OVH Community, votre nouvel espace communautaire.

Attaque serveur


bbr18
15/12/2015, 13h45
OVH s’engage à remplacer la pièce défectueuse dans les meilleurs délais possibles
tout est là ^^
sur le forum ks, il n'y a que des clients, le support ne vient que très rarement depuis qu'il y a un système de ticket, ton compte est nouveau là-bas donc tes posts sont modérés, je ne sais pas au bout de quel nombre on peut poster directement.
le support kimsufi est ici http://www.kimsufi.com/fr/support/nous_contacter.cgi

kmchen
15/12/2015, 13h38
J'ai eu beau me logguer et chercher sur le forum indiqué. Pas d'ouverture de nouveau post en vue. Il y a pourtant un post d'aujourd'hui "
Kimsufi en rade et espace client non fonctionnel ? " mais on ne peut même pas y répondre. Joli !
Donc si je comprends bien le prix kimsufi comprend un serveur qui est ce qu'il est, pas de support. OK. Mais pas de réparation quand ça tombe en panne et aucune information sur la suite des évènements quand ça arrive. Ce n'est pas ce que j'avais compris dans les conditions générales. Extrait article 4 des obligations d'OVH dans les conditions particulières serveur KIMSUFI:

"...OVH s'engage à apporter tout le soin et la diligence
nécessaires à la fourniture d'un service de qualité
conformément aux usages de la profession et à l'état de
l'art. OVH s'engage à :
4.1. Maintenir en état de fonctionnement le matériel. En cas
de défaillance du matériel loué au Client identifié après la
création du ticket incident, OVH s’engage à remplacer la
pièce défectueuse dans les meilleurs délais possibles sauf
..."

KIMSUFI j'ai toujours trouvé ça ringard comme appellation. Ils devraient s'appeler KISFOUDTAG. Ca ferait un peu plus professionnel de l'état de l'art.

bbr18
15/12/2015, 11h33
sur kimsufi pas de SLA, pas de support en dehors des heures de bureau et pas de support le week-end, kimsufi ce n'est pas pour de la prod, les interventions peuvent demander plusieurs jours, la seule chose que tu puisses faire : attendre ou alors prendre un serveur dans une autre gamme que kimsufi

janus57
15/12/2015, 11h31
Citation Envoyé par kmchen
19h que j'attends !!! Même pas un message réponse sur le ticket ! En quinze ans chez OVH je n'avais encore jamais vu ça !

Merci Raptor. Qu'entends tu par serveur off ? De toutes façon le serveur ne ping même plus. Au tél. les techniciens m'expliquent gentiment que KIMSUFI n'est pas OVH et qu'ils vont faire "remonter". Mais ils ont déjà fait "remonter" hier soir !

Quels sont les recours fasse à ce genre de situation ?
Bonjour,

si c'est un KS faut pas cherchez très loin, à partir du moment ou il y a 0 SLA il peuvent le changer 20minutes après le ticket comme 7jours après le ticket.

Cordialement, janus57

Nowwhat
15/12/2015, 10h50
Citation Envoyé par kmchen
... tél. les techniciens m'expliquent gentiment que KIMSUFI n'est pas OVH ....
Ton serveur n'est pas un serveur OVH mais un Kimsufi ?

Forum de KS : https://forum.kimsufi.com/forumdispl...%29-Fran%E7ais
Je t'invite (car t'auras le temps ) de lire un ce forum.
Les délais d'intervention n'est PAS DU TOUT la même pour un serveur OVH .... (du coup t'as compris le prix).

Citation Envoyé par kmchen
19h que j'attends !!! ....
Quels sont les recours fasse à ce genre de situation ?
Pas grand chose (à mon avis - va voir les conditions de vente de KS).

kmchen
15/12/2015, 10h16
19h que j'attends !!! Même pas un message réponse sur le ticket ! En quinze ans chez OVH je n'avais encore jamais vu ça !

Merci Raptor. Qu'entends tu par serveur off ? De toutes façon le serveur ne ping même plus. Au tél. les techniciens m'expliquent gentiment que KIMSUFI n'est pas OVH et qu'ils vont faire "remonter". Mais ils ont déjà fait "remonter" hier soir !

Quels sont les recours fasse à ce genre de situation ?

Raptor00
15/12/2015, 01h53
Tape ton serv off, un technicien va intervenir pour le reboot tu lui tape les logs rescue, puis tu le tape encore off, la il va te les changé sa ma déjà arrivé sur deux serveurs

kmchen
14/12/2015, 21h25
Ca fait maintenant 8h que j'attends la révision du matériel. Au bout de combien de temps OVH s'engage-t-il à intervenir après qu'on ait signalé un dysfonctionnement ?

kmchen
14/12/2015, 17h20
Merci pour vos réponses. 5 adresses manquaient effectivement aux ouvertures ICMP:
213.186.33.62
151.80.231.244
151.80.231.245
151.80.231.246
proxy.bhs.ovh.net
proxy.sbg.ovh.net

Les sources que j'ai utilisées au moment de la création du parefeu étaient obsolètes, sans doute. Mais je ne pense pas non plus que le serveur ait été saturé à cause du parefeu vu qu'on n'avait plus SSH dès le reboot.

D'autre part le serveur a échoué aux tests CPU en mode rescue. J'attends donc le remplacement matériel.

Merci pour vos réponses

captainadmin
14/12/2015, 16h50
Hello,

Ca ressemble a une attaque en effet.
Je pense pas que ta table iptables soit si énorme puisque tu as reboot le serveur, les régles sont généralement éphémères.

Une fois le reboot du serveur il faut se connecter dessus avec la console ipmi si le ssh est déjà mort.
Et il faut que tu coupes les services consommateurs (apache/nginx, mysql etc...)
Ensuite tu peux prendre le temps d'analyser le problème du serveur via les logs applicatifs ou voir que système s'est emballé.
Tu peux aussi checker que iptables, fail2ban portsentry fonctionnent correctement.
En fonction des logs tu pourrais adapter de nouvelles règles de ban

Bon courage
http://www.captainadmin.com

Nowwhat
14/12/2015, 13h14
IP's d'OVH : https://docs.ovh.com/pages/releasevi...pageId=9928706

janus57
14/12/2015, 12h25
Bonjour,

quelque chose me dit que vous avez configuré vos service un peu trop violemment et que vous avez une liste IP bannis énorme, tellement énorme que cela ralenti votre serveur.

IPTables c'est bien, mais un iptables avec plusieurs k ips de drop c'est pas top.

Cordialement, janus57

bbr18
14/12/2015, 11h59
213.186.33.62 = monitoring ovh
66.249.64.224 = robot d'indexation google
ces 2 là ne sont pas à bloquer !

kmchen
14/12/2015, 10h49
Bonjour

J'étais à l'instant en train de travailler sur un serveur qui me paraissait particulièrement lent. Je découvre entre 1 et 5 alertes par seconde de portsentry dans les logs:

Dec 14 11:03:44 ns1 portsentry[3399]: attackalert: Host: 66.249.64.229/66.249.64.229 is already blocked Ignoring
66.249.64.224=google
81.169.237.146=berlin
213.186.33.62=ovh
78.46.39.135=nuremberg
176.31.109.250=ovh

Apparemment il y a manifestement usurpation d'IP.
Le serveur ne ping plus à 11:05:37. Je lance un reboot hard.
Le serveur ping mais je ne peux me connecter en SSH, puis le serveur se bloque de nouveau

J'ai installé pas mal de choses sur ce serveur, spamassassin, clamav, rkhunter, fail2ban et récemment porstentry. Y-a-til d'autres moyens de protéger ses serveurs contre ce type d'attaque ?

Merci pour vos réponses