serveur HS

Posté le: Mar Avr 07, 2009 2:19 pm

> Bonjour,
>
> Nous avons du désactiver en urgence votre serveur dédié
> ks2014915.kimsufi.com afin de bloquer une attaque. Il semble que votre
> serveur présente une faille de sécurité ou qu'un utilisateur
> malveillant ait obtenu un accès.
>
> Votre serveur est actuellement dans un mode qui vous permet
> d'accèder à vos données via FTP (les codes d'accès viennent
> de vous être envoyé par email).
> Vous pouvez demander la réinstallation complète du système
> via le manager.
>
> Si vous souhaitez reprendre la main sur votre serveur afin
> de supprimer l'origine du SCAN, vous devez prendre contact
> avec nos services.

Bon ben voila heureusement je viens de rentrer, je vais tenter de régler ca dans la journée! vai ptet lancer un serveur TS de mon pc en attendant histoire de pouvoir play ce soir, ou d en discuter

Posté le: Mar Avr 07, 2009 4:09 pm

je sais pas pourquoi mais j'ai limpression de savoir de qui ça vient...

peut etre je me trompe mais hier on a jouer avec un team de "rageux" qui disais que le serveur ne toucher pas blablabla... c'est la faute du serveur... et je dirai quelques minutes genre 3 minutes plus tard , des ping qui varier de 300 à 40 pendant 2 bonnes minutes.

"meme que j'ai dit que

" on à l'impression que quelqun est entrain de parser sur le serveur

present hier " Neitanode , kanard , link , bilbon et un last"

Posté le: Mar Avr 07, 2009 4:26 pm

Le hack a débuté cet apres midi, il viens d'un serveur dédié loué au japon, huhu ovh a directement bloqué la machine apres les scans, mais ne m'y connaissant pas assez vais avoir besoin de kanard pour configurer firewall (car on en a pas Razz

)

killer Inscrit le: 09 Nov 2005 Messages: 284

Mais le type a fait quoi ?
Il a juste pinger le serv en masse ? ou il a tenter de se connecter en générant des login/pwd ? ou il a réussi à rentrer dans le serveur ?

Normalement, y a pas de firewall à mettre... Si le type ping le serv, firewall ou pas, il ping. Si le type tente de se connecter en générant des pwd en masse, firewall ou pas, il aura accès à l'écran login ssh. Confused

A la limite, je peux t'apprendre à faire une connexion client-serveur SANS demande de login/mot de passe, à base de clé ssh, c'est 100 fois plus sécurisé qu'un login/mot de passe et le type qui tente de hack en masse fait 3x moins lagger le serveur (et généralement il n'essaie même pas dans ce cas Mr. Green

).

Fin bref...

Peut-être que hier soir dans la war, c'était un début d'attaque ?

Mais poulet il est pas plus compétent que moi la dedans ? Laughing

Posté le: Mar Avr 07, 2009 5:05 pm

iop nop poupou s occupe du hardware! Wink

le mec aurait fait un scan et de la ovh a bloqué le serveur et me l a mis en mode rescue de facon a pouvoir faire une sauvegarde!

--------------------------- LOGS DE SCAN ---------------------------

DDOS attacks with 46bytes pkts

startime endtime scr:port dst:port
----------------------------------------------------------------------------------------------
2009-04-07 14:24:29 2009-04-07 14:27:03 91.121.123.96:53 219.94.174.17:33758
2009-04-07 14:27:33 2009-04-07 14:28:09 91.121.123.96:53 219.94.174.17:33758
2009-04-07 14:28:09 2009-04-07 14:29:21 91.121.123.96:53 219.94.174.17:33758
2009-04-07 14:29:21 2009-04-07 14:29:38 91.121.123.96:53 219.94.174.17:33758

--------------------------- FIN DES LOGS ---------------------------

Enfin je crois que je vais tout réinstaller, j avais commencer a mettre les logs pour serveurs http, ftp, etc et comme je ne compte plus les lancer il y a peut etre des restes qui permettrait de se faire hacker, ptet refaire une install avec seulement les serv cs et ts

killer Inscrit le: 09 Nov 2005 Messages: 284

Citation:

DDOS attacks

OK, c'est du ping/tentative de connexion en masse exprès pour faire planter le serveur.

Le noyau de linux a déjà un firewall, mais c'est chaud à config, je vais regarder çà Wink

Posté le: Mar Avr 07, 2009 5:47 pm

j'ai craqué! réinstallation du serveur, OVH proposait de reprendre la main sur le serveur en faisant la demande par mail (tjs pas de réponse de leur part) ou réinstaller la machine

donc passage sous debian 5.0 :p

Posté le: Mar Avr 07, 2009 6:31 pm

je suis sur que ça a commencer hier soir

c'est exactement ce que je penser , quand j'entendais par "parser le serveur"

killer Inscrit le: 25 Oct 2007 Messages: 347

Je confirme ce qu'a dit Neita, nos énormes lags d'hier soir sont survenus à un moment clé du match de la team d'en face, qui par ailleurs n'a pas plus ragé que ça (pendant et après les lags, pas avant).
Après, ça peut faire masse de coïncidences hein, mais vu qu'on les explosait, bon. En y repensant bien, on avait réussi 2-3 manoeuvres pour aller poser la bombe et ensuite, paf! Ils nous arrivaient dessus et nous visaient comme des lvl up (ouais, pas comme des dieux non plus ^^). Après, je suis peut-être simplement parano. Quand à l'ordinateur qui vient du Japon, c'est facile de passer par un proxy il me semble non?

Posté le: Mar Avr 07, 2009 8:31 pm

link a écrit:

Je confirme ce qu'a dit Neita, nos énormes lags d'hier soir sont survenus à un moment clé du match de la team d'en face, qui par ailleurs n'a pas plus ragé que ça (pendant et après les lags, pas avant).
Après, ça peut faire masse de coïncidences hein, mais vu qu'on les explosait, bon. En y repensant bien, on avait réussi 2-3 manoeuvres pour aller poser la bombe et ensuite, paf! Ils nous arrivaient dessus et nous visaient comme des lvl up (ouais, pas comme des dieux non plus ^^). Après, je suis peut-être simplement parano. Quand à l'ordinateur qui vient du Japon, c'est facile de passer par un proxy il me semble non?

tg link

killer Inscrit le: 09 Nov 2005 Messages: 284

link a écrit:

Je confirme ce qu'a dit Neita, nos énormes lags d'hier soir sont survenus à un moment clé du match de la team d'en face, qui par ailleurs n'a pas plus ragé que ça (pendant et après les lags, pas avant).
Après, ça peut faire masse de coïncidences hein, mais vu qu'on les explosait, bon. En y repensant bien, on avait réussi 2-3 manoeuvres pour aller poser la bombe et ensuite, paf! Ils nous arrivaient dessus et nous visaient comme des lvl up (ouais, pas comme des dieux non plus ^^). Après, je suis peut-être simplement parano. Quand à l'ordinateur qui vient du Japon, c'est facile de passer par un proxy il me semble non?

Théoriquement, une attaque comme celle qu'on a subit est difficilement réalisable par une seule personne. DDoS Attacks se sont des Distributed Denial of Service, c'est à dire que plusieurs PCs (qui sont généralement infectés par un méchant virus pas beau) ont reçu l'ordre de scanner notre serveur.

Puis bon, çà leur servait à quoi de faire lagger notre serv ? Sérieusement, tu te fais owned, tu leave, t'insultes, tu lame, mais tu lances pas une attaque DDoS depuis la Chine, çà a pas de sens.

EDIT : passer par un proxy chinois... bon je suis pas dans l'underground hacker mais déjà que j'en chie pour trouver un proxy pour aller sur IRC depuis l'université... alors trouver un proxy chinois qui autorise le spam ping, je trouve çà louche, le type doit être dans un mega réseau de hacker.
Généralement, les proxy que tu trouves sur le net, interdise ce genre de choses (ndlr: envoyer des packets en masse) parce que c'est leur adresse IP qui est bannie après (comme ici d'ailleurs maintenant). Un proxy normal bloque ce genre de chose.

Citation:

tg link

tg eki.

Posté le: Mar Avr 07, 2009 9:25 pm

voila la machine qui nous a hack avec un pio traceroute :

17.174.94.219.dedicated.sakura.ne.jp

Posté le: Mer Avr 08, 2009 9:14 am

kanardator a écrit:

Théoriquement, une attaque comme celle qu'on a subit est difficilement réalisable par une seule personne. DDoS Attacks se sont des Distributed Denial of Service, c'est à dire que plusieurs PCs (qui sont généralement infectés par un méchant virus pas beau) ont reçu l'ordre de scanner notre serveur.

Puis bon, çà leur servait à quoi de faire lagger notre serv ? Sérieusement, tu te fais owned, tu leave, t'insultes, tu lame, mais tu lances pas une attaque DDoS depuis la Chine, çà a pas de sens.

EDIT : passer par un proxy chinois... bon je suis pas dans l'underground hacker mais déjà que j'en chie pour trouver un proxy pour aller sur IRC depuis l'université... alors trouver un proxy chinois qui autorise le spam ping, je trouve çà louche, le type doit être dans un mega réseau de hacker.
Généralement, les proxy que tu trouves sur le net, interdise ce genre de choses (ndlr: envoyer des packets en masse) parce que c'est leur adresse IP qui est bannie après (comme ici d'ailleurs maintenant). Un proxy normal bloque ce genre de chose.

TG sal colvert

Posté le: Mer Avr 08, 2009 12:21 pm

qu'est ce que je m'emmerde quand je lis les message de ce sale petit roux !

killer Inscrit le: 09 Nov 2005 Messages: 284

Le déni de service ou Denial of Service (DoS) est, d'une manière générale, l'attaque qui vise à rendre une application informatique incapable de répondre aux requêtes de ses utilisateurs.

Une machine serveur offrant des services à ses clients (par exemple un serveur web) doit traiter des requêtes provenant de plusieurs clients. Lorsque ces derniers ne peuvent en bénéficier pour des raisons délibérément provoquées par un tiers il y a déni de service.

Types d'attaques

De nombreux types d'attaques par déni de service existent (le simple fait de débrancher la prise d'un serveur peut être qualifié d'attaque par déni de service) mais l'attaquant procède souvent par saturation d'au moins un des éléments chargés d'animer l'application.

Déni par saturation

La puissance de traitement des équipements (ordinateurs, équipements réseaux…) mobilisés est d'ordinaire définie afin qu'un nombre donné de requêtes soient simultanément honorées. Lorsque ce nombre augmente trop et de façon prolongée l'un des équipements sature et donc n'accepte plus les nouvelles requêtes. Cela constitue un déni de service puisque certains utilisateurs ne pourront dès lors plus employer l'ensemble.

DDoS

L'approche appelée Distributed Denial of Service (DDoS) repose sur une parallélisation d'attaques DoS, simultanément menées par plusieurs systèmes contre un seul. Cela réduit le temps nécessaire à l'attaque et amplifie ses effets. Dans ce type d'attaque les pirates se dissimulent parfois grâce à des machines-rebonds (ou machines zombies), utilisées à l'insu de leurs propriétaires. Un ensemble de machines-rebonds, également appelé botnet, est contrôlable par un pirate après infection de chacune d'elles par un programme de type porte dérobée.

Responsables de ces attaques

Ces attaques sont souvent utilisées par les lamers, les script kiddies ou les concepteurs de virus. Ils peuvent transiter par des botnets.

Ce genre d'attaque est également très utile à un pirate qui ne réussit pas à prendre le contrôle d'une machine en tentant de se faire passer pour une machine de confiance grâce à l'IP spoofing. En effet en cas de demande de session (TCP SYN) avec une adresse IP « spoofée » qui serait celle de la machine de confiance c'est bien cette dernière qui recevrait le paquet TCP SYN/ACK émis par la cible, donc elle réinitialiserait automatiquement la tentative de connexion avec un paquet RST (puisqu'elle n'est pas à l'origine de la demande d'établissement de session), interdisant au pirate d'établir une session.

Depuis quelques années l'attaque par déni de service distribué est utilisée à des fins de chantage et tentative d'extorsion auprès des entreprises dont l'activité commerciale repose sur la disponibilité de leur site Web. Ces rackets sont davantage le fait d'organisations criminelles (mafieuses) que de pirates isolés.

Exemples d'attaques DoS et DDoS

* Attaque sur le serveur de mise à jour de Microsoft.
* Attaque de sites Web connus tels que Google, Microsoft, Apple.
* Attaques de type “ping flood” d'octobre 2002 et DoS en février 2007 sur les serveurs racines DNS

Comment éviter ces attaques

Les attaques de type DoS peuvent être évitées en repérant l'adresse de la machine hostile, dans le cas d'une attaque à distance, et de bannir celle-ci. Les paquets IP provenant de cette machine seront donc dès lors rejetés directement sans être traités.

Les attaques de type DDoS sont beaucoup plus difficiles à éviter, on peut seulement limiter leurs effets dévastateurs en repérant les machines hostiles effectuant trop de requêtes en un temps limité (comportement client anormal) afin de les bannir au fur et à mesure. Cependant une attaque massive et rapide ne sera sans doute pas enrayée ainsi. Une architecture répartie, composée de plusieurs machines serveurs offrant le même service gérées de sorte que chaque adresse IP de machine cliente ne soit prise en charge que par l'un d'entre eux, permet de répartir les points d'accès aux services voulus et offre un mode dégradé (ralentissement) souvent acceptable. L'utilisation de SYN cookies est également une solution envisageable pour éviter les attaques de type SYN flooding mais ne permet pas cependant d'éviter la saturation de la bande passante du réseau.

Retour aux conditions normales

Le retour aux conditions normales peut exiger une intervention car certains logiciels ne retrouvent pas seuls un contexte adéquat après une attaque.