OVH Community, your new community space.

iptable firewall f2ban


cassiopee
10/06/2015, 11h06
Et pour répondre à la question sur l'automatisation : oui, avec Virtualmin, c'est simple d'automatiser les sauvegardes.

BBR
10/06/2015, 10h56
et tu ne regretteras pas, ce sont d'excellents serveurs

dodemodexter
10/06/2015, 10h43
Citation Envoyé par BBR
oui c'est indépendant, c'est gratuit jusqu'à 100 Go mais en payant on peut avoir plus.
Merci à tous pour ces excellent conseils... Je vais probablement me diriger là dessus...

BBR
10/06/2015, 10h20
oui c'est indépendant, c'est gratuit jusqu'à 100 Go mais en payant on peut avoir plus.

dodemodexter
10/06/2015, 10h01
Citation Envoyé par BBR
entre un SYS et un KS il n'y a pas photo, sans hésitation : le SYS
et je te conseille aussi Debian 8 avec Virtualmin, tu as un tuto complet ici : http://www.how-to.ovh/viewforum.php?f=2 une fois installé tu vas retrouver webmin, donc tu ne seras pas trop dépaysé, juste un petit temps d'adaptation
tu as aussi VestaCP comme panel simple : http://www.how-to.ovh/viewtopic.php?f=34&t=112
le point commun c'est que tu les mets à jour très facilement
tu peux aussi conserver ton ks1 comme espace de sauvegarde supplémentaire
Merci !

La question se pose sur le backup du SYS.
Actuellement, en terme d’espace, je ne consomme "que" 40 go aujourd'hui dans le répertoire "/home" et quelques bases de données ne dépassant pas 120mo au total. Et ça ne changera pas beaucoup demain ! Les 100 Go de backup proposés par SYS sont indépendant du serveur, d'après ce que j'ai compris, et me permettrais donc de sauvegarder quotidiennement mes bases de données et hebdomadairement le "home" ? Il y a un moyen de l'automatiser ?

BBR
10/06/2015, 09h05
entre un SYS et un KS il n'y a pas photo, sans hésitation : le SYS
et je te conseille aussi Debian 8 avec Virtualmin, tu as un tuto complet ici : http://www.how-to.ovh/viewforum.php?f=2 une fois installé tu vas retrouver webmin, donc tu ne seras pas trop dépaysé, juste un petit temps d'adaptation
tu as aussi VestaCP comme panel simple : http://www.how-to.ovh/viewtopic.php?f=34&t=112
le point commun c'est que tu les mets à jour très facilement
tu peux aussi conserver ton ks1 comme espace de sauvegarde supplémentaire

dodemodexter
10/06/2015, 07h28
Je me pose quelques question sur le choix... que me conseillez vous ?
Location d'un "soyoustart" avec backup inclus à priori ou 2 KS (un serveur KS-4 et le KS-1 qui me servirait de sauvegarde) ?

dodemodexter
10/06/2015, 06h39
Bon... Merci pour vos conseils... je vais tenter de regarder de plus près et me préparer à une migration imminente.
Merci.

cassiopee
10/06/2015, 00h51
Citation Envoyé par dodemodexter
En même temps, rien n'a été touché. L'attaque n'a rien modifié car ils n'ont jamais réussi à entrer sur le serveur.
Si OVH a bloqué votre serveur c'est parce ce dernier a été à l'origine d'une attaque vers d'autres serveurs sur Internet
et non pas parce qu'il a reçu des attaques et/ou scans en provenance d'autres serveurs.

Donc le serveur a été piraté, les pirates ont réussi à y rentrer et à y exécuter leur code d'attaque.

Après la question est de savoir :

- jusqu'où ils ont réussi à rentrer (autrement dit, est-ce que le compte root a été compromis ?)
- quelle faille a été utilisée ? (très souvent un CMS pas à jour ou un de ses plugins/addons)
- comment faire afin de boucher cette faille ?

Mais avec une Release 2, le mieux serait de réinstaller un nouveau système, par exemple Debian + Virtualmin.

Evidemment, comme tout changement, c'est un peu inconfortable au début, on perd ses habitudes,
on doit en prendre de nouvelles mais c'est un mal pour un bien

janus57
09/06/2015, 22h52
Bonjour,

En même temps, rien n'a été touché. L'attaque n'a rien modifié car ils n'ont jamais réussi à entrer sur le serveur.
comment vous le savez ? vous avez exploré TOUS les logs (ssh/apache/php/mysql/qmail etc...) ?
La R2 est obsolète et bourré de faille.

Maintenant, quand vous dites "nettoyer", c'est un peu ce que je voulais faire en bannissant ces IP....
non c'est pas ça, nettoyer un serveur mis en anti-hack c'est enlever tous les script du pirate, voir par où il est rentré et surtout voir si il a eu accès au root.

si je change d'os ça risque d'être plus compliqué non ?
pourquoi ?

Cordialement, janus57

dodemodexter
09/06/2015, 22h48
En même temps, rien n'a été touché. L'attaque n'a rien modifié car ils n'ont jamais réussi à entrer sur le serveur.
Maintenant, quand vous dites "nettoyer", c'est un peu ce que je voulais faire en bannissant ces IP.... Mais si je ne peux pas installer un iptable ou autre, ça ne va pas être simple... et changer de serveur m'inquiète un peu... je l'ai fait il y a 2 ans lorsque OVH a arrêté ses serveurs entrée de gamme pour migrer sur celui que j'ai aujourd'hui... mais le système restait identique... si je change d'os ça risque d'être plus compliqué non ?

janus57
09/06/2015, 22h26
Citation Envoyé par dodemodexter
Merci. Il s'agit en effet d'un OVH Release 2 (Gentoo 64bits)... Il n'y a aucun moyen de l'upgrader ?
Bonjour,

non, la R3 est un autre OS.

Cordialement, janus57

dodemodexter
09/06/2015, 22h15
Merci. Il s'agit en effet d'un OVH Release 2 (Gentoo 64bits)... Il n'y a aucun moyen de l'upgrader ?

janus57
09/06/2015, 21h37
Bonjour,

Voilà. OVH a coupé mon KS Atom gentoo/webmin ce weekend suite à une tentative de hack (de très nombreux logs dans /home/log/auth.log tentant tous les Login et mots de passe imaginables...).
c'est pas ça la raison pour laquelle OVH vous as mis en rescue , au vu du nom c'est une R2 qui est "morte" depuis bien longtemps.

Je vous conseil de changer d'os car ça va recommencer et OVH ne met pas en rescue "hack" pour rien, si vous avez pas nettoyé le serveur le hacker va revenir à la charge.

Cordialement, janus57

dodemodexter
09/06/2015, 21h07
Bonjour.
Voilà. OVH a coupé mon KS Atom gentoo/webmin ce weekend suite à une tentative de hack (de très nombreux logs dans /home/log/auth.log tentant tous les Login et mots de passe imaginables...).
Après vérification des logs pour voir si rien n'avait été modifié, j'ai rebooté sans souci et ai voulu regarder comment bannir automatiquement les IP tentant de se connecter frauduleusement... je lis beaucoup de choses sur iptable et f2ban... je me décide à les installer... c'est la que les problèmes commencent. D'abord, impossible de les installer en utilisant les modules Cpan OVH... J'ai des erreurs à chaque fois... je cherche encore et tombe sur un module webmin "firewall Linux"... je l'active dans mon interface root et commence à entrer manuellement les IP à droper... puis j'ai le malheur de cliquer sur "lancer le firewall au démarrage" et cliquer sur appliquer... la... Le serveur bloque et ne répond plus au PING... je reboot... il redémarre, ping pendant quelques secondes puis.... plus rien !
Je vous passe le temps de recherche, reboot en rescue, connexion SSH, recherche etc... je tombe sur le fichier "etc/conf.d/local.start" qui contient une ligne lançant iptable (donc le firewall qui met tout en rideau j'imagine).
Je commente la ligne et reboote en normal.
Et il repart !
Cependant, j'ai toujours tout un tas d'attaques dans les logs... comment Puis-je installer ce f#$@% iptable, firewall et/ou f2ban ?

Merci de votre aide