OVH Community, your new community space.

Incident Anti-hack vulerabilité ntpd


Daixiwen
30/01/2014, 10h06
La vulnérabilité à été corrigée dans ntpd 4.2.7p26, donc si on met à jour l'OS avec une version plus récente, il n'y a pas besoin de réglage particulier sur le firewall.
Sinon en attendant tu peux aussi couper ntpd, et exécuter ntpdate de temps en temps pour réajuster l'heure de ton serveur.

buddy
29/01/2014, 17h49
Il faut parametrer le firewall

Ex : http://fr.openclassrooms.com/informa...ia-le-firewall

Ca autorise ton serveur à se synchroniser mais pas à répondre aux requetes ntp venues de l extérieur.
(Attention avant de l appliquer il faut penser à voir et ouvrir les ports dont ton serveur a besoin.). La conf par defaut marchz pour les usages normaux mais pas si tu as un panel ou des logiciels hors web mysql mail.

nowwhat
29/01/2014, 17h01
On ne peut que poser ces question:
Il s'agit de quelle OS ?
Quelle version ?
La dernière mise à jour date de quand ?

nicobilaine
29/01/2014, 16h49
Si vous n'utilisez pas la fonction NTP (pour synchroniser un PC ou un autre serveur sur l'heure de votre serveur), vous pouvez bloquer le port 123 sur le firewall.
N'hésitez pas à faire les mises à jours du serveur également, même si la vulnérabilité étant assez récente il n'y a peut-être pas encore de correctif.

scourthi
29/01/2014, 16h38
Bonjour,

Je viens de recevoir ce ticket d'incident anti-hack et ne sait comment procéder pour sécuriser mon serveur.
Pouvez-vous m'aider ?

Bonjour,

Une activite anormale a ete detectee sur votre serveur ks210425.kimsufi.com.

N'hesitez pas a vous rapprocher du support technique afin que cette
situation ne devienne pas critique.

Vous pourrez retrouver ci-dessous les logs remontes par notre systeme qui
ont conduit a cette alerte.

- DEBUT DES INFORMATIONS COMPLEMENTAIRES -





Nous avons ete informe que votre serveur avec l'ip 188.167.198.210 a participe a une attaque en deni de service distribue contre une organisation canadienne.



Une vulnerabilite dans "ntpd" a ete exploite permettant une attaque par amplification.



Les elements techniques utiles peuvent etre consultes ici :



http://www.cert.ssi.gouv.fr/site/CERTA-2014-AVI-034/

http://support.ntp.org/bin/view/Main...n_Attack_using

https://www.us-cert.gov/ncas/alerts/TA14-013A









- FIN DES INFORMATIONS COMPLEMENTAIRES -

Cordialement,

Support client OVH.