We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Serveur blocké cause anti-hack


janus57
01/01/2017, 18h08
Bonjour,

Citation Envoyé par nowwhat
Les serveurs sont uniquement livré avec un accès root+mot de passe pour que tu puisse accéder à ton serveur une première fois facilement.
ou si on a pas configurer une clé dans son manager (les 2 grand hébergeurs français le proposent).

Citation Envoyé par Cedricdu06300
Bonjour
Moi pour résoudre le problème j'ai simplement changement le port SSH puis redémarrer mon serveur et depuis aucune attaque ni intrusion

J espère t avoir aider
mauvaise idée, y a peu de chance que le hacker soit rentré par là, ou alors c'était "azerty" le mot de passe root…

Enfin pour finir je rappel que au bout de 3 mise an anti-hack OVH vous coupe et résilie le serveur pour manquement au CGU/CGV (qui dit que c'est à vous de sécuriser votre serveur et vous qui en prenez la responsabilité).

Cordialement, janus57

nowwhat
01/01/2017, 16h58
Citation Envoyé par Cedricdu06300
...
Moi pour résoudre le problème j'ai simplement changement le port SSH puis redémarrer mon serveur et depuis aucune attaque ni intrusion
Un simple scan sur ton serveur sur toutes les portes (65535) me donnera dans quelques secondes la vrai porte "SSH'.
Une intrusion pourrait avoir lieu SI le hackeur possède ton mot de passe.

La vrai sécurité = abandonner l'usage des mot de passes et utiliser des clés. Les serveurs sont uniquement livré avec un accès root+mot de passe pour que tu puisse accéder à ton serveur une première fois facilement. Après, il ne faut pas surtout pas garder cette méthode d'accès.

Pour info : des milliers des tutos existe sur le net comment activer l'accès avec clés.

Cedricdu06300
01/01/2017, 16h51
Bonjour
Moi pour résoudre le problème j'ai simplement changement le port SSH puis redémarrer mon serveur et depuis aucune attaque ni intrusion

J espère t avoir aider

Youmo
30/12/2016, 17h16
je pense avoir trouver ma faille je vais re installer le serveur est eviter de remettre le service de bot musique pour TS3 que j avais. ( trop de faille dedans )

nowwhat
30/12/2016, 15h58
Citation Envoyé par Youmo
....
comment faire pour sécurisé / éviter que cela ne se reproduise ?
Un 'tiers' a pris la commande ton serveur pour exécuter des programmes qui ont attaqués d'autres serveurs.
A toi de découvrir comment il a fait, réussir a uploader des scripts (probablement) qu'il exécute avec un navigateur web, pour qu'il commande ton serveur.
Sinon, il a eu l'accès SSH ...
Ou un accès FTP ....

Pour l'instant, sauvegarde un max ton serveur.

T'as que a tester toit même : ré-installe ton serveur. Ne laisse que l'accès SSH actif - rien d'autre existe (FTP, serveur web, mail, etc).
Ton serveur risque rien .... et ceci à vie.
Mais bon, il ne servira à rien non plus.

C'est là ou tu va te rendre compte que quand tu décide d'utiliser un programme comme un serveur web, pour activer un site web, il faut que tu sache vraiment QUOI mettre en place. Chaque paramétrage, chaque script (php, html, Javascript, etc) représente un risque. Si ces sources, même gratuit, ne sont pas bien écrit, t'auras ajouter un risque.

Le tout est très comparable avec le permis de conduire, mieux faut l'avoir si tu désire prendre une voiture sur la route, car sans .....
Sinon : embauche un chauffeur

Youmo
30/12/2016, 15h03
j'ai ressu ce mail de la part de kimsufi qui on bloqué mon serveur car il est la cause d'un DDoS.
Code:
- DEBUT DES INFORMATIONS COMPLEMENTAIRES -

Attack detail : 7K scans
dateTime                   srcIp:srcPort           dstIp:dstPort           protocol flags       bytes reason
2016.12.30 13:46:58 CET    37.187.16.131:50463     122.152.70.176:22       TCP      SYN            60 SCAN:SYN
2016.12.30 13:46:58 CET    37.187.16.131:43738     122.152.70.177:22       TCP      SYN            60 SCAN:SYN
2016.12.30 13:46:58 CET    37.187.16.131:51487     122.152.70.181:22       TCP      SYN            60 SCAN:SYN
2016.12.30 13:46:58 CET    37.187.16.131:39793     122.152.70.170:22       TCP      SYN            60 SCAN:SYN
2016.12.30 13:46:58 CET    37.187.16.131:37755     122.152.70.172:22       TCP      SYN            60 SCAN:SYN
2016.12.30 13:46:58 CET    37.187.16.131:58963     122.152.70.180:22       TCP      SYN            60 SCAN:SYN
2016.12.30 13:46:58 CET    37.187.16.131:59698     122.152.70.169:22       TCP      SYN            60 SCAN:SYN
2016.12.30 13:46:58 CET    37.187.16.131:37954     122.152.70.171:22       TCP      SYN            60 SCAN:SYN
2016.12.30 13:46:58 CET    37.187.16.131:40487     122.152.70.173:22       TCP      SYN            60 SCAN:SYN
2016.12.30 13:46:58 CET    37.187.16.131:47390     122.152.70.175:22       TCP      SYN            60 SCAN:SYN
2016.12.30 13:46:58 CET    37.187.16.131:43013     122.152.70.179:22       TCP      SYN            60 SCAN:SYN
2016.12.30 13:46:58 CET    37.187.16.131:42325     122.152.70.183:22       TCP      SYN            60 SCAN:SYN
2016.12.30 13:46:58 CET    37.187.16.131:48835     122.152.70.174:22       TCP      SYN            60 SCAN:SYN
2016.12.30 13:46:58 CET    37.187.16.131:56636     122.152.70.178:22       TCP      SYN            60 SCAN:SYN
2016.12.30 13:46:58 CET    37.187.16.131:33527     122.152.70.184:22       TCP      SYN            60 SCAN:SYN
2016.12.30 13:46:58 CET    37.187.16.131:52084     122.152.70.182:22       TCP      SYN            60 SCAN:SYN
2016.12.30 13:46:58 CET    37.187.16.131:43545     122.152.70.185:22       TCP      SYN            60 SCAN:SYN
2016.12.30 13:46:58 CET    37.187.16.131:56426     122.152.70.186:22       TCP      SYN            60 SCAN:SYN
2016.12.30 13:46:58 CET    37.187.16.131:40134     122.152.67.146:22       TCP      SYN            60 SCAN:SYN
2016.12.30 13:46:58 CET    37.187.16.131:51311     122.152.67.142:22       TCP      SYN            60 SCAN:SYN

-  FIN DES INFORMATIONS COMPLEMENTAIRES  -
comment faire pour sécurisé / éviter que cela ne se reproduise ?