OVH Community, your new community space.

Flood sur port 80


buddy
07/02/2014, 09h17
Citation Envoyé par jamap
Tu as entièrement raison !
Merci pour l'info.

J'ai écrit au registrar ; je pense basculer full IPV6 pour régler le problème.
as tu pensé à écrire au proprio / contact technique si il y a un email ? car il agira surement plus vite que le registar qui au mieux fera suivre l'email ...

Garde quand même le ping ipv4 sinon OVH va croire que ton serveur est en panne et va le rebooter en rescue.

Pour l'ipv6, si toutes les personnes qui devront se connecter à ton serveur peuvent l'activer via l'interface de leur box ok ... Sinon tu va perdre du monde.

Je pense que juste bloquer le port 80 en ipv4 suffira

jamap
07/02/2014, 02h40
Citation Envoyé par buddy
Salut,

le soucis par exemple, c'est que les ips qui sont associés à ib.anycast.adnxs.com
change toutes les 30 Secondes .... ( et il y en a des dizaines / 30 Secondes ) donc ton script peut très bien passé à côté ...

tu as toujours plein de GET http://ib.adnxs.com/ c'est souvent le ndd qui revient ?
Si oui, envoie un email au registar + proprio du ndd c'est forcément à ce niveau là qu'il doit y avoir une association ndd / ton ip.
Tu as entièrement raison !
Merci pour l'info.

J'ai écrit au registrar ; je pense basculer full IPV6 pour régler le problème.

buddy
06/02/2014, 09h01
Salut,

le soucis par exemple, c'est que les ips qui sont associés à ib.anycast.adnxs.com
change toutes les 30 Secondes .... ( et il y en a des dizaines / 30 Secondes ) donc ton script peut très bien passé à côté ...

tu as toujours plein de GET http://ib.adnxs.com/ c'est souvent le ndd qui revient ?
Si oui, envoie un email au registar + proprio du ndd c'est forcément à ce niveau là qu'il doit y avoir une association ndd / ton ip.

jamap
06/02/2014, 02h44
J'ai scripté un dig sur les url de mon access_log ; l'IP de mon serveur ne revient jamais.

buddy
05/02/2014, 21h41
les ips que renvoie ( http://ib.adnxs.com )
qui est dans tes logs

je pense que quelqu'un a rendu ce serveur mais a oublié de retirer cette ip de ses "pools".

en fait çà change à tous les coups les adresses renvoyés par ib.adnxs.com

du coup ... c'est possible que ton ip soit dedans sans qu'on la voit à un instant T ..

ton ip est dans quelle plage (ex:123.123.123.0/24) ?

jamap
05/02/2014, 21h36
Non, quelle est cette liste ?

buddy
05/02/2014, 20h39
Salut,

l'ip de ton serveur est dans cette liste ?

ib.anycast.adnxs.com. 30 IN A 37.252.162.216
ib.anycast.adnxs.com. 30 IN A 37.252.162.223
ib.anycast.adnxs.com. 30 IN A 37.252.162.232
ib.anycast.adnxs.com. 30 IN A 68.67.179.161
ib.anycast.adnxs.com. 30 IN A 68.67.185.197
ib.anycast.adnxs.com. 30 IN A 37.252.162.58
ib.anycast.adnxs.com. 30 IN A 37.252.162.195
ib.anycast.adnxs.com. 30 IN A 37.252.162.209

jamap
05/02/2014, 20h34
En postant le message je viens de m'apercevoir qu'il s'agit de 404 ...

Je pense que les ranges d'IP d'OVH sont connus des bots qui essayent en permanence d'attaquer ces IPs.

Je vais mettre en place un filtre d'IP par pays dans un premier temps.

jamap
05/02/2014, 20h15
Pour info, j'ai lancé une reinstall du serveur avec une autre distrib et j'ai le même phénomène ...

jamap
05/02/2014, 20h14
Je n'ai pas de tentative d'intrusion mais du trafic !

# tail /var/log/httpd/access_log
108.186.70.244 - - [05/Feb/2014:00:55:45 +0100] "GET http://ads.deliads.com/tt?id=2081076&cb=[CACHEBUSTER]&referrer=[REFERRER_URL] HTTP/1.0" 404 200 "http://www.everyloans.net/?p=620" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_3; ko-kr) AppleWebKit/533.16 (KHTML, like Gecko) Version/5.0 Safari/533.16"
23.19.58.231 - - [05/Feb/2014:00:55:45 +0100] "GET http://ads.yahoo.com/st?ad_type=iframe&ad_size=300x250§ion=5241577& pub_url=${PUB_URL} HTTP/1.0" 404 200 "http://www.preparetojourney.com/wp-trackback.php?p=2411" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.14) Gecko/2009082707 Firefox/3.0.14 (.NET CLR 3.5.30729)"
198.2.210.120 - - [05/Feb/2014:00:55:45 +0100] "GET http://ib.adnxs.com/ttj?id=1020868&size=728x90 HTTP/1.0" 404 201 "http://www.bunegry.com/index.php/archives/455.html" "Opera/9.80 (Macintosh; Intel Mac OS X; U; nl) Presto/2.6.30 Version/10.61"
137.175.9.152 - - [05/Feb/2014:00:55:45 +0100] "GET http://ib.adnxs.com/ttj?id=2000159&position=above HTTP/1.0" 404 201 "http://www.stockmarketer.net" "Mozilla/4.0 (compatible; U; MSIE 6.0; Windows NT 5.1)"
192.0.17.53 - - [05/Feb/2014:00:55:45 +0100] "GET http://ad.adtegrity.net/st?ad_type=ad&ad_size=300x250§ion=4568452&pub_ url=${PUB_URL} HTTP/1.0" 404 200 "http://www.parkkin.com/health-insurance/health-insurance-individual/individual-health-insurance-plan-finding-the-right-coverage-at-the-right-cost.html" "Mozilla/5.0 (X11; U; SunOS sun4u; en-US; rv:1.4) Gecko/20030701"
198.2.199.154 - - [05/Feb/2014:00:55:45 +0100] "GET http://ib.adnxs.com/ttj?id=2059583&position=above HTTP/1.0" 404 201 "http://www.bodybecare.com/which-type-of-baking-pan-is-best-for-your-baked-creations/" "Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.6.30 Version/10.61"
192.169.85.165 - - [05/Feb/2014:00:55:45 +0100] "GET http://ads.yahoo.com/st?ad_type=iframe&ad_size=728x90§ion=5324707&p ub_url=${PUB_URL} HTTP/1.0" 404 200 "http://www.periodbusines.com/index.php?option=com_content&view=article&id=520:W here-To-Find-The-Best-London-Removals--&catid=231&Itemid=8" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/532.4 (KHTML, like Gecko) Maxthon/3.0.6.27 Safari/532.4"
172.246.113.156 - - [05/Feb/2014:00:55:45 +0100] "GET http://ib.adnxs.com/ttj?id=2198751 HTTP/1.0" 404 201 "http://www.doeducate.com/?p=997" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
192.169.85.206 - - [05/Feb/2014:00:55:45 +0100] "GET http://ads.yahoo.com/st?ad_type=iframe&ad_size=300x250§ion=5167806& pub_url=${PUB_URL} HTTP/1.0" 404 200 "http://www.writemarketingplan.com/index.php?option=com_content&view=article&id=1816: Find-Out-Ways-Of-Debt-Consolidation&catid=156&Itemid=16" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0)"
208.115.124.203 - - [05/Feb/2014:00:55:45 +0100] "GET http://ad.resultsaccelerator.net/st?ad_type=ad&ad_size=728x90§ion=5294599&pub_u rl=${PUB_URL} HTTP/1.0" 404 200 "http://www.flashcricketgame.com/articles/cricket-a-team-sport.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"

BBR
05/02/2014, 10h47
installer fail2ban qui jouera les videurs d'indésirables

jamap
05/02/2014, 02h15
Bonjour,

Je pense qu'une erreur de configuration au niveau réseau (port mirroring ? pvlan promiscuous ?)a été faite ou je suis victime d'un flood permanent !
Dès que je lance un service Web sur le port 80 (apache ou nginx), je suis floodé jusqu'à saturation de la bande passante !!!

Résultat, je ne peux monter aucun serveur Web sans voir les logs saturer (2 Mo dans l'access_log en 3 minutes).
Si par malheur, j'active du cache, je me retrouve avec plusieurs gigas de cache alors que je ne sollicite aucun trafic.

Merci de me dire rapidement ce que je dois faire pour retrouver un service fonctionnel.