18 heures d'ATTAQUES et ça continu

Support Debian
#1

Salut,

J’ai un sérieux souci sur mon dédié !!

Les festivités ont débutaient hier à 16h43, un Nmap lancer en local chose que je n’ai absolument pas faite !

J’ai tenté de bloquer les IP

Exemple :

iptables -A INPUT -s 199.212.0.108 -j DROP
echo "- l'IP 199.212.0.108 est  BLOQUER ! : [OK]"

iptables -A INPUT -s 91.121.19.250 -j DROP
echo "- l'IP 91.121.19.250 est  BLOQUER ! : [OK]"

iptables -A INPUT -s 209.85.227.108 -j DROP
echo "- l'IP 209.85.227.108 est  BLOQUER ! : [OK]"

iptables -A INPUT -s 209.85.227.109 -j DROP
echo "- l'IP 209.85.227.109 est  BLOQUER ! : [OK]"

J’ai rajouté ces divers IP dans /etc/hosts.deny.

Denyhosts, porsentry, fail2ban, psad sont installés.

J’ai eu trois redémarrage en mode rescue demander NON PAR MOI !!! Le premier à 01h37

Je dormais … !

Depuis ce matin je ne sais comment contrer ces attaques ???

Là, j’ai demandé un reboot et mode rescue, chose faite depuis 10h07.

J’ai monté la racine, var , home et j’ai chrooter.

Normalement, je devrai pouvoir changer le mdp de root, dans ces conditions, non ??? … pourtant je n’y arrive pas !!!

J’ai plus de 800 mails d’alertes de niveau 3 de part psad.

Là, en mode rescue, depuis 10h07, je n’ai pour l’instant plus d’alertes.

Cependant je suis on ne peut plus perplexes …

Un extrait de ces mails … un très court extrait !

Les IP que j’ai bloqués hier soir (vers 22h30) avec iptables et denyhosts, sont toujours présentes !!!

Je ne sais plus quoi faire !!!

#2

Salut,
Si tu commence à bloquer google, t’as pas fini…

Puisque tu as installé “surveille”, qu’est-ce qu’il raconte ?

#3

Bonjour lol,

Merci, je me sens moins seul !!!

surveille n’a rien détecté !

[code]# cat /var/log/auth.log | grep Invalid

grep Failed /var/log/auth.log

grep Accepted /var/log/auth.log

[/code]

Rien d’anormale !

Ma fallut du temps pour ces quelques mots …

Encore une réception d’une demande de redémarrage en mode rescue que je viens de recevoir !!! ET QUE JE N’AI PAS DEMANDÉ !!!

Je ne sais plus ou donné de la tête …

la règle de bloquage ip est elle bonne ?

J’ai bloqué google … comment ça ???

#4

Comment as-tu fais pour te faire matraqué comme ça :005

Après tu prépare tranquille ton travail, il me sembler que tu avais acquis quelques expériences pourtant :033

#5

As-tu changé le mot de passe de ton “manager” ?

#6

hummmmm …

$ nmap -A -PN 199.212.0.108

Starting Nmap 5.21 ( http://nmap.org ) at 2011-10-29 16:05 CEST
Nmap scan report for ns1.arin.net (199.212.0.108)
Host is up (0.12s latency).
Not shown: 989 filtered ports
PORT     STATE  SERVICE        VERSION
53/tcp   open   domain
1863/tcp closed msnp
5222/tcp closed unknown
6666/tcp closed irc
6667/tcp closed irc
6668/tcp closed irc
6669/tcp closed irc
8000/tcp closed http-alt
8008/tcp closed http
8080/tcp closed http-proxy
8888/tcp closed sun-answerbook

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 23.60 seconds
#7

En retrouvant la sérénité …

J’ai rétablit la situation.

Mes erreurs :

_ quatre projet en cours (sur le feu au moment à l’heure d’apparitions des alertes)

_ la panique (premier dédié, première confrontation à ce type de situation)

_ faire n’importe quoi : et je te banni des ip à tout vent …

… ovh également > monitoring, pour eux aucun défaut. Normal quoi !

Relation chaise/clavier … :mrgreen:

Résultat, ovh me redonnait la main, mode rescue … :confused:

_ ajout de nouvelle règles iptables, piochés sur la toile, et très mal placé dans le script !

_ diminution des seuils d’alertes psad

_ et ma connerie … :mrgreen:

denyhosts, porsentry, fail2ban, psad, iptables de nouveau fonctionnels et fiables, pas comme moi :108

Une bonne leçon pour ma pomme !

Voilà, j’ai rétablit !!!

Merci à tous !

Je vous en serre cinq … chaleureusement … :wink: