OVH Community, your new community space.

Trafic réseau entrant inhabituel


Daixiwen
04/02/2014, 09h58
Quand tu inities une connexion TCP, le port d'origine est choisi aléatoirement par le système d'exploitation. Le numéro de port 56628 ne veut donc pas dire grand chose de particulier, juste que cette connexion a probablement été initiée de ton côté. En face c'était le port 80, ce qui indique que ce script php téléchargeait quelque chose par http. Regarde si tu n'as pas un module avec des mises à jour automatiques, qui charge des flux rss ou des données provenant d'un site tiers. Sinon c'est possible que quelqu'un se soit introduit sur ton serveur par une faille quelconque et lance ses propres scripts.

MadMass
03/02/2014, 11h35
pourtant ce serveur ne mène à rien...
Y'a-t-il un moyen de savoir quel service est impliqué dans ce trafic sur ma VM ?

J'ai fait un tcpdump sur la VM cette fois, et non sur l'hyperviseur; le port en question semble être 56628, je ne l'ai jamais utilisé...

EDIT : visiblement c'était un script php qui tournait, le responsable. Le soucis, c'est que je n'ai jamais fait tourner aucun script en rapport avec ce domaine, cette ip, ou ce port...

Daixiwen
03/02/2014, 10h38
Vu les ports utilisés, ca a l'air d'être ta VM qui se connecte au serveur de lost oasis et qui télécharge quelque chose.

MadMass
02/02/2014, 20h06
Bonjour,
Voici une petite sélection de ce que renvoie TCPDump :
19:07:25.112286 IP web-illimite.lost-oasis.net.http > madmass.mype.fr.46159: Flags [.], seq 1448:2896, ack 1, win 46, options [nop,nop,TS val 2000432879 ecr 3047517987], length 1448
19:07:25.112308 IP web-illimite.lost-oasis.net.http > madmass.mype.fr.46159: Flags [.], ack 1, win 46, options [nop,nop,TS val 2000432879 ecr 3047517987], length 0
19:07:25.112323 IP web-illimite.lost-oasis.net.http > madmass.mype.fr.46159: Flags [.], seq 2896:4344, ack 1, win 46, options [nop,nop,TS val 2000432879 ecr 3047517987], length 1448
19:07:25.112388 IP madmass.mype.fr.46159 > web-illimite.lost-oasis.net.http: Flags [.], ack 2896, win 160, options [nop,nop,TS val 3047518759 ecr 2000432879], length 0
19:07:25.112402 IP madmass.mype.fr.46159 > web-illimite.lost-oasis.net.http: Flags [.], ack 4344, win 182, options [nop,nop,TS val 3047518759 ecr 2000432879], length 0
19:07:25.117458 IP web-illimite.lost-oasis.net.http > madmass.mype.fr.46159: Flags [.], seq 4344:5792, ack 1, win 46, options [nop,nop,TS val 2000432881 ecr 3047518758], length 1448
19:07:25.117554 IP madmass.mype.fr.46159 > web-illimite.lost-oasis.net.http: Flags [.], ack 5792, win 205, options [nop,nop,TS val 3047518764 ecr 2000432881], length 0
19:07:25.117698 IP web-illimite.lost-oasis.net.http > madmass.mype.fr.46159: Flags [.], seq 5792:7240, ack 1, win 46, options [nop,nop,TS val 2000432881 ecr 3047518758], length 1448
19:07:25.117722 IP web-illimite.lost-oasis.net.http > madmass.mype.fr.46159: Flags [.], ack 1, win 46, options [nop,nop,TS val 2000432881 ecr 3047518758], length 0
19:07:25.117738 IP web-illimite.lost-oasis.net.http > madmass.mype.fr.46159: Flags [.], seq 7240:8688, ack 1, win 46, options [nop,nop,TS val 2000432881 ecr 3047518759], length 1448
19:07:25.117805 IP madmass.mype.fr.46159 > web-illimite.lost-oasis.net.http: Flags [.], ack 7240, win 228, options [nop,nop,TS val 3047518764 ecr 2000432881], length 0
19:07:25.117820 IP madmass.mype.fr.46159 > web-illimite.lost-oasis.net.http: Flags [.], ack 8688, win 250, options [nop,nop,TS val 3047518764 ecr 2000432881], length 0
19:07:25.117954 IP web-illimite.lost-oasis.net.http > madmass.mype.fr.46159: Flags [.], seq 8688:10136, ack 1, win 46, options [nop,nop,TS val 2000432881 ecr 3047518759], length 1448
19:07:25.117978 IP web-illimite.lost-oasis.net.http > madmass.mype.fr.46159: Flags [.], ack 1, win 46, options [nop,nop,TS val 2000432881 ecr 3047518759], length 0
19:07:25.117995 IP web-illimite.lost-oasis.net.http > madmass.mype.fr.46159: Flags [.], seq 10136:11584, ack 1, win 46, options [nop,nop,TS val 2000432881 ecr 3047518759], length 1448
19:07:25.118058 IP madmass.mype.fr.46159 > web-illimite.lost-oasis.net.http: Flags [.], ack 10136, win 273, options [nop,nop,TS val 3047518764 ecr 2000432881], length 0
19:07:25.118073 IP madmass.mype.fr.46159 > web-illimite.lost-oasis.net.http: Flags [.], ack 11584, win 296, options [nop,nop,TS val 3047518764 ecr 2000432881], length 0
19:07:25.123004 IP web-illimite.lost-oasis.net.http > madmass.mype.fr.46159: Flags [.], seq 11584:13032, ack 1, win 46, options [nop,nop,TS val 2000432882 ecr 3047518764], length 1448
19:07:25.123067 IP madmass.mype.fr.46159 > web-illimite.lost-oasis.net.http: Flags [.], ack 13032, win 318, options [nop,nop,TS val 3047518769 ecr 2000432882], length 0
19:07:25.123265 IP web-illimite.lost-oasis.net.http > madmass.mype.fr.46159: Flags [.], seq 13032:15928, ack 1, win 46, options [nop,nop,TS val 2000432882 ecr 3047518764], length 2896
19:07:25.123317 IP web-illimite.lost-oasis.net.http > madmass.mype.fr.46159: Flags [.], ack 1, win 46, options [nop,nop,TS val 2000432882 ecr 3047518764], length 0
19:07:25.123401 IP madmass.mype.fr.46159 > web-illimite.lost-oasis.net.http: Flags [.], ack 14480, win 341, options [nop,nop,TS val 3047518770 ecr 2000432882], length 0
19:07:25.123424 IP madmass.mype.fr.46159 > web-illimite.lost-oasis.net.http: Flags [.], ack 15928, win 363, options [nop,nop,TS val 3047518770 ecr 2000432882], length 0
19:07:25.123510 IP web-illimite.lost-oasis.net.http > madmass.mype.fr.46159: Flags [.], seq 15928:17376, ack 1, win 46, options [nop,nop,TS val 2000432882 ecr 3047518764], length 1448
19:07:25.123565 IP madmass.mype.fr.46159 > web-illimite.lost-oasis.net.http: Flags [.], ack 17376, win 386, options [nop,nop,TS val 3047518770 ecr 2000432882], length 0
19:07:25.123765 IP web-illimite.lost-oasis.net.http > madmass.mype.fr.46159: Flags [.], seq 17376:20272, ack 1, win 46, options [nop,nop,TS val 2000432882 ecr 3047518764], length 2896
19:07:25.123851 IP madmass.mype.fr.46159 > web-illimite.lost-oasis.net.http: Flags [.], ack 18824, win 409, options [nop,nop,TS val 3047518770 ecr 2000432882], length 0
19:07:25.123866 IP madmass.mype.fr.46159 > web-illimite.lost-oasis.net.http: Flags [.], ack 20272, win 431, options [nop,nop,TS val 3047518770 ecr 2000432882], length 0
19:07:25.124011 IP web-illimite.lost-oasis.net.http > madmass.mype.fr.46159: Flags [.], seq 20272:21720, ack 1, win 46, options [nop,nop,TS val 2000432882 ecr 3047518764], length 1448
Sur 10 secondes de dump il n'y a que ça.
Je vais bloquer l'ip en question (et j'ai envoyé un mail à lost oasis pour les prévenir).
Pour info, la destination (madmass.mype.fr) est ma VM (et non pas l'hyperviseur).

buddy
02/02/2014, 17h30
Bonjour,

depuis quelques temps il y a des attaques au niveau de ntp.

Ton serveur a t il un firewall ?
ntp ( port 123 ) est il bloqué en input par défaut ?

Sinon une idée de script firewall pour ton serveur
Code:
#!/bin/sh 
 
# Réinitialise les règles
iptables -t filter -F 
iptables -t filter -X 
 
# Bloque tout le trafic
iptables -t filter -P INPUT DROP 
iptables -t filter -P FORWARD ACCEPT 
iptables -t filter -P OUTPUT DROP 
 
# Autorise les connexions déjà établies et localhost
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
iptables -t filter -A INPUT -i lo -j ACCEPT 
iptables -t filter -A OUTPUT -o lo -j ACCEPT 
 
# ICMP (Ping)
iptables -t filter -A INPUT -p icmp -j ACCEPT 
iptables -t filter -A OUTPUT -p icmp -j ACCEPT 
 
# SSH
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT 
iptables -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT 
 
# DNS
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT 
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT 
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT 
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT 
 
# HTTP
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT 
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT 

# FTP 
iptables -t filter -A OUTPUT -p tcp --dport 20:21 -j ACCEPT 
iptables -t filter -A INPUT -p tcp --dport 20:21 -j ACCEPT 

# Mail SMTP 
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT 
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT 
 
# Mail POP3
iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT 
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT 
 
# Mail IMAP
iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT 
iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT 

# NTP (horloge du serveur) 
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT

RTM OVH
iptables -t filter -A OUTPUT -p udp -d 3.bloc.ip.251 -j ACCEPT # IP pour system de monitoring RTM
iptables -t filter -A OUTPUT -p udp -d 3.bloc.ip.250 -j ACCEPT

## ipv6 
 ip6tables -t filter -P INPUT DROP
 ip6tables -t filter -P FORWARD DROP

# Autorise les connexions ddeja etablies t localhost
 ip6tables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 ip6tables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 ip6tables -t filter -A INPUT -i lo -j ACCEPT
 ip6tables -t filter -A OUTPUT -o lo -j ACCEPT
source : http://fr.openclassrooms.com/informa...ia-le-firewall

Pour proxmox, il faut
iptables -t filter -P FORWARD ACCEPT
il me semble bien.

les règles ipv6 empêche l'utilisation d'ipv6 en input par le serveur

les règle RTM
il faut remplacer 3.bloc.ip.250 par le début de ton ip
ex : 123.345.567.789
çà devient
123.345.567.250

sloomy
02/02/2014, 16h35
Bonjour,

Que donnes les petites commandes qui vont bien du style tcpdump ?

Cldt
Bruno

MadMass
01/02/2014, 13h04
Bonjour,
J'ai un trafic entrant inhabituel depuis un peu plus de deux semaines, sur mon dédié KS.
Il fonctionne sous Proxmox, il est à jour, avec fail2ban installé.
Je l'utilise pour un service d'hébergement de fichiers sur une des VM, c'est la seule active depuis deux semaines. J'ai vérifié, ce trafic ne correspond absolument pas à celui engendré par ce service (qui n'a eu que quelques dizaines de mo d'uploadé sur ces deux semaines).
De même, j'ai vérifié l'usage du disque qui est cohérent avec ce que j'en ai fait ces derniers temps (il est à 7% de 500Go, donc j'exclue la possibilité que mon serveur ait été hacké et serve de seedbox). En outre, le trafic sortant reste très faible...
Voici mon graphe réseau :


J'aimerais donc savoir d'où provient ce trafic, mais je ne sais pas comment. C'est le fait qu'il soit constant depuis deux semaines qui m'inquiète...
Je me demande si il ne s'agit pas d'un bruteforce, en l'occurence pas de SSH parce que j'ai fail2ban, mais de l'interface Proxmox

Quelqu'un pourrait m'indiquer quels manip faire pour déterminer la raison de ce trafic ?
Merci