OVH Community, your new community space.

Mon serveur a été déconnecté du réseau


janus57
05/03/2015, 12h47
Bonjour,

si vous avez juste fait l'install sans MAJ je pense pas qu'il était à jour, car je crois pas que OVH garde les images des OS à jour 24/7/365, il doivent les MAJs quand en face il les MAJs, le reste c'est le boulot de l'admin.

Et le stricte minimum c'est fail2ban, comme @nowwhat depuis plusieurs années j'utilise juste fail2ban, 0 règles de firewall perso, fail2ban le fait tès bien tout seule et je risque pas de foutre ma config en l'air à cause d'une mauvaise règle iptables.

Un firewall sert surtout pour les serveur frontaux ou les passerelles qui doivent redistribuer derrière, là on peu faire des règles firewall stricte.

Cordialement, janus57

nowwhat
05/03/2015, 08h23
Citation Envoyé par patrix974
.....
Donc lors de la réinstallation de Ubunt Server, il faut impérativément installer : fail2ban, NetFilter et SmoothSec
Lors que le server est installé et éventuellement un coup de
sudo apt-get update && apt-get upgrade
le serveur risque rien.

Raison simple : seulement la porte SSH (et je présume une porte remote desktop) seront ouvertes.
La vraie boulot de sécurité ce fait juste avant l’installation : la mise en place d'un clé publique SSH dans le Manager, et indiquer que l'installation doit utiliser ce clé.
A ce moment, il n'y même plus un mot de passe 'root' - votre serveur est inviolable.

Inutile de s'occuper des règles parafue, ni autre filtre à ce niveau. Il n'y pas de services sensibles joignable.

Deux raisons pourquoi ça foire après:
Le admin : installe des services qu'il paramètre mal (serveur web avec des scripts PHP, Java, etc, un serveur FTP, autre service truffé des failles ou paramètres totalement inconscient)
Soit: Le admin : le PC qu'il utilise est totalement trojanisé et le futur hackeur possède à nouveau l'accès direct sans le moindre tentative sur le serveur.

Le pari est simple: installe ton serveur avec un clé SSH, supprime (ne sauvegarde pas) le clé privé sur le PC - et le serveur tournera des années sans soucis.
Le serveur devient vulnérable dès que l'admin "s'occupe"

patrix974
05/03/2015, 07h03
Bonjour

Bien sûr que le serveur était à jour, puisque je l'avais installé il y a peine quelques jours.
Il y avait juste ubuntu-desktop et un serveur de base de données Oracle

A priori je pense qu'il faut installer soi meme fail2ban, je ne pense pas qu'il est dans l'install de Ubuntu Server 14.10

Donc lors de la réinstallation de Ubunt Server, il faut impérativément installer : fail2ban, NetFilter et SmoothSec

Patrice

janus57
04/03/2015, 11h45
Bonjour,

pour qu'une machine soit sécurisées a 100% et définitivement, il faut qu'elle soit éteinte, et débranchée du secteur et du réseau
si tu veux qu'elle tourne, il faut faire avec et ça nécessite de la maintenance.
Non suffit juste de la couper du réseau, boucher les ports USB, les lecteurs de CD/DVD etc... et voilà isolé du monde extérieur

Sinon plus sérieusement est-ce que tout ce qui était sur le serveur était à jour (en gros les même question que @SD90078-OVH ) ?

Citation Envoyé par patrix974
j'aimerai comprendre comment un hacker a pu s'emparer de mon serveur.
Je veux bien réinstaller, mais comment faire pour que cela ne se reproduise plus? il faut mettre un firewall à Ubuntu Serveur?
faut analyser les logs, y a pas de miracle pour savoir comment.
Sinon un firewall ni changera strictement rien si le hacker à pris le contrôle de votre PC, cela peu juste le restarder si il n'arrive pas à passer root pour désactiver le firewall et laisser sortir le (D)DoS.
Faut pas confondre firewall et IDS/IPS.

Sinon juste pour savoir y avait un logiciel nommé fail2ban sur le serveur (sachant que c'est le stricte minimum au niveau protection des passwords de connexion) ?

Cordialement, janus57

SD90078-OVH
04/03/2015, 10h16
tu as fais les mises a jour régulièrement ?
en ce moment, c'est une faille critique tous les 1/2 mois, avec possibilité d'exploit....

tu as quoi sur ton serveur ?
dites web ? avec plugins ?
Est-ce que ces même plugs ins sont maintenus, exempts de failles etc....


pour qu'une machine soit sécurisées a 100% et définitivement, il faut qu'elle soit éteinte, et débranchée du secteur et du réseau
si tu veux qu'elle tourne, il faut faire avec et ça nécessite de la maintenance.

patrix974
04/03/2015, 06h52
Bonjour

je suis l'auteur du post.

j'aimerai comprendre comment un hacker a pu s'emparer de mon serveur.
Je veux bien réinstaller, mais comment faire pour que cela ne se reproduise plus? il faut mettre un firewall à Ubuntu Serveur?

Une personne ayant déjà utilisé des serveurs ovh , me dit que cela pourrait venir aussi d'une mauvaise configuration logicielle, car il me dit que cela lui est dejà arrivé apres une configuration de son serveur mail

patrice

SD90078-OVH
03/03/2015, 14h59
merci !

janus57
03/03/2015, 14h49
Bonjour,

c'est spécifique kimsufi ou tout OVH ?
j'ai eu des soucis sur du dédié OVH (par ma faute, m'étais planté dans du routage) et ils m'ont envoyé 2 mails a quelques quarts d'heures d'intervalle avant que je coupe le flux.
j'ai eu aussi le coup de la faille NTP d'esxi 4 (toujours sur dédié OVH), et avant qu'ils me mettent en rescue classique, j'ai eu plusieurs mails dans la nuit.
Normalement cela est pour toute les gammes, mais cela ne concerne pas les problèmes de routage mais uniquement les (D)DoS sortant ou interne détecté comme (D)DoS à 100% par leur système de sécurité (même système d'analyse que le VAC il me semble).
Si tu essaye de volontairement DoS (genre HPing3) avec ton serveur OVH tu verra qu'il va se faire couper sans aucun avertissement et ton serveur va prendre un "blâme", au bout de 3 "blâmes" sur un serveur celui-ci est mis en rescue FTP et résilié 14jours plus tard pour non respect du contrat.
Après les exemple que tu cite comme un problème de routage en générale c'est coupé par les techs si y a un réel abus et non par un système 100% automatique (il me semble), et pour le problème de NTP peut être que OVH avait un script qui tourné sur le réseau pour avertir les client OVH que leur serveur était vulnérable (Cf : http://forum.ovh.com/showthread.php?...l=1#post597214 la fin du message de @oles).

c'est le rescueFTP qui m'a fait dire que c'était pas la première fois, ya donc bien eu un coup de rescue classique avant.
d'après son mail oui on dirait que c'est la 2ième fois que son serveur se fait choper.

question subsidiaire, le compteur est remis a 0 après un certain temps ?
parceque bon, se planter dans du routage ou se faire hacker, ça arrive surtout si on a pignon sur rue, et statistiquement 3 fois en 10ans si on est un ancien d'OVH, c'est assez probable.
Aucun idée mais d'après ce que j'avais vu sur ce même forum, une personnes qui reçoit un KS d'une autre personnes (avec le procédure papier officiel) se prend également les "blâmes" (D)DoS de l'ancien propriétaire, après sur la gamme KS y a surement aucun moyen de négocier, par contre sure la gamme OVH cela peut sans doute se négocier avec le support si le serveur à genre 8/10ans.

SD90078-OVH
03/03/2015, 14h37
Citation Envoyé par janus57
Pas dans le cas de DOS sortant, la coupure est immédiate et sans appel.
c'est spécifique kimsufi ou tout OVH ?
j'ai eu des soucis sur du dédié OVH (par ma faute, m'étais planté dans du routage) et ils m'ont envoyé 2 mails a quelques quarts d'heures d'intervalle avant que je coupe le flux.
j'ai eu aussi le coup de la faille NTP d'esxi 4 (toujours sur dédié OVH), et avant qu'ils me mettent en rescue classique, j'ai eu plusieurs mails dans la nuit.

Citation Envoyé par janus57
par contre ici d'après le mail c'est la deuxième fois que votre serveur se fait prendre à envoyer un DOS (la première fois il se fait couper mais on peu le re-mettre en ligne par nous même).
c'est le rescueFTP qui m'a fait dire que c'était pas la première fois, ya donc bien eu un coup de rescue classique avant.

question subsidiaire, le compteur est remis a 0 après un certain temps ?
parceque bon, se planter dans du routage ou se faire hacker, ça arrive surtout si on a pignon sur rue, et statistiquement 3 fois en 10ans si on est un ancien d'OVH, c'est assez probable.

janus57
03/03/2015, 14h28
Bonjour,

par contre, ça n'a pas du être le premier mail que tu reçois d'OVH car en général avant de bloquer définitivement le serveur, il y a des alertes qui demande de remédier au problème avant que ça coupe brutalement.
Pas dans le cas de DOS sortant, la coupure est immédiate et sans appel, par contre ici d'après le mail c'est la deuxième fois que votre serveur se fait prendre à envoyer un DOS (la première fois il se fait couper mais on peu le re-mettre en ligne par nous même).
Ici il faudra effectivement le réinstaller complètement et la prochaine fois se sera une résiliation du contrat car ce sera la troisième fois que votre serveur envoie du DoS.

Cordialement, janus57

SD90078-OVH
03/03/2015, 14h16
Tu n'auras aucune réponse du support, ils ne s'occupent que du matériel.

ton server a très certainement été hacké et envoie des requêtes vers d'autres machines, en l'occurrence chez OVH

par contre, ça n'a pas du être le premier mail que tu reçois d'OVH car en général avant de bloquer définitivement le serveur, il y a des alertes qui demande de remédier au problème avant que ça coupe brutalement.

dans tous les cas, tu n'as pas d'autres solutions que de réinstaller une distribution pour récupérer la main (après avoir recopié ce dont tu as besoin sur le rescue FTP)

patrix974
03/03/2015, 12h10
Bonjour

quelque jours après une installation de Oracle sur un Ubuntu Serveur,

Ovh m'envoie cet étrange message:

Votre serveur ns300409.ip-91-121-XX.eu représentant une trop grande menace pour notre
réseau, nous n'avons eu d'autre choix que de le placer dans le mode
'rescue FTP'. Un identifiant et un mot de passe vous ont été communiqués
par email afin que vous puissiez récupérer simplement vos données encore
présente sur son espace de stockage.

N'hésitez pas à vous rapprocher du support technique afin que cette
situation ne devienne pas critique.

Vous pourrez retrouver ci-dessous les logs remontés par notre système qui
ont conduit à cette alerte.

- DEBUT DES INFORMATIONS COMPLEMENTAIRES -

Attack detail : 150Kpps/4Mbps
dateTime srcIp:srcPort dstIp:dstPort protocol flags bytes reason
2015.02.26 18:12:11 CET 91.121.XX.XXX:18797 37.59.119.160:443 UDP --- 29 ATTACK:UDP
2015.02.26 18:12:11 CET 91.121.XX.XXX:18797 37.59.119.160:443 UDP --- 29 ATTACK:UDP
2015.02.26 18:12:11 CET 91.121.XX.XXX:18797 37.59.119.160:443 UDP --- 29 ATTACK:UDP
2015.02.26 18:12:11 CET 91.121.XX.XXX:18797 37.59.119.160:443 UDP --- 29 ATTACK:UDP
2015.02.26 18:12:11 CET 91.121.XX.XXX:18797 37.59.119.160:443 UDP --- 29 ATTACK:UDP
2015.02.26 18:12:11 CET 91.121.XX.XXX:18797 37.59.119.160:443 UDP --- 29 ATTACK:UDP
2015.02.26 18:12:11 CET 91.121.XX.XXX:18797 37.59.119.160:443 UDP --- 29 ATTACK:UDP
2015.02.26 18:12:11 CET 91.121.XX.XXX:18797 37.59.119.160:443 UDP --- 29 ATTACK:UDP
2015.02.26 18:12:11 CET 91.121.XX.XXX:18797 37.59.119.160:443 UDP --- 29 ATTACK:UDP
2015.02.26 18:12:11 CET 91.121.XX.XXX:18797 37.59.119.160:443 UDP --- 29 ATTACK:UDP
2015.02.26 18:12:11 CET 91.121.XX.XXX:18797 37.59.119.160:443 UDP --- 29 ATTACK:UDP
2015.02.26 18:12:11 CET 91.121.XX.XXX:18797 37.59.119.160:443 UDP --- 29 ATTACK:UDP
2015.02.26 18:12:11 CET 91.121.XX.XXX:18797 37.59.119.160:443 UDP --- 29 ATTACK:UDP
2015.02.26 18:12:11 CET 91.121.XX.XXX:18797 37.59.119.160:443 UDP --- 29 ATTACK:UDP
2015.02.26 18:12:11 CET 91.121.XX.XXX:18797 37.59.119.160:443 UDP --- 29 ATTACK:UDP
2015.02.26 18:12:11 CET 91.121.XX.XXX:18797 37.59.119.160:443 UDP --- 29 ATTACK:UDP
2015.02.26 18:12:11 CET 91.121.XX.XXX:18797 37.59.119.160:443 UDP --- 29 ATTACK:UDP
2015.02.26 18:12:11 CET 91.121.XX.XXX:18797 37.59.119.160:443 UDP --- 29 ATTACK:UDP
2015.02.26 18:12:11 CET 91.121.XX.XXX:18797 37.59.119.160:443 UDP --- 29 ATTACK:UDP
2015.02.26 18:12:11 CET 91.121.XX.XXX:18797 37.59.119.160:443 UDP --- 29 ATTACK:UDP


J'ai masqué l'adresse IP de mon serveur.

J'ai ouvert un ticket au support, pour l'instant pas de réponse depuis 1 jour

J'aimerai connaitre qu'est ce qui a bien pu arrivé à mon serveur

Patrice