OVH Community, your new community space.

Poublème attaque interne OVH !!!


loblique
26/01/2015, 12h21
Citation Envoyé par Abazada
@lobique:

> Mais si c'est le cas, vous devriez l'avoir aussi sur vos Kimsufi, non ?

Je n'ai plus de Kimsufi mais ne vois pas cette IP (ou similaire) sur SYS ou VPS

> D'autres part, n'est-ce pas assez brutale de passer sur le compte root via ssh pour monitorer les serveurs dédié ?.

Vu la trace dans le log, je pense qu'il se contente de faire l'équivalent d'un "Telnet 22" juste pour voir si ça répond.
Il n'essaye pas de nom de User (surtout root) et encore moins de Password. C'est juste pour voir s'il y a un service ssh ouvert.

On est bien loin d'un "force brute" à mon avis
Bien, si c'est le cas, il fait un telnet sur un port qui n'est pas actif (ssh est actif sur un autre port) et je ne suis pas certain que dans mes logs j'aurais quelques choses.... mais l'idée est intéressante, même si c'est tirée par les cheveux. Je vais faire d'autres vérifications pour confirmer ou informer ce telnet automatique et répétitif sur le port 22.

Je reste perplexe sur la méthode.

Bonne journée,

BBR
26/01/2015, 11h51
sur mes serveurs le port 22 n'est ouvert que pour certaines ip et avec connexion par clé, alors il doit surement se fracasser la tête sur la porte ce monitoring
et idem aucune trace sur SYS, OVH (je vais chercher sur le ks pour voir si j'ai cette ip)

Abazada
26/01/2015, 11h42
@lobique:

> Mais si c'est le cas, vous devriez l'avoir aussi sur vos Kimsufi, non ?

Je n'ai plus de Kimsufi mais ne vois pas cette IP (ou similaire) sur SYS ou VPS

> D'autres part, n'est-ce pas assez brutale de passer sur le compte root via ssh pour monitorer les serveurs dédié ?.

Vu la trace dans le log, je pense qu'il se contente de faire l'équivalent d'un "Telnet 22" juste pour voir si ça répond.
Il n'essaye pas de nom de User (surtout root) et encore moins de Password. C'est juste pour voir s'il y a un service ssh ouvert.

On est bien loin d'un "force brute" à mon avis

loblique
26/01/2015, 10h47
Citation Envoyé par Abazada
Bonjour,
J'ai posé la question sur la mailing sd-pro@ et le grand chef a répondu (voir ci-dessus)

Donc pour répondre à l' Loblique qui a ouvert cette discussion: C'est normal
C'est un dédié qui s'occupe du monitoring en interne pour OVH
Merci pour cette réponse,

Mais si c'est le cas, vous devriez l'avoir aussi sur vos Kimsufi, non ? Et je pense que vous avez regardé ;-)

D'autres part, n'est-ce pas assez brutale de passer sur le compte root via ssh pour monitorer les serveurs dédié ?. Ne serait-ce pas plus subtil de prévenir l'utilisateur, d'ouvrir un port dédié et de configurer un client (type ocs ou nagios) sur le kimsufi.... le force brut ne me semble pas super courtois et encore moins sécure !

BBR
26/01/2015, 08h58
donc va falloir éviter de la mettre en drop cette ip ^^

Abazada
26/01/2015, 03h23
Bonjour,
J'ai posé la question sur la mailing sd-pro@ et le grand chef a répondu (voir ci-dessus)

Donc pour répondre à l' Loblique qui a ouvert cette discussion: C'est normal
C'est un dédié qui s'occupe du monitoring en interne pour OVH

xinophe
25/01/2015, 23h23
Octave a répondu sur la ML sd-pro :

Bonjour,

sur les SD qui ont besoin d'une IP public
mais qui savent fonctionner avec IP
privé (en gros juste notre reseau leur
suffit), on met une 10.0.0.0/8. ca permet
d'économiser les IPv4

là c'est un SD mrtg/sla qui monitore le SD.
pour être propre la requête aurait dû être
fait à partir de l'ip public. on va corriger
dans la v3 du sla

janus57
25/01/2015, 22h35
Citation Envoyé par BBR
je trouve bien plus simple de transférer sur un email que remplir un formulaire qui plus est en anglais (ovh est français il me semble), je ne l'ai utilisé qu'une fois et j'ai du recommencer, y avait toujours un truc qui n'allait pas, je veux bien participer mais si c'est pour passer 10 mn là où par un autre moyen ça met 1 mn, le choix est vite fait.
Bonjour,

ils justifie le fait que le formulaire soit le même formulaire pour tout le monde.

Après de toute manière, certains rapport que le service abuse de OVH met 15jours à réagir, exemple un dédié OVH attaqué un site sur le mutualisé, la personne a remonté au service abuse + support de OVH, résultats ils ont seulement agit que récemment alors que le signalement avait été fait le 07 ou 17 avec tout les logs.

En tout cas de ce que j'ai pu voir même les membre de la Team OVH recommande de passer par ce formulaire, d'autre hébergeurs aussi passe par un système de formulaire avec suivie (ici sa doit être sans suivie comme l'adresse du whois).

Après ce formulaire parait bien détaillé surement pour aider le service abuse à faire déjà le tri, d'où la présence des différents catégorie d'abus.

Cordialement, janus57

BBR
25/01/2015, 21h55
je trouve bien plus simple de transférer sur un email que remplir un formulaire qui plus est en anglais (ovh est français il me semble), je ne l'ai utilisé qu'une fois et j'ai du recommencer, y avait toujours un truc qui n'allait pas, je veux bien participer mais si c'est pour passer 10 mn là où par un autre moyen ça met 1 mn, le choix est vite fait.

janus57
25/01/2015, 21h03
Citation Envoyé par BBR
je pense qu'elle est toujours en service, en tous cas les mails ne me reviennent pas.
Bonjour,

même la "Team OVH" sur le forum OVH dit de passer par ici : https://abuse.ovh.net

Cordialement, janus57

BBR
25/01/2015, 20h05
je pense qu'elle est toujours en service, en tous cas les mails ne me reviennent pas.

janus57
25/01/2015, 19h16
Bonjour,

et genre un nouveau monitoring interne non ?

Sinon les abuses c'est sur le site OVH, l'adresse mail a été coupé il me semble.

Cordialement, janus57

BBR
25/01/2015, 18h03
oui, ça m'intrigue aussi

Abazada
25/01/2015, 17h18
@BBR: Honnêtement je ne sais pas trop; c'est pour le moins inhabituel.

Je n'y mettrais pas ma main à couper, mais je pense que si ça venait de son propre serveur
on n'aurait pas un traceroute aussi "long", avec en plus un temps d'accès plus court...?

Tiens, j'ai les mêmes 3 routeurs quand je traceroute à partir d'un serveur SYS

J'espère qu'on connaitra la réponse, juste par curiosité technique

BBR
25/01/2015, 16h00
oui c'est vrai, mais c'est totalement illogique, sauf si cette ip vient de SON serveur, non ?

Abazada
25/01/2015, 15h02
Citation Envoyé par BBR
qu'est-ce qui te fait dire que c'est une IP ovh ?
Oh! Venant de toi, je suis surpris

# whois 10.21.59.114 => 10.0.0.0/8 : ... These addresses are in use by many millions of independently operated networks, which might be as small as a single computer connected to a home gateway, and are automatically configured in hundreds of millions of devices. They are only intended for use within a private context and traffic that needs to cross the Internet will need to use a different, unique address. ...

Cette IP fait donc partie des IP "privées".
Elle ne circule pas sur Internet mais seulement dans les limites d'un réseau privé, et dans notre cas... OVH.

BBR
25/01/2015, 12h07
qu'est-ce qui te fait dire que c'est une IP ovh ?

loblique
25/01/2015, 11h24
Merci pour ta réponse,

Citation Envoyé par Abazada
IP privée ? Curieux. Envoie ces infos à : abuse@ovh.net

Heu... Ce n'est pas le Support Officiel Kimsufi ici. Il faudrait peut-être les prévenir non ?
Oui, merci, je vais le faire.

Citation Envoyé par Abazada
Et sérieusement, des tentatives SSH il y en a à la pelle tous les jours !
En effet, mais c'est comme les cons (je ne parle pas de toi), cela n'empêche que ce n'est pas tolérable ;-) Cependant, en période l'alerte, je pense que toutes les pistes sont bonnes à surveiller.

Bon dimanche.

Abazada
25/01/2015, 10h43
Citation Envoyé par loblique
Je me fais attaquer depuis le réseau interne de OVH (Kimsufi) avec l'adresse IP 10.21.59.114.
IP privée ? Curieux.
Edit: Résolu. cf post #14. Monitoring interne OVH

Citation Envoyé par loblique
Sans réponse de votre part d'ici mardi, je ferais le nécessaire auprès des autorités compétentes ! (ANSSI, CNIL, etc....)
Heu... Ce n'est pas le Support Officiel Kimsufi ici. Il faudrait peut-être les prévenir non ?
Et sérieusement, des tentatives SSH il y en a à la pelle tous les jours !

PS: Au passage, Wheezy c'est Debian 7, pas 6

loblique
25/01/2015, 10h17
Bonjour,

Je me fais attaquer depuis le réseau interne de OVH (Kimsufi) avec l'adresse IP 10.21.59.114.

Code:
iptables -L

Chain fail2ban-ssh-ddos (1 references)
target     prot opt source               destination         
DROP       all  --  10.21.59.114         anywhere            
RETURN     all  --  anywhere             anywhere
Code:
Dans le log auth.log :
Jan 25 09:52:25 ks3xxxxxx sshd[11959]: Did not receive identification string from 10.21.59.114
Code:
Dans le log fail2ban.log
2015-01-25 09:57:27,236 fail2ban.filter : DEBUG  Got event: 1 for /var/log/auth.log
2015-01-25 09:57:27,237 fail2ban.filter : DEBUG  File changed: /var/log/auth.log
2015-01-25 09:57:27,238 fail2ban.filter : DEBUG  Processing line with time:1422176245.0 and ip:10.21.59.114
2015-01-25 09:57:27,238 fail2ban.filter : DEBUG  Found 10.21.59.114
2015-01-25 09:57:27,238 fail2ban.filter : DEBUG  Currently have failures from 1 IPs: [u'10.21.59.114']
Ça sent le force brut sur le compte root via SSH.

Il poura voir et reconnaître sa connexion avec cette vérification :
Code:
nmap -A 10.21.59.114

Starting Nmap 6.00 ( http://nmap.org ) at 2015-01-25 09:51 CET
Nmap scan report for 10.21.59.114
Host is up (0.00023s latency).
All 1000 scanned ports on 10.21.59.114 are filtered
Too many fingerprints match this host to give specific OS details
Network Distance: 4 hops

TRACEROUTE (using proto 1/icmp)
HOP RTT     ADDRESS
1   0.67 ms vss-5a-6k.fr.eu (176.31.243.253)
2   0.82 ms rbx-g2-a9.fr.eu (178.33.100.70)
3   0.27 ms rbx-25b-ast.fr.eu (188.165.9.129)
4   0.16 ms 10.21.59.114
Sans réponse de votre part d'ici mardi, je ferais le nécessaire auprès des autorités compétentes ! (ANSSI, CNIL, etc....)

Bien cordialement