Kr118218
03/07/2016, 06h44
Bonjour,
Hier soir j'ai un reçu un courriel de la part de customer.infra@ovh.net pour m'informer que mon serveur dédié représentait une trop grande menace pour le réseau, c'est pourquoi il a été mis en mode "rescue ftp".
Voilà le début des logs qui accompagnaient le message.
Effectivement, après vérification, il y a des milliers de requêtes non désirées dans les logs apache de ce genre là:
Au même moment, je reçois également énormément d'erreurs dans les logs système (syslog)
J'avais bien un site web nommé JEHEG, mais ça fait plusieurs années qu'il n'est plus connecté à aucune base de données. De plus, j'ai supprimé tout les fichiers de ce site web du serveur, malheureusement les erreurs continuent..
Pouvez-vous m'indiquer ce que je dois faire pour résoudre la situation?
D'autre part, j'ai un firewall actif sur le serveur, est-ce que la configuration actuelle vous semble adaptpée pour une protection optimale?
Status: active
Logging: on (low)
Default: deny (incoming), deny (outgoing), disabled (routed)
New profiles: skip
To Action From
-- ------ ----
Anywhere DENY IN 37.59.10.99
8833 ALLOW IN Anywhere
80 ALLOW IN Anywhere
8983 ALLOW IN Anywhere
8833 (v6) ALLOW IN Anywhere (v6)
80 (v6) ALLOW IN Anywhere (v6)
8983 (v6) ALLOW IN Anywhere (v6)
Je vous remercie d'avance de votre retour.
Hier soir j'ai un reçu un courriel de la part de customer.infra@ovh.net pour m'informer que mon serveur dédié représentait une trop grande menace pour le réseau, c'est pourquoi il a été mis en mode "rescue ftp".
Voilà le début des logs qui accompagnaient le message.
Code:
- DEBUT DES INFORMATIONS COMPLEMENTAIRES - Attack detail : 9Kpps/4Mbps dateTime srcIp:srcPort dstIp:dstPort protocol flags bytes reason 2016.07.02 21:35:38 CEST 37.59.10.99:48766 210.156.66.9:82 TCP SYN 60 ATTACK:TCP_SYN 2016.07.02 21:35:38 CEST 37.59.10.99:59547 42.29.92.99:12940 TCP SYN 60 ATTACK:TCP_SYN 2016.07.02 21:35:38 CEST 37.59.10.99:46110 216.151.188.232:8101 TCP SYN 60 ATTACK:TCP_SYN
Code:
5.101.217.54 - - [03/Jul/2016:01:29:05 +0200] "POST /jeheg/?q=contact HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/contact" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 93.179.89.68 - - [03/Jul/2016:01:29:05 +0200] "POST /jeheg/?q=contact HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/contact" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 46.161.9.15 - - [03/Jul/2016:01:30:26 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 46.161.9.15 - - [03/Jul/2016:01:30:36 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 46.161.9.32 - - [03/Jul/2016:01:30:40 +0200] "GET /jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=54 HTTP/1.1" 404 54948 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 46.161.9.31 - - [03/Jul/2016:01:31:06 +0200] "GET /jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=371 HTTP/1.1" 404 54948 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 46.161.9.15 - - [03/Jul/2016:01:31:21 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 146.185.201.37 - - [03/Jul/2016:01:31:43 +0200] "POST /jeheg/?q=contact HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/contact" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 68.180.228.34 - - [03/Jul/2016:01:31:47 +0200] "GET /?C=M;O=A HTTP/1.1" 200 6553 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)" 46.161.9.15 - - [03/Jul/2016:01:32:01 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 46.161.9.15 - - [03/Jul/2016:01:32:21 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 46.161.9.15 - - [03/Jul/2016:01:34:04 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 46.161.9.15 - - [03/Jul/2016:01:34:35 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
Code:
Jul 3 01:34:01 ns3268116 CRON[16950]: (root) CMD (/usr/local/rtm/bin/rtm 36 > /dev/null 2> /dev/null) Jul 3 01:34:01 ns3268116 kernel: [UFW BLOCK] IN= OUT=eth0 SRC=37.59.10.99 DST=37.187.231.251 LEN=217 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=44644 DPT=6142 LEN=197 Jul 3 01:34:01 ns3268116 kernel: [UFW BLOCK] IN= OUT=eth0 SRC=37.59.10.99 DST=37.187.231.251 LEN=221 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=49044 DPT=6149 LEN=201 Jul 3 01:34:01 ns3268116 kernel: [UFW BLOCK] IN= OUT=eth0 SRC=37.59.10.99 DST=37.187.231.251 LEN=219 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=33319 DPT=6167 LEN=199 Jul 3 01:34:27 ns3268116 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=4c:72:b9:42:f7:f9:1c:e6:c7:52:af:80:08:00 SRC=178.197.227.171 DST=37.59.10.99 LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=42471 DF PROTO=TCP SPT=27754 DPT=5222 WINDOW=65535 RES=0x00 SYN URGP=0 Jul 3 01:34:27 ns3268116 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=4c:72:b9:42:f7:f9:e8:ba:70:42:e4:80:08:00 SRC=178.197.227.171 DST=37.59.10.99 LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=57268 DF PROTO=TCP SPT=27755 DPT=5222 WINDOW=65535 RES=0x00 SYN URGP=0 Jul 3 01:34:29 ns3268116 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=4c:72:b9:42:f7:f9:1c:e6:c7:52:af:80:08:00 SRC=178.197.227.171 DST=37.59.10.99 LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=42472 DF PROTO=TCP SPT=27754 DPT=5222 WINDOW=65535 RES=0x00 SYN URGP=0 Jul 3 01:34:29 ns3268116 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=4c:72:b9:42:f7:f9:e8:ba:70:42:e4:80:08:00 SRC=178.197.227.171 DST=37.59.10.99 LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=57269 DF PROTO=TCP SPT=27755 DPT=5222 WINDOW=65535 RES=0x00 SYN URGP=0 Jul 3 01:34:39 ns3268116 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=4c:72:b9:42:f7:f9:e8:ba:70:42:e4:80:08:00 SRC=37.28.169.147 DST=37.59.10.99 LEN=52 TOS=0x00 PREC=0x00 TTL=47 ID=16176 DF PROTO=TCP SPT=48415 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0 Jul 3 01:34:45 ns3268116 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=4c:72:b9:42:f7:f9:e8:ba:70:42:e4:80:08:00 SRC=209.249.157.69 DST=37.59.10.99 LEN=60 TOS=0x00 PREC=0x00 TTL=49 ID=33129 DF PROTO=TCP SPT=45458 DPT=5099 WINDOW=14600 RES=0x00 SYN URGP=0 Jul 3 01:34:45 ns3268116 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=4c:72:b9:42:f7:f9:e8:ba:70:42:e4:80:08:00 SRC=37.28.169.147 DST=37.59.10.99 LEN=52 TOS=0x00 PREC=0x00 TTL=47 ID=16177 DF PROTO=TCP SPT=48415 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0 Jul 3 01:34:46 ns3268116 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=4c:72:b9:42:f7:f9:e8:ba:70:42:e4:80:08:00 SRC=209.249.157.69 DST=37.59.10.99 LEN=60 TOS=0x00 PREC=0x00 TTL=49 ID=33130 DF PROTO=TCP SPT=45458 DPT=5099 WINDOW=14600 RES=0x00 SYN URGP=0 Jul 3 01:35:01 ns3268116 CRON[16993]: (root) CMD (/usr/local/rtm/bin/rtm 36 > /dev/null 2> /dev/null) Jul 3 01:35:01 ns3268116 kernel: [UFW BLOCK] IN= OUT=eth0 SRC=37.59.10.99 DST=37.187.231.251 LEN=227 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=55443 DPT=6104 LEN=207 Jul 3 01:35:01 ns3268116 kernel: [UFW BLOCK] IN= OUT=eth0 SRC=37.59.10.99 DST=37.187.231.251 LEN=211 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=39312 DPT=6148 LEN=191 Jul 3 01:35:01 ns3268116 kernel: [UFW BLOCK] IN= OUT=eth0 SRC=37.59.10.99 DST=37.187.231.251 LEN=208 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=57306 DPT=6193 LEN=188 Jul 3 01:35:04 ns3268116 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=4c:72:b9:42:f7:f9:1c:e6:c7:52:af:80:08:00 SRC=77.154.202.176 DST=37.59.10.99 LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=12905 DF PROTO=TCP SPT=48784 DPT=5222 WINDOW=65535 RES=0x00 SYN URGP=0 Jul 3 01:35:22 ns3268116 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=4c:72:b9:42:f7:f9:1c:e6:c7:52:af:80:08:00 SRC=94.242.246.23 DST=37.59.10.99 LEN=52 TOS=0x00 PREC=0x00 TTL=57 ID=47526 DF PROTO=TCP SPT=39781 DPT=5099 WINDOW=14600 RES=0x00 SYN URGP=0 Jul 3 01:35:44 ns3268116 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=4c:72:b9:42:f7:f9:e8:ba:70:42:e4:80:08:00 SRC=93.115.95.205 DST=37.59.10.99 LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=56454 DF PROTO=TCP SPT=32855 DPT=5099 WINDOW=29200 RES=0x00 SYN URGP=0
Pouvez-vous m'indiquer ce que je dois faire pour résoudre la situation?
D'autre part, j'ai un firewall actif sur le serveur, est-ce que la configuration actuelle vous semble adaptpée pour une protection optimale?
Status: active
Logging: on (low)
Default: deny (incoming), deny (outgoing), disabled (routed)
New profiles: skip
To Action From
-- ------ ----
Anywhere DENY IN 37.59.10.99
8833 ALLOW IN Anywhere
80 ALLOW IN Anywhere
8983 ALLOW IN Anywhere
8833 (v6) ALLOW IN Anywhere (v6)
80 (v6) ALLOW IN Anywhere (v6)
8983 (v6) ALLOW IN Anywhere (v6)
Je vous remercie d'avance de votre retour.