OVH Community, votre nouvel espace communautaire.

attaque en cours: vs faites quoi?


fritz2cat
13/05/2012, 14h21
Citation Envoyé par mont-blanc
Ceci dit, c'est pas la première fois qu'on a un problème de de ce type avec les kimsufis. Il y a déjà eu des problèmes de blacklistages, des histoires avec les mails, etc. de sorte que des mesures radicales ont été prises et qu'il n'y a plus besoin de chercher les motivations, le pourquoi ou une solution au problème précédemment énoncé.

La discussion est close. Merci
Bhââ, le monsieur mont-blanc me semble avoir des idées préconçues, car les KS ont des IP tout-à-fait normales. (Je pourrais admettre qu'il critique l'usure prématurée des disques durs des KS). Il s'invente des histoires à la sauce parano, mais tout compte fait on n'a surtout rien reçu de concret dans cette histoire. Du bon gros troll velu.

Par rapport à OVH, une adresse dans le /16 de Leaseweb se prend probablement le double d'attaques. Je ne sais pas si l'herbe est plus verte ailleurs, mais il y a aussi les mauvaises herbes

Frédéric

nova18
13/05/2012, 11h10
Hello,

Pour ma part, j avais eu un probleme "similaire" avec une de mes machines.
J' ai pus effectivement voir que cela n' etait pas une attaque en consultant et m aidant des liens ci dessous :

http://guides.ovh.com/MachineHackee
http://guides.ovh.com/MachineSemiHackee
http://guides.ovh.com/MachineSemiHackee2
http://guides.ovh.com/MachineVerole

Sert toi de ces guides, je peut assurer qu' il m ont ete d une grande aide !

NB: Alexis57, desolé que des personnes n' ai pas les memes connaissance que toi a ce niveau, au pire un minimum de courtoisie serait la bienvenue! Apres je dit sa je dis rien ...

fritz2cat
13/05/2012, 10h32
Cette discussion me fait sourire. Je plussoie praline quant à l'idée de mettre une petite gif animée politiquement pas correcte

Frédéric

alexis57
13/05/2012, 09h17
Citation Envoyé par mont-blanc
il y a des amateurs qui se sont trompés dans la gestion de leurs informations, de leurs DNS et autres IPs. Malheureusement, les bêtises se propagent sur la toile, s'amplifient et c'est difficile de stopper la diffusion de ces erreurs.
On se demande qui est l'amateur... à part faire rigoler avec ton "attaque".

Si des 404 étaient dangereux, ça se saurait, si des wootwoot étaient dangereux, ça se saurait !

T'es sur le net, ton serveur est en cohabitation avec des milliards d'autres personnes, et t'es encore dans ton monde de bisounours où tu penses que tu n'auras jamais aucune erreur.

Tu dois vraiment rien avoir à faire de ton serveur pour s'occuper de ce genre de "problèmes"...

Et je n'osais même rien dire sur les MTRG car je pensais que c'était clairement évident... ( cf: praline )

Praline
11/05/2012, 11h51
Et après?
Tu as démontré quoi ?
Pas grand chose de clair, j'avoue. Plus clair : "Hier, sur le graphique MTRG, on voit une consommation de bande passante hors de proportion avec l’audience" même avec une audience de zéro il y a toujours du "bruit" sur une ip publique donc pour moi ce n'est pas "hors de proportion".

Tu sais bien comme moi qu’il y a différentes formes et variantes dans les attaques
Complètement, mais dans le cas présent, ce traffic + le log donné ça ne donne pas une "attaque", le mot fait un peu trop peur pour ce que c'est. C'est plutôt une "bêtise" au niveau d'une configuration comme il a été évoqué plus tôt. Ça ne devrait pas du tout impacter la production, ça pourri juste les logs.

Je traiterais le problème de deux façons. Soit, si c'est toujours la même ip source -> drop via firewall. Soit, vu que je n'ai pas envie de "bêtement" dropper du trafic pour si peu et que les fichiers demandés sont des émoticons de forum, je demanderais que le problème soit réglé au coupable (ou au lieu d'un 404 j'enverrais un petit gif animé de penis dansant. Ouais en fait je ferais sûrement ça)

ça aussi je ne sais pas ce que c’est :

Citation:
xxxxxxxxx:80 37.59.210.252 - - [29/Apr/2012:09:33:20 +0200] "GET /w00tw00t.at.ISC.SANS.test0 HTTP/1.1" 400 523 "-" "-"
Du bruit aussi, comme les tentatives de connexions que tu dois voir sur /phpmyadmin/ et compagnies de façon récurrente. Pas de quoi se traumatiser si le serveur est bien géré. Soit on s'en moque, soit on s'amuse à bloquer ça via fail2ban ou autre.

cmer81
10/05/2012, 16h36
Citation Envoyé par fritz2cat
190.148.206.158 c'est au Guatemala... on y parle quelle langue
Le Guatemalien?

Ha mince on est jeudi

fritz2cat
10/05/2012, 14h56
190.148.206.158 c'est au Guatemala... on y parle quelle langue ? Et quelle est la langue utilisée pour nommer les noms de fichiers images qui font des 404 ? -> Espagnol.

Donc pour moi ce n'est ni une attaque, ni un robot guatémaltèque.

Le site reinosiberos.com est effectivement chez OVH, mais pas la zone DNS.

Frédéric

mont-blanc
09/05/2012, 19h22
Citation Envoyé par Praline
Mouais, "l'enfer c'est les autres", le problème c'est qu'on est toujours l'autre de quelqu'un.
Pas constructif : je ne te le fais pas dire

Citation Envoyé par Praline
Si le(s) responsable(s) des mrtg chez ovh n'a pas le cerveau lisse, b/s = bit par secondes, 6412.8 bit par secondes en entrée (moins d'1ko/s), ça s'est de l'attaque. Mais c'est moi qui doit me tromper (histoire de cerveau lisse, toussa)
Et après?
Tu as démontré quoi ?

Tu sais bien comme moi qu’il y a différentes formes et variantes dans les attaques. Tu peux rendre indisponible un site, mais tu peux aussi être parfois être très subtile. Un serveur, c'est aussi un terrain de jeu ou d'essai...

Etant en déplacement, je n’ai pas accès à tous les logs. Mais force est de constater, que ces histoires d’erreur 400 dure depuis un certain temps déjà (donc bien avant dimanche dernier) :

...........................
xxxxxxxxxx:80 189.132.240.22 - - [29/Apr/2012:06:35:38 +0200] "GET /images/smilies/juego.gif HTTP/1.1" 404 1791 "http://www.reinosiber$
....................................
xxxxxxxxxx:80 190.231.81.231 - - [29/Apr/2012:06:37:00 +0200] "GET /images/smilies/wink.png HTTP/1.1" 404 1791 "http://www.reinosibero$
............................
Alors depuis le temps que cela dure, quand on voit le nombre d'ip et la qualité des ips impliqués, on peut avoir quelques réflexions et philosopher...

ça aussi je ne sais pas ce que c’est :

xxxxxxxxx:80 37.59.210.252 - - [29/Apr/2012:09:33:20 +0200] "GET /w00tw00t.at.ISC.SANS.test0 HTTP/1.1" 400 523 "-" "-"

Pour info
, on n’a pas de problème avec OVH et, que je sache, eux non plus.

Très cordialement

Praline
09/05/2012, 18h06
Citation Envoyé par mont-blanc
Bon, maintenant peut-être que leurs cerveaux sont lisses?
Mouais, "l'enfer c'est les autres", le problème c'est qu'on est toujours l'autre de quelqu'un.

Plus constructif :

Peut-être que l'on se trompe et l'on ne sait tout simplement pas lire les MTRG?

Affichage:
Maximale:
Entrée: 6412.8 b/s
Moyenne:
Entrée: 1495.6 b/s
Sortie: 5580b/s
Actuelle:
Entrée: 1537.7 b/s
Sortie: 9889.1 b/s
Si le(s) responsable(s) des mrtg chez ovh n'a pas le cerveau lisse, b/s = bit par secondes, 6412.8 bit par secondes en entrée (moins d'1ko/s), ça s'est de l'attaque. Mais c'est moi qui doit me tromper (histoire de cerveau lisse, toussa)

mont-blanc
09/05/2012, 17h58
Excellente idée pour disparaître du moteur de recherche.
Google gère très bien les erreurs 404 vu qu'au bout de 2-3 passages, ils suppriment les pages de son index.
Par contre quand au bout de 2-3 passages il se mangera du timeout, il dropera le site entier.
C'est pas tout à fait vrai (heureusement!). Actuellement, google suit les URLs d'un annuaire sudo... (je ne sais plus quoi). Dans cette annuaire, toutes nos URLs se terminent par ph$, ce qui génère un tas de 404 dans les outils de webmaster. Difficile de dire si c'est voulu par celui qui a fait l'annuaire ou si c'est un pro qui s'est saoûlé.
Quoiqu'il en soit, le trafic sur les différents sites n'a pas bougé d'un poil.

Le problème d'internet, c'est qu'une certaine catégorie de personne a tendance à recopier les données écrites par les autres et à faire marcher leurs robots sans avoir vérifier la fiabilité des données recueillies et à utiliser une once de leurs cervelles. Bon, maintenant peut-être que leurs cerveaux sont lisses?

Je me demande combien d'internautes regarde ces annuaires à la gomme.
L'autre possibilité, c'est qu'il s'agisse quand même d'attaques (donc déguisées)...

Ceci dit, c'est pas la première fois qu'on a un problème de de ce type avec les kimsufis. Il y a déjà eu des problèmes de blacklistages, des histoires avec les mails, etc. de sorte que des mesures radicales ont été prises et qu'il n'y a plus besoin de chercher les motivations, le pourquoi ou une solution au problème précédemment énoncé.

La discussion est close. Merci

mont-blanc
08/05/2012, 15h19
"failbanniser" tous les 404 est totalement idiot, suffit qu'il manque une image, un smiley ou je ne sais quoi sur ton site et le visiteur réel sera bannis...
On a même banni google....
et ça nous inquiète pas plus que ça.

Alors va configurer correctement ton serveur avant de crier au loup pour un 404 qui visiblement est une simple erreur de propa DNS ou de cache google ou robot. xD
Avant de crier au loup, il faut connaître la situation exactement...

Il n'y a pas d'erreur de propagation des DNS: il y a des amateurs qui se sont trompés dans la gestion de leurs informations, de leurs DNS et autres IPs. Malheureusement, les bêtises se propagent sur la toile, s'amplifient et c'est difficile de stopper la diffusion de ces erreurs.

bien le bonjour

alexis57
08/05/2012, 12h27
Eh bin mon vieux quand ton serveur sera victime d'une vraie attaque lancée au hasard, ça te changera ...

"failbanniser" tous les 404 est totalement idiot, suffit qu'il manque une image, un smiley ou je ne sais quoi sur ton site et le visiteur réel sera bannis...
Alors va configurer correctement ton serveur avant de crier au loup pour un 404 qui visiblement est une simple erreur de propa DNS ou de cache google ou robot. xD

Abazada
07/05/2012, 12h38
Citation Envoyé par mont-blanc
> et surtout pourquoi tu y réponds si ce n'est pas un de tes domaines ?
Oui, c'est intéressant. Précise ta pensée.
Simple: Si sur mon serveur je gère titi.tld, toto.tld et tutu.tld
et que je reçois une requète concernant trucmuch.tld
alors je réponds le minimum : 503 (Service Temporarily Unavailable)

Dans le même style,
si quelqu'un interroge mon serveur web directement à partir d'une IP
(donc sans domaine), je ne répond pas : 444 (No Answer)

mont-blanc
07/05/2012, 11h15
Dans ce cas ça peut être une bête erreur d'IP dans leur modif DNS d'hier, vu qu'ils sont aussi chez OVH...

Mais je persiste, provoquer des 404 en demandant des images qui existent bien à la bonne Ip, ce n'est pas pour moi une attaque, tout au plus un stupide robot.
Vu comme ça, c'est bien possible. Avec le temps, on est devenu un peu parano.

Quand on a regardé, ils n'étaient pas chez OVH. Là, ça change les choses car on peut discuter: on va vérifier et envoyer un petit mot.

Par ailleurs, on a provisoirement failbanisé tous les 404. On va voir si ça marche.

La question intéressante aussi est de savoir à quel nom de domaine ils s'adressent,
et surtout pourquoi tu y réponds si ce n'est pas un de tes domaines ?
Oui, c'est intéressant. Précise ta pensée.
Une erreur chez nous? ovh? chez eux?

Abazada
07/05/2012, 10h33
Citation Envoyé par mont-blanc
Peut-être que l'on se trompe et l'on ne sait tout simplement pas lire les MTRG?
Vu que tu ne nous les as pas montrés...

Citation Envoyé par mont-blanc
Cela doit faire 2-3 mois que l'on a ce serveur.
Dans ce cas ça peut être une bête erreur d'IP dans leur modif DNS d'hier, vu qu'ils sont aussi chez OVH...

Mais je persiste, provoquer des 404 en demandant des images qui existent bien à la bonne Ip, ce n'est pas pour moi une attaque, tout au plus un stupide robot.

La question intéressante aussi est de savoir à quel nom de domaine ils s'adressent,
et surtout pourquoi tu y réponds si ce n'est pas un de tes domaines ?

mont-blanc
07/05/2012, 10h06
Où vois-tu une attaque ?
Peut-être que l'on se trompe et l'on ne sait tout simplement pas lire les MTRG?

Affichage:
Maximale:
Entrée: 6412.8 b/s
Moyenne:
Entrée: 1495.6 b/s
Sortie: 5580b/s
Actuelle:
Entrée: 1537.7 b/s
Sortie: 9889.1 b/s

e parierais tout simplement que jusqu'à il y a peu (SOA changé le 6 mai) le site http://www.reinosiberos.com était hébergé à l'adresse IP qui est actuellement celle que tu utilises sur ton nouveau serveur Kimsufi.
Cela doit faire 2-3 mois que l'on a ce serveur.

Abazada
07/05/2012, 09h48
Bonjour,

Où vois-tu une attaque ?

Je parierais tout simplement que jusqu'à il y a peu (SOA changé le 6 mai) le site http://www.reinosiberos.com était hébergé à l'adresse IP qui est actuellement celle que tu utilises sur ton nouveau serveur Kimsufi.

Quelqu'un (ou un robot) n'a pas encore vu le changement de DNS et viens donc frapper à cette IP qui est maintenant la tienne.

Les url demandées (images) existent bien sur reinosiberos.com , par exemple : http://www.reinosiberos.com/images/smilies/juego.gif ou http://www.reinosiberos.com/images/smilies/salta.gif

Ces 404 cesseront d'elles-même dès que tout le monde aura pris en compte le changement DNS.

Tu peux si tu veux (solution de luxe) configurer un virtualhost de www.reinosiberos.com sur ton serveur et renvoyer un 503 à toutes les requètes. Plus d'erreur 404 et des logs séparés.

Si tout vient de la même IP (ou peu d'IP) tu peux les bloquer quelques jours.

PS: Qu'est-ce que tu leur renvoies en 404 qui pèse 1.7 ko ? Une image d'1 pixel suffirait, voire même juste le 404.

mont-blanc
07/05/2012, 08h14
Bonjour,
Depuis quelques mois, on est l’objet de multiples attaques et l’on a vu des choses bien étranges se passer. On a fini par déterminé que tout se passait sur un site comportant de simples pages html ainsi qu’un forum. Le site traite d’information scientifique. L’audience est peu importante, de sorte que l’on a un peu de peine à comprendre les motivations de ces attaques.

Ce site a été transféré de son serveur habituel et isolé sur un kimsufi 16g. Le forum a été remonté de toute pièce, histoire de vérifier qu’il n’y ait pas de script douteux ou de fichiers avec des permissions erronées.
Dans la case intitulée nouveaux membres, on continue à voir apparaître des nouveaux membres alors que l’on ne reçoit aucun messages d’inscriptions. On reçoit des messages d’erreurs. Sauf que l’on n’a pas envoyé de messages, etc. On ne voit rien sur les logs et on n’a aucun indice que le serveur sert d’openrelay. En définitive des trucs plutôt agaçant que bien méchant.

Sur le graphique MTRG, on a vu aussi apparaître quelques pâtés de couleurs violettes ou vertes. Parfois, le site était inatteignable. Faute de temps, de savoir-faire et comme ce site n’est pas tellement au centre de nos préoccupations, on n’a pas réagit. Et ça s'est arrêté tout seul.

Hier, sur le graphique MTRG, on voit une consommation de bande passante hors de proportion avec l’audience. L’aspect du graphique est en dent de scie de couleur verte. Comme l’heure est à l’économie de la bande passante, on s’inquiète un peu et on voit dans les logs des centaines (des miliers ?) de lignes comme ça :
xxxxxxxxxxx:80 190.148.206.158 - - [06/May/2012:08:45:30 +0200] "GET /images/smilies/hang.gif HTTP/1.1" 404 1791 "http://www.reinosiberos.com/newthread.php?do=newthread&f=12" "Mozilla/5.0$
xxxxxxxxxxxx:80 190.148.206.158 - - [06/May/2012:08:45:30 +0200] "GET /images/smilies/hanky.gif HTTP/1.1" 404 1791 "http://www.reinosiberos.com/newthread.php?do=newthread&f=12" "Mozilla/5.$
xxxxxxxxxxxx:80 190.148.206.158 - - [06/May/2012:08:45:30 +0200] "GET /images/smilies/cunao.gif HTTP/1.1" 404 1791 "http://www.reinosiberos.com/newthread.php?do=newthread&f=12" "Mozilla/5.$
xxxxxxxxxxxx:80 190.148.206.158 - - [06/May/2012:08:45:30 +0200] "GET /images/smilies/juego.gif HTTP/1.1" 404 1791 "http://www.reinosiberos.com/newthread.php?do=newthread&f=12" "Mozilla/5.$
xxxxxxxxxxxx:80 190.148.206.158 - - [06/May/2012:08:45:30 +0200] "GET /images/smilies/ups.gif HTTP/1.1" 404 1791 "http://www.reinosiberos.com/newthread.php?do=newthread&f=12" "Mozilla/5.0 $
xxxxxxxxxxxx:80 190.148.206.158 - - [06/May/2012:08:45:30 +0200] "GET /images/smilies/salta.gif HTTP/1.1" 404 1791 "http://www.reinosiberos.com/newthread.php?do=newthread&f=12" "Mozilla/5.$
xxxxxxxxxxxx:80 190.148.206.158 - - [06/May/2012:08:45:31 +0200] "GET /images/smilies/histerico.gif HTTP/1.1" 404 1790 "http://www.reinosiberos.com/newthread.php?do=newthread&f=12" "Mozill$
xxxxxxxxxxxx:80 190.148.206.158 - - [06/May/2012:08:45:31 +0200] "GET /images/smilies/tongue.png HTTP/1.1" 404 1790 "http://www.reinosiberos.com/newthread.php?do=newthread&f=12" "Mozilla/5$
xxxxxxxxxxxx:80 190.148.206.158 - - [06/May/2012:08:45:31 +0200] "GET /images/smilies/reglas.gif HTTP/1.1" 404 1790 "http://www.reinosiberos.com/newthread.php?do=newthread&f=12" "Mozilla/5$
xxxxxxxxxxxx:80 190.148.206.158 - - [06/May/2012:08:45:31 +0200] "GET /images/smilies/chino.png HTTP/1.1" 404 1790 "http://www.reinosiberos.com/newthread.php?do=newthread&f=12" "Mozilla/5.$
xxxxxxxxxxxx:80 190.148.206.158 - - [06/May/2012:08:45:31 +0200] "GET /images/smilies/worthy.gif HTTP/1.1" 404 1790 "http://www.reinosiberos.com/newthread.php?do=newthread&f=12" "Mozilla/5$
Cette attaque a l’air différentte de celles qu’on a subi précédemment.
Trois questions :
1) Dans la situation actuelle, vous faites quoi ?
2) En cas d’attaque (différente de celle de ce jour), quelles sont les logs à aller regarder et les commandes à faire pour déterminer le type de l’attaque et localiser le malfaisant?
3) Attitude générale à adopter face aux attaques ?
Merci de votre aide.