Bonjour buddy,
Merci pour ta réponse.
le problème est que tu as caché la moitié des infos du message reçu par OVH par exemple.
Voici le mail complet que j'ai reçu:
Code:
Bonjour,
Votre serveur ns3268116.ovh.net représentant une trop grande menace pour notre
réseau, nous n'avons eu d'autre choix que de le placer dans le mode
'rescue FTP'. Un identifiant et un mot de passe vous ont été communiqués
par email afin que vous puissiez récupérer simplement vos données encore
présente sur son espace de stockage.
N'hésitez pas à vous rapprocher du support technique afin que cette
situation ne devienne pas critique.
Vous pourrez retrouver ci-dessous les logs remontés par notre système qui
ont conduit à cette alerte.
- DEBUT DES INFORMATIONS COMPLEMENTAIRES -
Attack detail : 9Kpps/4Mbps
dateTime srcIp:srcPort dstIp:dstPort protocol flags bytes reason
2016.07.02 21:35:38 CEST 37.59.10.99:48766 210.156.66.9:82 TCP SYN 60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST 37.59.10.99:59547 42.29.92.99:12940 TCP SYN 60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST 37.59.10.99:46110 216.151.188.232:8101 TCP SYN 60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST 37.59.10.99:33744 165.227.17.93:8101 TCP SYN 60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST 37.59.10.99:44161 55.40.105.240:8080 TCP SYN 60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST 37.59.10.99:54702 161.18.247.156:81 TCP SYN 60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST 37.59.10.99:52193 173.77.236.232:81 TCP SYN 60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST 37.59.10.99:52290 53.145.61.134:80 TCP SYN 60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST 37.59.10.99:58475 20.101.194.162:80 TCP SYN 60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST 37.59.10.99:54817 88.11.212.91:80 TCP SYN 60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST 37.59.10.99:47695 208.179.213.222:443 TCP SYN 60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST 37.59.10.99:32814 133.241.39.92:29889 TCP SYN 60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST 37.59.10.99:46385 220.84.78.168:81 TCP SYN 60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST 37.59.10.99:54235 56.36.224.26:82 TCP SYN 60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST 37.59.10.99:34915 4.45.208.123:8101 TCP SYN 60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST 37.59.10.99:50720 122.198.225.200:80 TCP SYN 60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST 37.59.10.99:33762 190.212.218.178:80 TCP SYN 60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST 37.59.10.99:42495 52.37.156.187:443 TCP SYN 60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST 37.59.10.99:42493 52.37.156.187:443 TCP SYN 60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST 37.59.10.99:42491 52.37.156.187:443 TCP SYN 60 ATTACK:TCP_SYN
- FIN DES INFORMATIONS COMPLEMENTAIRES -
et il n'y a pas de corrélation horaire entre tes logs et le mail d'OVH.
Je n'ai plus les logs exacts qui correspondaient au message de OVH. Entre temps j'ai vidé mon log apache access.log, car il pesait 60Mo avec tous ces messages d'erreur, mais c'était des erreurs similaires à celles-ci:
Code:
46.161.9.15 - - [03/Jul/2016:12:01:10 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.15 - - [03/Jul/2016:12:01:15 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.15 - - [03/Jul/2016:12:01:56 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.15 - - [03/Jul/2016:12:02:29 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.15 - - [03/Jul/2016:12:20:04 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.15 - - [03/Jul/2016:12:20:31 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.15 - - [03/Jul/2016:12:21:32 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.31 - - [03/Jul/2016:12:21:35 +0200] "GET /jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=745 HTTP/1.1" 404 54948 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.15 - - [03/Jul/2016:12:21:41 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
195.154.179.148 - - [03/Jul/2016:12:22:19 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 0 "-" "-"
46.161.9.15 - - [03/Jul/2016:12:22:27 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
62.14.248.74 - - [03/Jul/2016:12:23:15 +0200] "POST /jeheg/?q=comment/reply/48 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=comment/reply/48" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.1b4pre) Gecko/20090311 Ubuntu/9.04 (jaunty) Shiretoko/3.1b4pre"
46.161.9.15 - - [03/Jul/2016:12:24:19 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.15 - - [03/Jul/2016:12:24:37 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.148.31.39 - - [03/Jul/2016:12:31:01 +0200] "POST /jeheg/?q=contact HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/contact" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.15 - - [03/Jul/2016:12:39:32 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.15 - - [03/Jul/2016:12:40:25 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.31 - - [03/Jul/2016:12:41:25 +0200] "GET /jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=1340 HTTP/1.1" 404 54948 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.15 - - [03/Jul/2016:12:41:27 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.15 - - [03/Jul/2016:12:41:50 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.15 - - [03/Jul/2016:12:42:28 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
Pour les logs systèmes c'est ton parefeu qui a bloqué des paquet. pas de soucis.
Ok c'est déjà une bonne chose! Après le message de OVH de hier, j'ai ajouté une règle à UFW pour bloquer tout le trafic sortant, au moins je suis sûr pour le moment. Voici ma configuration UFW actuelle:
Code:
Status: active
Logging: on (low)
Default: deny (incoming), deny (outgoing), disabled (routed)
New profiles: skip
To Action From
-- ------ ----
Anywhere DENY IN 37.59.10.99
8833 ALLOW IN Anywhere
80 ALLOW IN Anywhere
8983 ALLOW IN Anywhere
8833 (v6) ALLOW IN Anywhere (v6)
80 (v6) ALLOW IN Anywhere (v6)
8983 (v6) ALLOW IN Anywhere (v6)
Pour le reste, tu as quoi comme site ? quoi comme CMS ? ils sont tous bien à jour ? Aucun d'eux n'a été piraté ?
J'ai énormément de site web en "backup" qui ne sont plus connectées à la base de données. La plupart c'est des Drupal, c'est très probable que depuis le temps il y ait des failles de sécurité. Mais vu qu'ils ne sont pas connectés à la base de données, je pense que ce n'est pas possible d'utiliser leurs failles pour nuire à mon serveur, je me trompe?
Avant, mes sites en backup étaient accessibles à cette adresse:
http://www.archives.krown.ch/
Mais pas directement (un index.html empêchait d'accéder directement à cette url, il fallait connaitre l'adresse exact, par exemple
http://www.archives.krown.ch/goodwall pour accéder au site).
Actuellement je n'ai plus que 13 sites environ connectés à la base de données (50% Drupal, 50% HTML pur ou Symfony2). Ceux qui sont en prod sont régulièrement mis à jour, et les autres je leur ai mis un accès protégé avec HTPASSWD. Voici quelques exemples;
http://www.dev.krown.ch/pacman/
http://www.dev.krown.ch/electron ou
http://www.electron.krown.ch/
http://www.dev.krown.ch/booked4me ou
http://www.booked4me.krown.ch/
Est-ce que le HTPASSWD peut empêcher des éventuelles nouvelles attaques?
Est-ce que un site qui n'est plus connecté à la base de données et n'est plus placé dans le dossier du serveur web (Apache2) peut continuer à nuire?
Que puis-je faire à ce stade? J'aimerais évidemment trouvé la pomme pourrie pour la jeter, mais je n'ai aucune idée où elle peut se trouver!
J'envisage de prendre un nouveau serveur, et migrer petit à petit chaque site pour voir lequel est pourri; mais je suis déjà complètement sous l'eau avec mes clients, c'est vraiment un énorme sacrifice à l'heure actuelle de passer une journée entière à faire ça (je ne dois pas configurer uniquement Apache, mais aussi Solr, Cron, Openfire, etc..). Ce dimanche je devais le passer à coder!.... Je pourrai m'en occuper dans une semaine ou deux environ, je cherche une solution provisoire et sûre à 100%.
Je suis en période de prospection, je dois garder certains sites accessibles afin de les présenter à mes partenaires.
Avez-vous des suggestions?
Merci