:22 TCP SYN 60 SCAN:SYN
2015.11.25 05:18:27 CET XXX.YYY.ZZZ:50243 207.58.189.103:22 TCP SYN 60 SCAN:SYN
2015.11.25 05:18:27 CET XXX.YYY.ZZZ:10917 207.58.182.158:22 TCP SYN 60 SCAN:SYN
2015.11.25 05:18:27 CET XXX.YYY.ZZZ:49435 207.58.160.81:22 TCP SYN 60 SCAN:SYN
2015.11.25 05:18:27 CET XXX.YYY.ZZZ:32346 207.58.176.203:22 TCP SYN 60 SCAN:SYN
2015.11.25 05:18:27 CET XXX.YYY.ZZZ:26570 207.58.184.151:22 TCP SYN 60 SCAN:SYN
2015.11.25 05:18:27 CET XXX.YYY.ZZZ:45260 207.58.189.189:22 TCP SYN 60 SCAN:SYN
2015.11.25 05:18:27 CET XXX.YYY.ZZZ:33711 207.58.188.136:22 TCP SYN 60 SCAN:SYN
2015.11.25 05:18:27 CET XXX.YYY.ZZZ:4524 207.58.176.103:22 TCP SYN 60 SCAN:SYN
2015.11.25 05:18:27 CET XXX.YYY.ZZZ:7376 207.58.162.61:22 TCP SYN 60 SCAN:SYN
2015.11.25 05:18:27 CET XXX.YYY.ZZZ:46076 207.58.131.183:22 TCP SYN 60 SCAN:SYN
2015.11.25 05:18:27 CET XXX.YYY.ZZZ:55742 207.58.152.99:22 TCP SYN 60 SCAN:SYN
2015.11.25 05:18:27 CET XXX.YYY.ZZZ:48316 207.58.188.95:22 TCP SYN 60 SCAN:SYN