OVH Community, votre nouvel espace communautaire.

Problèmes avec mon serveur dédié (mail ANTI-HACK de la part de customer.infra@ovh)


buddy
03/07/2016, 15h29
A signaler aussi, pourquoi ton serveur renvoie un site Web quand on l'appelle via http://ns3268116.ovh.net ou son ip..

Ça serait mieux qu'il renvoie une page blanche ou standard.

Kr118218
03/07/2016, 13h47
Ok merci, go pour la 16.04!

buddy
03/07/2016, 13h42
Ubuntu 16.04 sinon
debian 8 (c'est la distribution sur laquelle Ubuntu est basée)

Ubuntu 15.10 est bientôt end of life ... (quelques jours)
Ubuntu 12.04 est vielle de 4 ans et ne sera plus mise à jour en Avril 2017 (donc mauvais choix).
source : https://wiki.ubuntu.com/Releases

évidemment en 64 Bits.

Kr118218
03/07/2016, 13h33
Je vais suivre le conseil de sich, c'est-à-dire prendre un nouveau serveur et tout reconfigurer!

Quelle distribution me conseillez-vous parmi celles-ci?

Ubuntu Server 12.04 "Precise Pangolin" LTS - ubuntu1204-server 32 bits
Ubuntu Server 12.04 "Precise Pangolin" LTS - ubuntu1204-server 64 bits
Ubuntu Server 14.04 "Trusty Tahr" LTS - ubuntu1404-server 64 bits
Ubuntu Server 15.10 "Wily Werewolf" (NEW) - ubuntu1510-server 64 bits
Ubuntu Server 16.04 "Xenial Xerus" LTS (NEW) - ubuntu1604-server

buddy
03/07/2016, 12h28
tu compares avec les anciens / sauvegardes.

Tu regardes la date de modifs des fichiers.

sich
03/07/2016, 12h28
bdd dispo ou pas les failles doivent pouvoir être exploitables.....
Si ce n'est que du backup pourquoi les rendre dispo au public ?

Dans tous les cas un serveur qui a été utilisé pour faire du hack doit être considéré comme compromis et doit être réinstallé intégralement....

Le mieux fait tes backups, repars sur une config neuve... Ensuite ne remets en ligne que les sites actifs et bien à jour. Si tu souhaites conserver de "vieux" sites en sauvegardes tu peux tjrs le faire, mais ne les mets pas en ligne ! (pas dispo via apache).

Kr118218
03/07/2016, 12h27
Ubuntu 14.04.4 LTS, oui je mets à jour régulièrement.

Comment vérifier si des fichiers ont été modifiés récemment?

buddy
03/07/2016, 12h13
Tu as quel distributions / OS ? Elle est à jour ?
Tu as des backups je suppose, déjà compare ou vérifie si des fichiers ont été modifiés récemment

Kr118218
03/07/2016, 12h04
Bonjour buddy,

Merci pour ta réponse.

le problème est que tu as caché la moitié des infos du message reçu par OVH par exemple.
Voici le mail complet que j'ai reçu:

Code:
Bonjour,

Votre serveur ns3268116.ovh.net représentant une trop grande menace pour notre
réseau, nous n'avons eu d'autre choix que de le placer dans le mode
'rescue FTP'. Un identifiant et un mot de passe vous ont été communiqués
par email afin que vous puissiez récupérer simplement vos données encore
présente sur son espace de stockage.

N'hésitez pas à vous rapprocher du support technique afin que cette
situation ne devienne pas critique.

Vous pourrez retrouver ci-dessous les logs remontés par notre système qui
ont conduit à cette alerte.

- DEBUT DES INFORMATIONS COMPLEMENTAIRES -

Attack detail : 9Kpps/4Mbps
dateTime                   srcIp:srcPort           dstIp:dstPort           protocol flags       bytes reason
2016.07.02 21:35:38 CEST   37.59.10.99:48766       210.156.66.9:82         TCP      SYN            60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST   37.59.10.99:59547       42.29.92.99:12940       TCP      SYN            60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST   37.59.10.99:46110       216.151.188.232:8101    TCP      SYN            60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST   37.59.10.99:33744       165.227.17.93:8101      TCP      SYN            60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST   37.59.10.99:44161       55.40.105.240:8080      TCP      SYN            60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST   37.59.10.99:54702       161.18.247.156:81       TCP      SYN            60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST   37.59.10.99:52193       173.77.236.232:81       TCP      SYN            60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST   37.59.10.99:52290       53.145.61.134:80        TCP      SYN            60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST   37.59.10.99:58475       20.101.194.162:80       TCP      SYN            60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST   37.59.10.99:54817       88.11.212.91:80         TCP      SYN            60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST   37.59.10.99:47695       208.179.213.222:443     TCP      SYN            60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST   37.59.10.99:32814       133.241.39.92:29889     TCP      SYN            60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST   37.59.10.99:46385       220.84.78.168:81        TCP      SYN            60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST   37.59.10.99:54235       56.36.224.26:82         TCP      SYN            60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST   37.59.10.99:34915       4.45.208.123:8101       TCP      SYN            60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST   37.59.10.99:50720       122.198.225.200:80      TCP      SYN            60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST   37.59.10.99:33762       190.212.218.178:80      TCP      SYN            60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST   37.59.10.99:42495       52.37.156.187:443       TCP      SYN            60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST   37.59.10.99:42493       52.37.156.187:443       TCP      SYN            60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST   37.59.10.99:42491       52.37.156.187:443       TCP      SYN            60 ATTACK:TCP_SYN



-  FIN DES INFORMATIONS COMPLEMENTAIRES  -
et il n'y a pas de corrélation horaire entre tes logs et le mail d'OVH.
Je n'ai plus les logs exacts qui correspondaient au message de OVH. Entre temps j'ai vidé mon log apache access.log, car il pesait 60Mo avec tous ces messages d'erreur, mais c'était des erreurs similaires à celles-ci:

Code:
46.161.9.15 - - [03/Jul/2016:12:01:10 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.15 - - [03/Jul/2016:12:01:15 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.15 - - [03/Jul/2016:12:01:56 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.15 - - [03/Jul/2016:12:02:29 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.15 - - [03/Jul/2016:12:20:04 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.15 - - [03/Jul/2016:12:20:31 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.15 - - [03/Jul/2016:12:21:32 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.31 - - [03/Jul/2016:12:21:35 +0200] "GET /jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=745 HTTP/1.1" 404 54948 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.15 - - [03/Jul/2016:12:21:41 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
195.154.179.148 - - [03/Jul/2016:12:22:19 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 0 "-" "-"
46.161.9.15 - - [03/Jul/2016:12:22:27 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
62.14.248.74 - - [03/Jul/2016:12:23:15 +0200] "POST /jeheg/?q=comment/reply/48 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=comment/reply/48" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.1b4pre) Gecko/20090311 Ubuntu/9.04 (jaunty) Shiretoko/3.1b4pre"
46.161.9.15 - - [03/Jul/2016:12:24:19 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.15 - - [03/Jul/2016:12:24:37 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.148.31.39 - - [03/Jul/2016:12:31:01 +0200] "POST /jeheg/?q=contact HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/contact" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.15 - - [03/Jul/2016:12:39:32 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.15 - - [03/Jul/2016:12:40:25 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.31 - - [03/Jul/2016:12:41:25 +0200] "GET /jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=1340 HTTP/1.1" 404 54948 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.15 - - [03/Jul/2016:12:41:27 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.15 - - [03/Jul/2016:12:41:50 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.15 - - [03/Jul/2016:12:42:28 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
Pour les logs systèmes c'est ton parefeu qui a bloqué des paquet. pas de soucis.
Ok c'est déjà une bonne chose! Après le message de OVH de hier, j'ai ajouté une règle à UFW pour bloquer tout le trafic sortant, au moins je suis sûr pour le moment. Voici ma configuration UFW actuelle:

Code:
Status: active
Logging: on (low)
Default: deny (incoming), deny (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
Anywhere                   DENY IN     37.59.10.99
8833                       ALLOW IN    Anywhere
80                         ALLOW IN    Anywhere
8983                       ALLOW IN    Anywhere
8833 (v6)                  ALLOW IN    Anywhere (v6)
80 (v6)                    ALLOW IN    Anywhere (v6)
8983 (v6)                  ALLOW IN    Anywhere (v6)
Pour le reste, tu as quoi comme site ? quoi comme CMS ? ils sont tous bien à jour ? Aucun d'eux n'a été piraté ?
J'ai énormément de site web en "backup" qui ne sont plus connectées à la base de données. La plupart c'est des Drupal, c'est très probable que depuis le temps il y ait des failles de sécurité. Mais vu qu'ils ne sont pas connectés à la base de données, je pense que ce n'est pas possible d'utiliser leurs failles pour nuire à mon serveur, je me trompe?

Avant, mes sites en backup étaient accessibles à cette adresse:

http://www.archives.krown.ch/

Mais pas directement (un index.html empêchait d'accéder directement à cette url, il fallait connaitre l'adresse exact, par exemple http://www.archives.krown.ch/goodwall pour accéder au site).

Actuellement je n'ai plus que 13 sites environ connectés à la base de données (50% Drupal, 50% HTML pur ou Symfony2). Ceux qui sont en prod sont régulièrement mis à jour, et les autres je leur ai mis un accès protégé avec HTPASSWD. Voici quelques exemples;

http://www.dev.krown.ch/pacman/
http://www.dev.krown.ch/electron ou http://www.electron.krown.ch/
http://www.dev.krown.ch/booked4me ou http://www.booked4me.krown.ch/

Est-ce que le HTPASSWD peut empêcher des éventuelles nouvelles attaques?

Est-ce que un site qui n'est plus connecté à la base de données et n'est plus placé dans le dossier du serveur web (Apache2) peut continuer à nuire?

Que puis-je faire à ce stade? J'aimerais évidemment trouvé la pomme pourrie pour la jeter, mais je n'ai aucune idée où elle peut se trouver!

J'envisage de prendre un nouveau serveur, et migrer petit à petit chaque site pour voir lequel est pourri; mais je suis déjà complètement sous l'eau avec mes clients, c'est vraiment un énorme sacrifice à l'heure actuelle de passer une journée entière à faire ça (je ne dois pas configurer uniquement Apache, mais aussi Solr, Cron, Openfire, etc..). Ce dimanche je devais le passer à coder!.... Je pourrai m'en occuper dans une semaine ou deux environ, je cherche une solution provisoire et sûre à 100%.

Je suis en période de prospection, je dois garder certains sites accessibles afin de les présenter à mes partenaires.

Avez-vous des suggestions?

Merci

buddy
03/07/2016, 11h30
Bonjour,

le problème est que tu as caché la moitié des infos du message reçu par OVH par exemple.
et il n'y a pas de corrélation horaire entre tes logs et le mail d'OVH.

Pour les logs systèmes c'est ton parefeu qui a bloqué des paquet. pas de soucis.

Pour le reste, tu as quoi comme site ? quoi comme CMS ? ils sont tous bien à jour ? Aucun d'eux n'a été piraté ?

Kr118218
03/07/2016, 11h03
(J'ai déjà publié ce message ce matin, mais comme il n'a pas été publié, je le remets ici)

Bonjour,

Hier soir j'ai un reçu un courriel de la part de customer.infra@ovh.net pour m'informer que mon serveur dédié représentait une trop grande menace pour le réseau, c'est pourquoi il a été mis en mode "rescue ftp".

Voilà le début des logs qui accompagnaient le message.

Code:
- DEBUT DES INFORMATIONS COMPLEMENTAIRES -

Attack detail : 9Kpps/4Mbps
dateTime                   srcIp:srcPort           dstIp:dstPort           protocol flags       bytes reason
2016.07.02 21:35:38 CEST   37.59.10.99:48766       210.156.66.9:82         TCP      SYN            60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST   37.59.10.99:59547       42.29.92.99:12940       TCP      SYN            60 ATTACK:TCP_SYN
2016.07.02 21:35:38 CEST   37.59.10.99:46110       216.151.188.232:8101    TCP      SYN            60 ATTACK:TCP_SYN
Effectivement, après vérification, il y a des milliers de requêtes non désirées dans les logs apache de ce genre là:

Code:
5.101.217.54 - - [03/Jul/2016:01:29:05 +0200] "POST /jeheg/?q=contact HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/contact" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
93.179.89.68 - - [03/Jul/2016:01:29:05 +0200] "POST /jeheg/?q=contact HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/contact" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.15 - - [03/Jul/2016:01:30:26 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.15 - - [03/Jul/2016:01:30:36 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.32 - - [03/Jul/2016:01:30:40 +0200] "GET /jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=54 HTTP/1.1" 404 54948 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.31 - - [03/Jul/2016:01:31:06 +0200] "GET /jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=371 HTTP/1.1" 404 54948 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.15 - - [03/Jul/2016:01:31:21 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
146.185.201.37 - - [03/Jul/2016:01:31:43 +0200] "POST /jeheg/?q=contact HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/contact" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
68.180.228.34 - - [03/Jul/2016:01:31:47 +0200] "GET /?C=M;O=A HTTP/1.1" 200 6553 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
46.161.9.15 - - [03/Jul/2016:01:32:01 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.15 - - [03/Jul/2016:01:32:21 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.15 - - [03/Jul/2016:01:34:04 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.161.9.15 - - [03/Jul/2016:01:34:35 +0200] "POST /jeheg/?q=comment/reply/84 HTTP/1.1" 404 54948 "http://www.archives.krown.ch/jeheg/?q=career-week-heg-du-21-au-25-novembre-2011&page=6087" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
Au même moment, je reçois également énormément d'erreurs dans les logs système (syslog)

Code:
Jul  3 01:34:01 ns3268116 CRON[16950]: (root) CMD (/usr/local/rtm/bin/rtm 36 > /dev/null 2> /dev/null)
Jul  3 01:34:01 ns3268116 kernel: [UFW BLOCK] IN= OUT=eth0 SRC=37.59.10.99 DST=37.187.231.251 LEN=217 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=44644 DPT=6142 LEN=197 
Jul  3 01:34:01 ns3268116 kernel: [UFW BLOCK] IN= OUT=eth0 SRC=37.59.10.99 DST=37.187.231.251 LEN=221 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=49044 DPT=6149 LEN=201 
Jul  3 01:34:01 ns3268116 kernel: [UFW BLOCK] IN= OUT=eth0 SRC=37.59.10.99 DST=37.187.231.251 LEN=219 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=33319 DPT=6167 LEN=199 
Jul  3 01:34:27 ns3268116 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=4c:72:b9:42:f7:f9:1c:e6:c7:52:af:80:08:00 SRC=178.197.227.171 DST=37.59.10.99 LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=42471 DF PROTO=TCP SPT=27754 DPT=5222 WINDOW=65535 RES=0x00 SYN URGP=0 
Jul  3 01:34:27 ns3268116 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=4c:72:b9:42:f7:f9:e8:ba:70:42:e4:80:08:00 SRC=178.197.227.171 DST=37.59.10.99 LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=57268 DF PROTO=TCP SPT=27755 DPT=5222 WINDOW=65535 RES=0x00 SYN URGP=0 
Jul  3 01:34:29 ns3268116 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=4c:72:b9:42:f7:f9:1c:e6:c7:52:af:80:08:00 SRC=178.197.227.171 DST=37.59.10.99 LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=42472 DF PROTO=TCP SPT=27754 DPT=5222 WINDOW=65535 RES=0x00 SYN URGP=0 
Jul  3 01:34:29 ns3268116 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=4c:72:b9:42:f7:f9:e8:ba:70:42:e4:80:08:00 SRC=178.197.227.171 DST=37.59.10.99 LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=57269 DF PROTO=TCP SPT=27755 DPT=5222 WINDOW=65535 RES=0x00 SYN URGP=0 
Jul  3 01:34:39 ns3268116 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=4c:72:b9:42:f7:f9:e8:ba:70:42:e4:80:08:00 SRC=37.28.169.147 DST=37.59.10.99 LEN=52 TOS=0x00 PREC=0x00 TTL=47 ID=16176 DF PROTO=TCP SPT=48415 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0 
Jul  3 01:34:45 ns3268116 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=4c:72:b9:42:f7:f9:e8:ba:70:42:e4:80:08:00 SRC=209.249.157.69 DST=37.59.10.99 LEN=60 TOS=0x00 PREC=0x00 TTL=49 ID=33129 DF PROTO=TCP SPT=45458 DPT=5099 WINDOW=14600 RES=0x00 SYN URGP=0 
Jul  3 01:34:45 ns3268116 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=4c:72:b9:42:f7:f9:e8:ba:70:42:e4:80:08:00 SRC=37.28.169.147 DST=37.59.10.99 LEN=52 TOS=0x00 PREC=0x00 TTL=47 ID=16177 DF PROTO=TCP SPT=48415 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0 
Jul  3 01:34:46 ns3268116 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=4c:72:b9:42:f7:f9:e8:ba:70:42:e4:80:08:00 SRC=209.249.157.69 DST=37.59.10.99 LEN=60 TOS=0x00 PREC=0x00 TTL=49 ID=33130 DF PROTO=TCP SPT=45458 DPT=5099 WINDOW=14600 RES=0x00 SYN URGP=0 
Jul  3 01:35:01 ns3268116 CRON[16993]: (root) CMD (/usr/local/rtm/bin/rtm 36 > /dev/null 2> /dev/null)
Jul  3 01:35:01 ns3268116 kernel: [UFW BLOCK] IN= OUT=eth0 SRC=37.59.10.99 DST=37.187.231.251 LEN=227 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=55443 DPT=6104 LEN=207 
Jul  3 01:35:01 ns3268116 kernel: [UFW BLOCK] IN= OUT=eth0 SRC=37.59.10.99 DST=37.187.231.251 LEN=211 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=39312 DPT=6148 LEN=191 
Jul  3 01:35:01 ns3268116 kernel: [UFW BLOCK] IN= OUT=eth0 SRC=37.59.10.99 DST=37.187.231.251 LEN=208 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=57306 DPT=6193 LEN=188 
Jul  3 01:35:04 ns3268116 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=4c:72:b9:42:f7:f9:1c:e6:c7:52:af:80:08:00 SRC=77.154.202.176 DST=37.59.10.99 LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=12905 DF PROTO=TCP SPT=48784 DPT=5222 WINDOW=65535 RES=0x00 SYN URGP=0 
Jul  3 01:35:22 ns3268116 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=4c:72:b9:42:f7:f9:1c:e6:c7:52:af:80:08:00 SRC=94.242.246.23 DST=37.59.10.99 LEN=52 TOS=0x00 PREC=0x00 TTL=57 ID=47526 DF PROTO=TCP SPT=39781 DPT=5099 WINDOW=14600 RES=0x00 SYN URGP=0 
Jul  3 01:35:44 ns3268116 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=4c:72:b9:42:f7:f9:e8:ba:70:42:e4:80:08:00 SRC=93.115.95.205 DST=37.59.10.99 LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=56454 DF PROTO=TCP SPT=32855 DPT=5099 WINDOW=29200 RES=0x00 SYN URGP=0
J'avais bien un site web nommé JEHEG, mais ça fait plusieurs années qu'il n'est plus connecté à aucune base de données. De plus, j'ai supprimé tout les fichiers de ce site web du serveur, malheureusement les erreurs continuent..

Pouvez-vous m'indiquer ce que je dois faire pour résoudre la situation?

D'autre part, j'ai un firewall actif sur le serveur, est-ce que la configuration actuelle vous semble adaptpée pour une protection optimale?

Status: active
Logging: on (low)
Default: deny (incoming), deny (outgoing), disabled (routed)
New profiles: skip

To Action From
-- ------ ----
Anywhere DENY IN 37.59.10.99
8833 ALLOW IN Anywhere
80 ALLOW IN Anywhere
8983 ALLOW IN Anywhere
8833 (v6) ALLOW IN Anywhere (v6)
80 (v6) ALLOW IN Anywhere (v6)
8983 (v6) ALLOW IN Anywhere (v6)

Je vous remercie d'avance de votre retour.