OVH Community, votre nouvel espace communautaire.

Help les amis, serveur hacké SCAN:SYN


Rizz
04/12/2015, 22h32
Ca m'est arrivé une fois aussi et j'avais juste pour le test mis un mot de passe alacon sur mon root user sur un kimsufi en fin de location.
Ca a pas pris 20min pour me faire craquer le mot de passe et recevoir ce mail.
tu n'as pas fail2ban ... et sans doute pas un mot de passe de compete ... je crois que c'est pas la peine d'aller chercher plus loin pour ce qui est du plus gros pb.
TBC_Ly0n
04/12/2015, 10h59
Il faut retrouver le script qui a lancé les scan. Et voir comment il est arrivé par là.
Aucun déblocage ne doit être fait tant que la source du problème n'a pas été éradiqué.
Sinon, OVH va être de moins en moins enclin a débloquer ton serveur.
captainadmin
25/11/2015, 15h58
Hello

En effet quelqu'un scan le réseau depuis ton serveur sur le port 22.
Si tu est convaincu de ton cms et peut le remettre au propre facilement, il est fortement conseiller de réinstaller le serveur en y mettant quelques sécurités
Fail2ban, iptables, rkhunter, ossec etc ...

Tu peux aussi éviter les acces ssh trop facile et utiliser des clés pour que les mots de passe ne soient plus un problème.

bon courage
http://www.captainadmin.com
Nissart
25/11/2015, 15h19
Salut à tous,

Cette nuit OVH a placé un de mes serveurs dédiés en mode "rescue".
Selon le mail envoyé par OVH (vous trouverez l'extrait joint des logs du mail ci-dessous, où j'ai remplacé mon ip par XXX.YYY.ZZZ), il s'agit d'un SCAN:SYS.
Je n'ai pas tout compris d'où pouvait venir le problème, ni même ce qu'est un SCAN:SYS sinon je ne posterai pas ici
J'ai demandé à OVH s'ils pouvaient m'éclairer, ils m'ont répondu que c'était pas leur travail et qu'il fallait que je me débrouille... bon je le comprends, mais c'est un peu rude du coup

Avant de le remettre en service, j'aimerais savoir si certains ont déjà été confrontés au problème, et où regarder dans les logs car là je cherche un peu une aiguille dans une botte de foin.

A priori, cela ne vient pas d'une faille des quelques sites installés sur le serveur. Aucun CMS connu, juste des front-office fait maison, sûrement imparfaits mais sans faille connue par un tiers.
Du coup, je penche plutôt vers une faille de ma distri (Ubuntu 14.10) et probablement des accès pas assez sécurisés sur mon serveur. Par ex fail2ban n'est pas installé, iptables est vierge... je n'avais jamais été confronté à ce type de hack jusqu'à présent.

Merci à ceux qui pourront me filer un coup de main

Code:
Attack detail : 26K scans
dateTime                   srcIp:srcPort           dstIp:dstPort           protocol flags       bytes reason
2015.11.25 05:18:27 CET    XXX.YYY.ZZZ:29220       207.58.168.112:22       TCP      SYN            60 SCAN:SYN
2015.11.25 05:18:27 CET    XXX.YYY.ZZZ:58250       207.58.187.152:22       TCP      SYN            60 SCAN:SYN
2015.11.25 05:18:27 CET    XXX.YYY.ZZZ:30708       207.58.141.139:22       TCP      SYN            60 SCAN:SYN
2015.11.25 05:18:27 CET    XXX.YYY.ZZZ:3485        207.58.155.58:22        TCP      SYN            60 SCAN:SYN
2015.11.25 05:18:27 CET    XXX.YYY.ZZZ:21438       207.58.168.113:22       TCP      SYN            60 SCAN:SYN
2015.11.25 05:18:27 CET    XXX.YYY.ZZZ:21209       207.58.190.24:22        TCP      SYN            60 SCAN:SYN
2015.11.25 05:18:27 CET    XXX.YYY.ZZZ:11059       207.58.185.147:22       TCP      SYN            60 SCAN:SYN
2015.11.25 05:18:27 CET    XXX.YYY.ZZZ:42558       207.58.176.242:22       TCP      SYN            60 SCAN:SYN
2015.11.25 05:18:27 CET    XXX.YYY.ZZZ:50243       207.58.189.103:22       TCP      SYN            60 SCAN:SYN
2015.11.25 05:18:27 CET    XXX.YYY.ZZZ:10917       207.58.182.158:22       TCP      SYN            60 SCAN:SYN
2015.11.25 05:18:27 CET    XXX.YYY.ZZZ:49435       207.58.160.81:22        TCP      SYN            60 SCAN:SYN
2015.11.25 05:18:27 CET    XXX.YYY.ZZZ:32346       207.58.176.203:22       TCP      SYN            60 SCAN:SYN
2015.11.25 05:18:27 CET    XXX.YYY.ZZZ:26570       207.58.184.151:22       TCP      SYN            60 SCAN:SYN
2015.11.25 05:18:27 CET    XXX.YYY.ZZZ:45260       207.58.189.189:22       TCP      SYN            60 SCAN:SYN
2015.11.25 05:18:27 CET    XXX.YYY.ZZZ:33711       207.58.188.136:22       TCP      SYN            60 SCAN:SYN
2015.11.25 05:18:27 CET    XXX.YYY.ZZZ:4524        207.58.176.103:22       TCP      SYN            60 SCAN:SYN
2015.11.25 05:18:27 CET    XXX.YYY.ZZZ:7376        207.58.162.61:22        TCP      SYN            60 SCAN:SYN
2015.11.25 05:18:27 CET    XXX.YYY.ZZZ:46076       207.58.131.183:22       TCP      SYN            60 SCAN:SYN
2015.11.25 05:18:27 CET    XXX.YYY.ZZZ:55742       207.58.152.99:22        TCP      SYN            60 SCAN:SYN
2015.11.25 05:18:27 CET    XXX.YYY.ZZZ:48316       207.58.188.95:22        TCP      SYN            60 SCAN:SYN