OVH Community, votre nouvel espace communautaire.

Attaques TCP_SYN


Kr118218
03/07/2016, 07h44
Bonjour,

Hier soir j'ai un reçu un courriel de la part de customer.infra@ovh.net pour m'informer que mon serveur dédié représentait une trop grande menace pour le réseau, c'est pourquoi il a été mis en mode "rescue ftp".

Voilà le début des logs qui accompagnaient le message.

Code:
- DEBUT DES INFORMATIONS COMPLEMENTAIRES -

Attack detail : 9Kpps/4Mbps
dateTime                   srcIp:srcPort           dstIp:dstPort           protocol flags       bytes reason
2016.07.02 21:35:38 CEST   37.59.10.99:48766       210.156.66.9:82         TCP      SYN            60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST   37.59.10.99:59547       42.29.92.99:12940       TCP      SYN            60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST   37.59.10.99:46110       216.151.188.232:8101    TCP      SYN            60 ATTACK:TCP_SYN
Effectivement, après vérification, il y a des milliers de requêtes non désirées dans les logs apache de ce genre là:

Code:
5.101.217.54 - - [03/Jul/2016:01:29:05 +0200] "POST /jeheg/?q=contact HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/contact" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
93.179.89.68 - - [03/Jul/2016:01:29:05 +0200] "POST /jeheg/?q=contact HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/contact" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.15 - - [03/Jul/2016:01:30:26 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.15 - - [03/Jul/2016:01:30:36 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.32 - - [03/Jul/2016:01:30:40 +0200] "GET /jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=54 HTTP/1.1" 404 54948 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.31 - - [03/Jul/2016:01:31:06 +0200] "GET /jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=371 HTTP/1.1" 404 54948 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.15 - - [03/Jul/2016:01:31:21 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
146.185.201.37 - - [03/Jul/2016:01:31:43 +0200] "POST /jeheg/?q=contact HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/contact" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
68.180.228.34 - - [03/Jul/2016:01:31:47 +0200] "GET /?C=M;O=A HTTP/1.1" 200 6553 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
46.161.9.15 - - [03/Jul/2016:01:32:01 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.15 - - [03/Jul/2016:01:32:21 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.15 - - [03/Jul/2016:01:34:04 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.15 - - [03/Jul/2016:01:34:35 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
Au même moment, je reçois également énormément d'erreurs dans les logs système (syslog)

Code:
Jul  3 01:34:01 ns3268116 CRON[16950]: (root) CMD (/usr/local/rtm/bin/rtm 36 > /dev/null 2> /dev/null)
Jul  3 01:34:01 ns3268116 kernel: [UFW BLOCK] IN= OUT=eth0 SRC=37.59.10.99 DST=37.187.231.251 LEN=217 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=44644 DPT=6142 LEN=197 
Jul  3 01:34:01 ns3268116 kernel: [UFW BLOCK] IN= OUT=eth0 SRC=37.59.10.99 DST=37.187.231.251 LEN=221 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=49044 DPT=6149 LEN=201 
Jul  3 01:34:01 ns3268116 kernel: [UFW BLOCK] IN= OUT=eth0 SRC=37.59.10.99 DST=37.187.231.251 LEN=219 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=33319 DPT=6167 LEN=199 
Jul  3 01:34:27 ns3268116 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=4c:72:b9:42:f7:f9:1c:e6:c7:52:af:80:08:00 SRC=178.197.227.171 DST=37.59.10.99 LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=42471 DF PROTO=TCP SPT=27754 DPT=5222 WINDOW=65535 RES=0x00 SYN URGP=0 
Jul  3 01:34:27 ns3268116 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=4c:72:b9:42:f7:f9:e8:ba:70:42:e4:80:08:00 SRC=178.197.227.171 DST=37.59.10.99 LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=57268 DF PROTO=TCP SPT=27755 DPT=5222 WINDOW=65535 RES=0x00 SYN URGP=0 
Jul  3 01:34:29 ns3268116 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=4c:72:b9:42:f7:f9:1c:e6:c7:52:af:80:08:00 SRC=178.197.227.171 DST=37.59.10.99 LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=42472 DF PROTO=TCP SPT=27754 DPT=5222 WINDOW=65535 RES=0x00 SYN URGP=0 
Jul  3 01:34:29 ns3268116 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=4c:72:b9:42:f7:f9:e8:ba:70:42:e4:80:08:00 SRC=178.197.227.171 DST=37.59.10.99 LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=57269 DF PROTO=TCP SPT=27755 DPT=5222 WINDOW=65535 RES=0x00 SYN URGP=0 
Jul  3 01:34:39 ns3268116 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=4c:72:b9:42:f7:f9:e8:ba:70:42:e4:80:08:00 SRC=37.28.169.147 DST=37.59.10.99 LEN=52 TOS=0x00 PREC=0x00 TTL=47 ID=16176 DF PROTO=TCP SPT=48415 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0 
Jul  3 01:34:45 ns3268116 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=4c:72:b9:42:f7:f9:e8:ba:70:42:e4:80:08:00 SRC=209.249.157.69 DST=37.59.10.99 LEN=60 TOS=0x00 PREC=0x00 TTL=49 ID=33129 DF PROTO=TCP SPT=45458 DPT=5099 WINDOW=14600 RES=0x00 SYN URGP=0 
Jul  3 01:34:45 ns3268116 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=4c:72:b9:42:f7:f9:e8:ba:70:42:e4:80:08:00 SRC=37.28.169.147 DST=37.59.10.99 LEN=52 TOS=0x00 PREC=0x00 TTL=47 ID=16177 DF PROTO=TCP SPT=48415 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0 
Jul  3 01:34:46 ns3268116 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=4c:72:b9:42:f7:f9:e8:ba:70:42:e4:80:08:00 SRC=209.249.157.69 DST=37.59.10.99 LEN=60 TOS=0x00 PREC=0x00 TTL=49 ID=33130 DF PROTO=TCP SPT=45458 DPT=5099 WINDOW=14600 RES=0x00 SYN URGP=0 
Jul  3 01:35:01 ns3268116 CRON[16993]: (root) CMD (/usr/local/rtm/bin/rtm 36 > /dev/null 2> /dev/null)
Jul  3 01:35:01 ns3268116 kernel: [UFW BLOCK] IN= OUT=eth0 SRC=37.59.10.99 DST=37.187.231.251 LEN=227 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=55443 DPT=6104 LEN=207 
Jul  3 01:35:01 ns3268116 kernel: [UFW BLOCK] IN= OUT=eth0 SRC=37.59.10.99 DST=37.187.231.251 LEN=211 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=39312 DPT=6148 LEN=191 
Jul  3 01:35:01 ns3268116 kernel: [UFW BLOCK] IN= OUT=eth0 SRC=37.59.10.99 DST=37.187.231.251 LEN=208 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=57306 DPT=6193 LEN=188 
Jul  3 01:35:04 ns3268116 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=4c:72:b9:42:f7:f9:1c:e6:c7:52:af:80:08:00 SRC=77.154.202.176 DST=37.59.10.99 LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=12905 DF PROTO=TCP SPT=48784 DPT=5222 WINDOW=65535 RES=0x00 SYN URGP=0 
Jul  3 01:35:22 ns3268116 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=4c:72:b9:42:f7:f9:1c:e6:c7:52:af:80:08:00 SRC=94.242.246.23 DST=37.59.10.99 LEN=52 TOS=0x00 PREC=0x00 TTL=57 ID=47526 DF PROTO=TCP SPT=39781 DPT=5099 WINDOW=14600 RES=0x00 SYN URGP=0 
Jul  3 01:35:44 ns3268116 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=4c:72:b9:42:f7:f9:e8:ba:70:42:e4:80:08:00 SRC=93.115.95.205 DST=37.59.10.99 LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=56454 DF PROTO=TCP SPT=32855 DPT=5099 WINDOW=29200 RES=0x00 SYN URGP=0
J'avais bien un site web nommé JEHEG, mais ça fait plusieurs années qu'il n'est plus connecté à aucune base de données. De plus, j'ai supprimé tout les fichiers de ce site web du serveur, malheureusement les erreurs continuent..

Pouvez-vous m'indiquer ce que je dois faire pour résoudre la situation?

D'autre part, j'ai un firewall actif sur le serveur, est-ce que la configuration actuelle vous semble adaptpée pour une protection optimale?

Status: active
Logging: on (low)
Default: deny (incoming), deny (outgoing), disabled (routed)
New profiles: skip

To Action From
-- ------ ----
Anywhere DENY IN 37.59.10.99
8833 ALLOW IN Anywhere
80 ALLOW IN Anywhere
8983 ALLOW IN Anywhere
8833 (v6) ALLOW IN Anywhere (v6)
80 (v6) ALLOW IN Anywhere (v6)
8983 (v6) ALLOW IN Anywhere (v6)

Je vous remercie d'avance de votre retour.