Identifiez-vous Devenir membre

Rechercher

attaque serveur

25 réponses

Page 1 2

Auteur	Message
thomas33 Membre Inscrit le : 08/05/2007	# Le 21/12/2010 à 15:05 Bonjour, ovh vient de désactiver un de mes dédiés suite à une attaque en provenance de mon serveur. Je fais de la virtualisation dessus via proxmox. Dans le rapport ont m'indique l'ip source de l'attaque, cependant cette ip correspond à un kimsufi qui ne m'appartient pas. Es-ce vraiment possible de modifier son ip pour effectué une attaque ? Et comment identifier la véritable ip source ? Merci d'avance
caaptusss Membre Inscrit le : 25/09/2007	# Le 21/12/2010 à 15:49 Tu peux mettre le rapport en [ code ] ici ? FirstHeberg.com \| Régie Publicitaire \| Hébergement Gratuit
thomas33 Membre Inscrit le : 08/05/2007	# Le 21/12/2010 à 15:54 Dec 20 20:00:44 kernel: [NEW FLOOD 7777] : IN=eth0 OUT= MAC=00:25:90:06:6d:be:ec:30:91:e0:df:80:08:00 SRC=91.121.208.201 DST=188.165.227.19 +LEN=92 TOS=0x00 PREC=0x00 TTL=61 ID=41833 DF PROTO=UDP SPT=33536 DPT=7777 LEN=72 Dec 20 20:00:44 kernel: [NEW FLOOD 7777] : IN=eth0 OUT= MAC=00:25:90:06:6d:be:ec:30:91:e0:df:80:08:00 SRC=91.121.208.201 DST=188.165.227.19 +LEN=92 TOS=0x00 PREC=0x00 TTL=61 ID=41834 DF PROTO=UDP SPT=33536 DPT=7777 LEN=72 Dec 20 20:00:45 kernel: [NEW FLOOD 7777] : IN=eth0 OUT= MAC=00:25:90:06:6d:be:ec:30:91:e0:df:80:08:00 SRC=91.121.208.201 DST=188.165.227.19 +LEN=92 TOS=0x00 PREC=0x00 TTL=61 ID=22673 DF PROTO=UDP SPT=33536 DPT=7777 LEN=72
caaptusss Membre Inscrit le : 25/09/2007	# Le 21/12/2010 à 15:57 91.121.208.201, c'est toi ? Ou 188.165.227.19 ? FirstHeberg.com \| Régie Publicitaire \| Hébergement Gratuit
thomas33 Membre Inscrit le : 08/05/2007	# Le 21/12/2010 à 15:58 Aucune des deux. Un tech ma dit que les hackeurs pouvais modifier l'adresse ip en sortie...
Bool Modérateur Inscrit le : 09/05/2005	# Le 21/12/2010 à 15:58 et MAC=00:25:90:06:6d:be:ec:30:91:e0:df:80:08:00, c'est pas toi ? (ifconfig) edit : pourquoi elle est si longue cette MAC ? :S Google is watching you.
caaptusss Membre Inscrit le : 25/09/2007	# Le 21/12/2010 à 15:59 Oui, ça ressemble à du vol de MAC mais ça ne devrait pas être faisable sur les routeurs il me semble, non, Bool ? FirstHeberg.com \| Régie Publicitaire \| Hébergement Gratuit
thomas33 Membre Inscrit le : 08/05/2007	# Le 21/12/2010 à 16:00 salut Bool, non ce n'est pas à moi non plus.
Bool Modérateur Inscrit le : 09/05/2005	# Le 21/12/2010 à 16:03 J'ai pas parlé de vol de MAC, mais si OVH indique que le paquet vient de chez toi, avec des IP forgées, j'ose espérer que c'est au moins ton adresse MAC... Et c'est quoi justement ton adresse MAC ? Et OpenVZ, il crée pas des cartes réseaux virtuelles non plus ? Google is watching you.
thomas33 Membre Inscrit le : 08/05/2007	# Le 21/12/2010 à 16:07 Voila ce que me donne ifconfig : root@Tunk:~# ifconfig dummy0 Link encap:Ethernet HWaddr 9a:b5:18:6b:92:2d adr inet6: fe80::98b5:18ff:fe6b:922d/64 Scope:Lien UP BROADCAST RUNNING NOARP MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:9 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:0 RX bytes:0 (0.0 B) TX bytes:678 (678.0 B) eth0 Link encap:Ethernet HWaddr 00:25:90:13:b2:ec adr inet6: fe80::225:90ff:fe13:b2ec/64 Scope:Lien UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:10788 errors:0 dropped:0 overruns:0 frame:0 TX packets:6659 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:1000 RX bytes:8964366 (8.5 MiB) TX bytes:1480147 (1.4 MiB) MÃ©moire:febe0000-fec00000 lo Link encap:Boucle locale inet adr:127.0.0.1 Masque:255.0.0.0 adr inet6: ::1/128 Scope:HÃ´te UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:2171 errors:0 dropped:0 overruns:0 frame:0 TX packets:2171 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:0 RX bytes:2616963 (2.4 MiB) TX bytes:2616963 (2.4 MiB) venet0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:0 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) veth110.0 Link encap:Ethernet HWaddr 00:18:51:af:26:a6 adr inet6: fe80::218:51ff:feaf:26a6/64 Scope:Lien UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:8 errors:0 dropped:0 overruns:0 frame:0 TX packets:310 errors:0 dropped:2861 overruns:0 carrier:0 collisions:0 lg file transmission:0 RX bytes:408 (408.0 B) TX bytes:38861 (37.9 KiB) veth131.0 Link encap:Ethernet HWaddr 00:18:51:c2:be:ab adr inet6: fe80::218:51ff:fec2:beab/64 Scope:Lien UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:75 errors:0 dropped:0 overruns:0 frame:0 TX packets:372 errors:0 dropped:2656 overruns:0 carrier:0 collisions:0 lg file transmission:0 RX bytes:5652 (5.5 KiB) TX bytes:41949 (40.9 KiB) vmbr0 Link encap:Ethernet HWaddr 00:25:90:13:b2:ec inet adr:188.165.228.171 Bcast:188.165.228.255 Masque:255.255.255.0 adr inet6: fe80::225:90ff:fe13:b2ec/64 Scope:Lien UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:2119 errors:0 dropped:0 overruns:0 frame:0 TX packets:2065 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:0 RX bytes:286234 (279.5 KiB) TX bytes:687181 (671.0 KiB) vmbr1 Link encap:Ethernet HWaddr 9a:b5:18:6b:92:2d adr inet6: fe80::98b5:18ff:fe6b:922d/64 Scope:Lien UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:6 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:0 RX bytes:0 (0.0 B) TX bytes:468 (468.0 B) vmtab112i0d0 Link encap:Ethernet HWaddr da:5c:87:08:09:17 adr inet6: fe80::d85c:87ff:fe08:917/64 Scope:Lien UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 RX packets:80 errors:0 dropped:0 overruns:0 frame:0 TX packets:2854 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:500 RX bytes:11887 (11.6 KiB) TX bytes:458498 (447.7 KiB) vmtab118i0d0 Link encap:Ethernet HWaddr 8a:04:d1:90:32:fe adr inet6: fe80::8804:d1ff:fe90:32fe/64 Scope:Lien UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 RX packets:55 errors:0 dropped:0 overruns:0 frame:0 TX packets:2866 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:500 RX bytes:8815 (8.6 KiB) TX bytes:463434 (452.5 KiB) vmtab126i0d0 Link encap:Ethernet HWaddr 66:7b:cd:dc:55:ed adr inet6: fe80::647b:cdff:fedc:55ed/64 Scope:Lien UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 RX packets:55 errors:0 dropped:0 overruns:0 frame:0 TX packets:2863 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:500 RX bytes:8795 (8.5 KiB) TX bytes:463136 (452.2 KiB) vmtab132i0d0 Link encap:Ethernet HWaddr c6:cc:17:05:fb:04 adr inet6: fe80::c4cc:17ff:fe05:fb04/64 Scope:Lien UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 RX packets:58 errors:0 dropped:0 overruns:0 frame:0 TX packets:2875 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:500 RX bytes:7763 (7.5 KiB) TX bytes:462440 (451.6 KiB) vmtab133i0d0 Link encap:Ethernet HWaddr 72:1f:1e:66:9e:cc adr inet6: fe80::701f:1eff:fe66:9ecc/64 Scope:Lien UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 RX packets:4257 errors:0 dropped:0 overruns:0 frame:0 TX packets:8531 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:500 RX bytes:771858 (753.7 KiB) TX bytes:8619482 (8.2 MiB) vmtab135i0d0 Link encap:Ethernet HWaddr 6e:26:a4:08:8c:03 adr inet6: fe80::6c26:a4ff:fe08:8c03/64 Scope:Lien UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 RX packets:84 errors:0 dropped:0 overruns:0 frame:0 TX packets:2857 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:500 RX bytes:12893 (12.5 KiB) TX bytes:458207 (447.4 KiB) Dans les VMAC c'est pareil, j'ai rien du tout. Tout le trafic passe par vmbr0 pour les vms.
Bool Modérateur Inscrit le : 09/05/2005	# Le 21/12/2010 à 16:20 eth0 Link encap:Ethernet HWaddr 00:25:90:13:b2:ec Donc c'est bien ta machine. Google is watching you.
Bool Modérateur Inscrit le : 09/05/2005	# Le 21/12/2010 à 16:24 MAC=00:25:90:06:6d:be:ec erf, je sens que le gars d'OVH a lu trop vite, tout comme moi. Ta MAC est proche, mais ce n'est pas la même non, mea culpa. Google is watching you.
thomas33 Membre Inscrit le : 08/05/2007	# Le 21/12/2010 à 16:28 Aie... Tu vois un lien entre 00:25:90:13:b2:ec et 00:25:90:06:6d:be:ec:30:91:e0:df:80:08:00 ? Y'a t'il un moyen de remonté jusqu'à la vm qui attaque?
thomas33 Membre Inscrit le : 08/05/2007	# Le 21/12/2010 à 16:33 ... D'un côté ca me rassure. Donc il ont désactivé mon serveur pour rien ?
Bool Modérateur Inscrit le : 09/05/2005	# Le 21/12/2010 à 16:42 Je ne sais pas si c'est "pour rien", mais leur rapport ne donne aucune preuve que ce soit ton serveur. Essaye d'en demander plus. Google is watching you.
superfc Membre Inscrit le : 01/07/2006	# Le 21/12/2010 à 22:14 Oui, une adresse MAC se falsifie aussi facilement qu'une adresse IP. Niveau switch ethernet, il est possible de définir un verrouillage de l'adresse MAC sur chaque port et ainsi bloquer les serveurs qui falsifieraient leur adresse MAC mais je ne pense pas que grand monde le fasse. Florent Clairambault - http://florent.clairambault.fr Gtalk : superfc@gmail.com
thomas33 Membre Inscrit le : 08/05/2007	# Le 21/12/2010 à 22:17 Ok merci de l'info. J'ai toujours pas retour d'info de la part d'ovh. Donc pour remonter sur la véritable adresse mac ou ip, ca devient assez complexe si je comprend bien?
superfc Membre Inscrit le : 01/07/2006	# Le 21/12/2010 à 22:51 Si c'est complexe c'est qu'ils n'ont pas bien pensé leur architecture et de toute façon c'est à eux de justifier que c'est ton serveur qui a réalisé l'attaque et pas à toi à prouver que tu es innocent. On parle d'attaque par flood là, donc il y a des chances qu'un trafic anormalement important soit visible sur ton serveur et sur leur système de monitoring. (Message édité le 21-12-2010 à 23h21 par superfc) Florent Clairambault - http://florent.clairambault.fr Gtalk : superfc@gmail.com
thomas33 Membre Inscrit le : 08/05/2007	# Le 21/12/2010 à 23:02 Exact je n'ai même pas pensé à vérifier la base. Il y a beaucoup de trafic sortant (400Mb/s) a partir de 20 heures hier et ça à duré quelques heures... Merci pour tes infos. edit : j'ai juste tapé l'ip source indiqué par les logs sur google et je suis tombé la dessus : http://www.subdd.fr/ c'est étrange. (Message édité le 21-12-2010 à 23h56 par thomas33)
thomas33 Membre Inscrit le : 08/05/2007	# Le 22/12/2010 à 21:14 Les réponses d'ovh tombent au compte gouttes... et n'ont pas vraiment de rapport. Bonjour, Votre serveur subit des attaques a répétition, nous ne pouvons pas rester sans agir, il y a sans doute certains de vos clients qui ont une activité qui indirectement provoque ces attaques . Cordialement, Maxime D.

Auteur

Message

thomas33
Membre

Inscrit le : 08/05/2007

# Le 21/12/2010 à 15:05

Bonjour,
ovh vient de désactiver un de mes dédiés suite à une attaque en provenance de mon serveur. Je fais de la virtualisation dessus via proxmox.

Dans le rapport ont m'indique l'ip source de l'attaque, cependant cette ip correspond à un kimsufi qui ne m'appartient pas.

Es-ce vraiment possible de modifier son ip pour effectué une attaque ? Et comment identifier la véritable ip source ?

Merci d'avance

caaptusss
Membre

Inscrit le : 25/09/2007

# Le 21/12/2010 à 15:49

Tu peux mettre le rapport en [ code ] ici ?

FirstHeberg.com | Régie Publicitaire | Hébergement Gratuit

thomas33
Membre

Inscrit le : 08/05/2007

# Le 21/12/2010 à 15:54



Dec 20 20:00:44  kernel: [NEW FLOOD 7777] : IN=eth0 OUT=

MAC=00:25:90:06:6d:be:ec:30:91:e0:df:80:08:00

SRC=91.121.208.201 DST=188.165.227.19

+LEN=92 TOS=0x00 PREC=0x00 TTL=61 ID=41833 DF PROTO=UDP

SPT=33536 DPT=7777 LEN=72



Dec 20 20:00:44  kernel: [NEW FLOOD 7777] : IN=eth0 OUT=

MAC=00:25:90:06:6d:be:ec:30:91:e0:df:80:08:00

SRC=91.121.208.201 DST=188.165.227.19

+LEN=92 TOS=0x00 PREC=0x00 TTL=61 ID=41834 DF PROTO=UDP

SPT=33536 DPT=7777 LEN=72



Dec 20 20:00:45  kernel: [NEW FLOOD 7777] : IN=eth0 OUT=

MAC=00:25:90:06:6d:be:ec:30:91:e0:df:80:08:00

SRC=91.121.208.201 DST=188.165.227.19

+LEN=92 TOS=0x00 PREC=0x00 TTL=61 ID=22673 DF PROTO=UDP

SPT=33536 DPT=7777 LEN=72

caaptusss
Membre

Inscrit le : 25/09/2007

# Le 21/12/2010 à 15:57

91.121.208.201, c'est toi ?
Ou 188.165.227.19 ?

FirstHeberg.com | Régie Publicitaire | Hébergement Gratuit

thomas33
Membre

Inscrit le : 08/05/2007

# Le 21/12/2010 à 15:58

Aucune des deux. Un tech ma dit que les hackeurs pouvais modifier l'adresse ip en sortie...

Bool
Modérateur

Inscrit le : 09/05/2005

# Le 21/12/2010 à 15:58

et MAC=00:25:90:06:6d:be:ec:30:91:e0:df:80:08:00, c'est pas toi ?

(ifconfig)

edit : pourquoi elle est si longue cette MAC ? :S

Google is watching you.

caaptusss
Membre

Inscrit le : 25/09/2007

# Le 21/12/2010 à 15:59

Oui, ça ressemble à du vol de MAC mais ça ne devrait pas être faisable sur les routeurs il me semble, non, Bool ?

FirstHeberg.com | Régie Publicitaire | Hébergement Gratuit

thomas33
Membre

Inscrit le : 08/05/2007

# Le 21/12/2010 à 16:00

salut Bool, non ce n'est pas à moi non plus.

Bool
Modérateur

Inscrit le : 09/05/2005

# Le 21/12/2010 à 16:03

J'ai pas parlé de vol de MAC, mais si OVH indique que le paquet vient de chez toi, avec des IP forgées, j'ose espérer que c'est au moins ton adresse MAC...

Et c'est quoi justement ton adresse MAC ? Et OpenVZ, il crée pas des cartes réseaux virtuelles non plus ?

Google is watching you.

thomas33
Membre

Inscrit le : 08/05/2007

# Le 21/12/2010 à 16:07

Voila ce que me donne ifconfig :





root@Tunk:~# ifconfig

dummy0    Link encap:Ethernet  HWaddr 9a:b5:18:6b:92:2d

          adr inet6: fe80::98b5:18ff:fe6b:922d/64 Scope:Lien

          UP BROADCAST RUNNING NOARP  MTU:1500  Metric:1

          RX packets:0 errors:0 dropped:0 overruns:0 frame:0

          TX packets:9 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 lg file transmission:0

          RX bytes:0 (0.0 B)  TX bytes:678 (678.0 B)



eth0      Link encap:Ethernet  HWaddr 00:25:90:13:b2:ec

          adr inet6: fe80::225:90ff:fe13:b2ec/64 Scope:Lien

          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

          RX packets:10788 errors:0 dropped:0 overruns:0 frame:0

          TX packets:6659 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 lg file transmission:1000

          RX bytes:8964366 (8.5 MiB)  TX bytes:1480147 (1.4 MiB)

          MÃ©moire:febe0000-fec00000



lo        Link encap:Boucle locale

          inet adr:127.0.0.1  Masque:255.0.0.0

          adr inet6: ::1/128 Scope:HÃ´te

          UP LOOPBACK RUNNING  MTU:16436  Metric:1

          RX packets:2171 errors:0 dropped:0 overruns:0 frame:0

          TX packets:2171 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 lg file transmission:0

          RX bytes:2616963 (2.4 MiB)  TX bytes:2616963 (2.4 MiB)



venet0    Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00

          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1

          RX packets:0 errors:0 dropped:0 overruns:0 frame:0

          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 lg file transmission:0

          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)



veth110.0 Link encap:Ethernet  HWaddr 00:18:51:af:26:a6

          adr inet6: fe80::218:51ff:feaf:26a6/64 Scope:Lien

          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

          RX packets:8 errors:0 dropped:0 overruns:0 frame:0

          TX packets:310 errors:0 dropped:2861 overruns:0 carrier:0

          collisions:0 lg file transmission:0

          RX bytes:408 (408.0 B)  TX bytes:38861 (37.9 KiB)



veth131.0 Link encap:Ethernet  HWaddr 00:18:51:c2:be:ab

          adr inet6: fe80::218:51ff:fec2:beab/64 Scope:Lien

          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

          RX packets:75 errors:0 dropped:0 overruns:0 frame:0

          TX packets:372 errors:0 dropped:2656 overruns:0 carrier:0

          collisions:0 lg file transmission:0

          RX bytes:5652 (5.5 KiB)  TX bytes:41949 (40.9 KiB)



vmbr0     Link encap:Ethernet  HWaddr 00:25:90:13:b2:ec

          inet adr:188.165.228.171  Bcast:188.165.228.255  Masque:255.255.255.0

          adr inet6: fe80::225:90ff:fe13:b2ec/64 Scope:Lien

          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

          RX packets:2119 errors:0 dropped:0 overruns:0 frame:0

          TX packets:2065 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 lg file transmission:0

          RX bytes:286234 (279.5 KiB)  TX bytes:687181 (671.0 KiB)



vmbr1     Link encap:Ethernet  HWaddr 9a:b5:18:6b:92:2d

          adr inet6: fe80::98b5:18ff:fe6b:922d/64 Scope:Lien

          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

          RX packets:0 errors:0 dropped:0 overruns:0 frame:0

          TX packets:6 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 lg file transmission:0

          RX bytes:0 (0.0 B)  TX bytes:468 (468.0 B)



vmtab112i0d0 Link encap:Ethernet  HWaddr da:5c:87:08:09:17

          adr inet6: fe80::d85c:87ff:fe08:917/64 Scope:Lien

          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1

          RX packets:80 errors:0 dropped:0 overruns:0 frame:0

          TX packets:2854 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 lg file transmission:500

          RX bytes:11887 (11.6 KiB)  TX bytes:458498 (447.7 KiB)



vmtab118i0d0 Link encap:Ethernet  HWaddr 8a:04:d1:90:32:fe

          adr inet6: fe80::8804:d1ff:fe90:32fe/64 Scope:Lien

          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1

          RX packets:55 errors:0 dropped:0 overruns:0 frame:0

          TX packets:2866 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 lg file transmission:500

          RX bytes:8815 (8.6 KiB)  TX bytes:463434 (452.5 KiB)



vmtab126i0d0 Link encap:Ethernet  HWaddr 66:7b:cd:dc:55:ed

          adr inet6: fe80::647b:cdff:fedc:55ed/64 Scope:Lien

          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1

          RX packets:55 errors:0 dropped:0 overruns:0 frame:0

          TX packets:2863 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 lg file transmission:500

          RX bytes:8795 (8.5 KiB)  TX bytes:463136 (452.2 KiB)



vmtab132i0d0 Link encap:Ethernet  HWaddr c6:cc:17:05:fb:04

          adr inet6: fe80::c4cc:17ff:fe05:fb04/64 Scope:Lien

          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1

          RX packets:58 errors:0 dropped:0 overruns:0 frame:0

          TX packets:2875 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 lg file transmission:500

          RX bytes:7763 (7.5 KiB)  TX bytes:462440 (451.6 KiB)



vmtab133i0d0 Link encap:Ethernet  HWaddr 72:1f:1e:66:9e:cc

          adr inet6: fe80::701f:1eff:fe66:9ecc/64 Scope:Lien

          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1

          RX packets:4257 errors:0 dropped:0 overruns:0 frame:0

          TX packets:8531 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 lg file transmission:500

          RX bytes:771858 (753.7 KiB)  TX bytes:8619482 (8.2 MiB)



vmtab135i0d0 Link encap:Ethernet  HWaddr 6e:26:a4:08:8c:03

          adr inet6: fe80::6c26:a4ff:fe08:8c03/64 Scope:Lien

          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1

          RX packets:84 errors:0 dropped:0 overruns:0 frame:0

          TX packets:2857 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 lg file transmission:500

          RX bytes:12893 (12.5 KiB)  TX bytes:458207 (447.4 KiB)

Dans les VMAC c'est pareil, j'ai rien du tout. Tout le trafic passe par vmbr0 pour les vms.

Bool
Modérateur

Inscrit le : 09/05/2005

# Le 21/12/2010 à 16:20

eth0 Link encap:Ethernet HWaddr 00:25:90:13:b2:ec

Donc c'est bien ta machine.

Google is watching you.

Bool
Modérateur

Inscrit le : 09/05/2005

# Le 21/12/2010 à 16:24

MAC=00:25:90:06:6d:be:ec

erf, je sens que le gars d'OVH a lu trop vite, tout comme moi. Ta MAC est proche, mais ce n'est pas la même non, mea culpa.

Google is watching you.

thomas33
Membre

Inscrit le : 08/05/2007

# Le 21/12/2010 à 16:28

Aie...
Tu vois un lien entre 00:25:90:13:b2:ec et 00:25:90:06:6d:be:ec:30:91:e0:df:80:08:00 ?

Y'a t'il un moyen de remonté jusqu'à la vm qui attaque?

thomas33
Membre

Inscrit le : 08/05/2007

# Le 21/12/2010 à 16:33

... D'un côté ca me rassure.

Donc il ont désactivé mon serveur pour rien ?

Bool
Modérateur

Inscrit le : 09/05/2005

# Le 21/12/2010 à 16:42

Je ne sais pas si c'est "pour rien", mais leur rapport ne donne aucune preuve que ce soit ton serveur. Essaye d'en demander plus.

Google is watching you.

superfc
Membre

Inscrit le : 01/07/2006

# Le 21/12/2010 à 22:14

Oui, une adresse MAC se falsifie aussi facilement qu'une adresse IP. Niveau switch ethernet, il est possible de définir un verrouillage de l'adresse MAC sur chaque port et ainsi bloquer les serveurs qui falsifieraient leur adresse MAC mais je ne pense pas que grand monde le fasse.

Florent Clairambault - http://florent.clairambault.fr
Gtalk : superfc@gmail.com

thomas33
Membre

Inscrit le : 08/05/2007

# Le 21/12/2010 à 22:17

Ok merci de l'info. J'ai toujours pas retour d'info de la part d'ovh.
Donc pour remonter sur la véritable adresse mac ou ip, ca devient assez complexe si je comprend bien?

superfc
Membre

Inscrit le : 01/07/2006

# Le 21/12/2010 à 22:51

Si c'est complexe c'est qu'ils n'ont pas bien pensé leur architecture et de toute façon c'est à eux de justifier que c'est ton serveur qui a réalisé l'attaque et pas à toi à prouver que tu es innocent.

On parle d'attaque par flood là, donc il y a des chances qu'un trafic anormalement important soit visible sur ton serveur et sur leur système de monitoring.

(Message édité le 21-12-2010 à 23h21 par superfc)

Florent Clairambault - http://florent.clairambault.fr
Gtalk : superfc@gmail.com

thomas33
Membre

Inscrit le : 08/05/2007

# Le 21/12/2010 à 23:02

Exact je n'ai même pas pensé à vérifier la base. Il y a beaucoup de trafic sortant (400Mb/s) a partir de 20 heures hier et ça à duré quelques heures...

Merci pour tes infos.

edit : j'ai juste tapé l'ip source indiqué par les logs sur google et je suis tombé la dessus : http://www.subdd.fr/
c'est étrange.

(Message édité le 21-12-2010 à 23h56 par thomas33)

thomas33
Membre

Inscrit le : 08/05/2007

# Le 22/12/2010 à 21:14

Les réponses d'ovh tombent au compte gouttes... et n'ont pas vraiment de rapport.

Bonjour,

Votre serveur subit des attaques a répétition, nous ne pouvons pas rester sans agir, il y a sans doute certains de vos clients qui ont une activité qui indirectement provoque ces attaques .

Cordialement, Maxime D.

Page 1 2

Répondre

Vous ne pouvez pas participer au forum, car votre inscription n'a pas été validée. Pour vous faire valider en tant que Membre, cliquez ici.