OVH Community, your new community space.

["HACK"]Kimsuffi rescue


Nico94
04/02/2014, 00h47
Attention tout de même que sécuriser un serveur, c'est bien ... mais le faire quand il est déjà hacké, c'est malheureusement un peu tard.

La priorité (si toutefois on ne passe pas par la case "réinstallation complète") est donc d'identifier la faille, de la fixer et de faire le nettoyage.

theboiteux
03/02/2014, 23h57
Citation Envoyé par buddy
Bonjour,

google + sécuriser serveur : http://fr.openclassrooms.com/informa...-serveur-linux

Fail2ban + iptables entre autres.

Je pense qu'ovh risque de te forcer à réinstaller ton serveur ...
Merci pour ces informations, je vais suivre ton tutoriel à la lettre et je reposterai si d'autres attaques surviennent !

buddy
03/02/2014, 23h33
Bonjour,

google + sécuriser serveur : http://fr.openclassrooms.com/informa...-serveur-linux

Fail2ban + iptables entre autres.

Je pense qu'ovh risque de te forcer à réinstaller ton serveur ...

theboiteux
03/02/2014, 23h09
Bonsoir,
Cala fais la 2eme fois que le support OVH m'envoi ce message et passe mon serveur en rescue ... Que dois-je faire pour que cela ne se reproduise plus ?

SAS OVH - http://www.kimsufi.com
2 rue Kellermann
BP 80157
59100 Roubaix

Bonjour,


N'hésitez pas à vous rapprocher du support technique afin que cette
situation ne devienne pas critique.

Vous pourrez retrouver ci-dessous les logs remontés par notre système qui
ont conduit à cette alerte.

- DEBUT DES INFORMATIONS COMPLEMENTAIRES -

Attack detail : 21Kpps/8Mbps
dateTime srcIp:srcPort dstIp:dstPort protocol flags bytes reason
2014.02.03 21:24:51 CET 176.31.254.50:54166 122.0.81.55:22 TCP SYN 48 ATTACK:TCP_SYN
2014.02.03 21:24:51 CET 176.31.254.50:54166 122.0.81.60:22 TCP SYN 48 ATTACK:TCP_SYN
2014.02.03 21:24:51 CET 176.31.254.50:54166 122.0.81.66:22 TCP SYN 48 ATTACK:TCP_SYN
2014.02.03 21:24:51 CET 176.31.254.50:54166 122.0.81.68:22 TCP SYN 48 ATTACK:TCP_SYN
2014.02.03 21:24:51 CET 176.31.254.50:54166 122.0.81.62:22 TCP SYN 48 ATTACK:TCP_SYN
2014.02.03 21:24:51 CET 176.31.254.50:54166 122.0.81.61:22 TCP SYN 48 ATTACK:TCP_SYN
2014.02.03 21:24:51 CET 176.31.254.50:54166 122.0.81.67:22 TCP SYN 48 ATTACK:TCP_SYN
2014.02.03 21:24:51 CET 176.31.254.50:54166 122.0.81.71:22 TCP SYN 48 ATTACK:TCP_SYN
2014.02.03 21:24:51 CET 176.31.254.50:54166 122.0.81.72:22 TCP SYN 48 ATTACK:TCP_SYN
2014.02.03 21:24:51 CET 176.31.254.50:54166 122.0.81.79:22 TCP SYN 48 ATTACK:TCP_SYN
2014.02.03 21:24:51 CET 176.31.254.50:54166 122.0.81.80:22 TCP SYN 48 ATTACK:TCP_SYN
2014.02.03 21:24:51 CET 176.31.254.50:54166 122.0.81.73:22 TCP SYN 48 ATTACK:TCP_SYN
2014.02.03 21:24:51 CET 176.31.254.50:54166 122.0.81.70:22 TCP SYN 48 ATTACK:TCP_SYN
2014.02.03 21:24:51 CET 176.31.254.50:54166 122.0.81.77:22 TCP SYN 48 ATTACK:TCP_SYN
2014.02.03 21:24:51 CET 176.31.254.50:54166 122.0.81.65:22 TCP SYN 48 ATTACK:TCP_SYN
2014.02.03 21:24:51 CET 176.31.254.50:54166 122.0.81.74:22 TCP SYN 48 ATTACK:TCP_SYN
2014.02.03 21:24:51 CET 176.31.254.50:54166 122.0.81.69:22 TCP SYN 48 ATTACK:TCP_SYN
2014.02.03 21:24:51 CET 176.31.254.50:54166 122.0.81.76:22 TCP SYN 48 ATTACK:TCP_SYN
2014.02.03 21:24:51 CET 176.31.254.50:54166 122.0.81.78:22 TCP SYN 48 ATTACK:TCP_SYN
2014.02.03 21:24:51 CET 176.31.254.50:54166 122.0.81.88:22 TCP SYN 48 ATTACK:TCP_SYN




- FIN DES INFORMATIONS COMPLEMENTAIRES -

Cordialement,

Support client OVH.
Cordialement,

Service Client Kimsufi.com
Contact : http://forum.kimsufi.com
Du lundi au vendredi : 9h00 - 20h00
mais aussi :

SAS OVH - http://www.kimsufi.com
2 rue Kellermann
BP 80157
59100 Roubaix


Bonjour,

Votre serveur vient d'être démarré dans un mode spécial afin de vous
permettre de récupérer vos données.

Vous ne disposez que d'un accès FTP en lecture seule dont voici les
paramètres:
- nom d'utilisateur : rootftp
- mot de passe : ******
Merci de votre aide,
Cordialement,
Arthur

EDIT : Je ne peux pas me connecter en ssh a mon serveur sans le repasser en normal et, aprés recherche, dois-je installer fail2ban ?