Ubuntu-fr

PoiroOnLinux

[RESOLU] flood sortant

Bonjour,

Bon vous risquez de vite le deviner mais je ne suis loin d'etre informaticien de formation mais pour autant je me retrouve a administrer un serveur (une dédibox chez oneline.net) portant différents services ( spip / owncloud /piwigo )

Le serveur a récemment été désactiver par oneline pour un pb de flood sortant.

J'ai depuis fait réactiver le serveur (moyennant une 20aine d'euro :-( puis vite mis apache2 en off. )
j'ai commencer a éplucher les logfiles d'apache ou d'owncloud & spip pour tenter de comprendre d'ou vient le problème mais j'avoue me sentir vite dépassé :
- je suis pas sur de commencer par le bon bout
- ni même etre sur d'identifier les infos relatives à ce pb

Quelqu'un aurait quelques pistes / lecture pas trop technique à me conseiller SVP

merci

Dernière modification par PoiroOnLinux (Le 24/02/2016, à 22:57)

bobe

Re : [RESOLU] flood sortant

Bonjour,
Le serveur a récemment été désactiver par oneline pour un pb de flood sortant.

C'est quoi flood sortant ? Envoi de spam par emails ? Si oui, il faut plutôt regarder dans /var/log/mail.log

Si c'est du spam envoyé au travers d'une application php, activer le paramètre de configuration "mail.log" de php (http://php.net/manual/fr/mail.configura … i.mail.log)

J'ai depuis fait réactiver le serveur (moyennant une 20aine d'euro :-( puis vite mis apache2 en off. )

C'est à quel titre, cette facturation ? oO

PoiroOnLinux

Re : [RESOLU] flood sortant

A priori, c'est pas du mail : /var/log/mail.log et mail.err sont vides..

Pour la facturation ; c'est au titre de "remise en service du serveur sd-xxxxx" ils précisent pas plus.

sur mon other_vhosts_access.log
juste avant la coupure et donc l'heure où oneline m'indique qu'un incident a été détecté : j'ai une bonne flopée de ligne du genre :

sousdomaine.com:80 193.252.242.117 - - [07/Feb/2016:14:30:43 +0100] "GET /IMG/pdf/...   HTTP/1.1" 200 69504 "-" "Mozilla/5.0 (compatible; ExaleadCloudView/5;)"

et de

sousdomaine.com:80 ::1 - - [07/Feb/2016:14:30:36 +0100] "OPTIONS * HTTP/1.0" 200 125 "-" "Apache/2.4.7 (Ubuntu) PHP/5.5.9-1ubuntu4.14 OpenSSL/1.0.1f (internal dummy connection)"

est ce normal ?   notamment le

::1

  cela veut dire quoi ?

Dernière modification par PoiroOnLinux (Le 09/02/2016, à 16:42)

bobe

Re : [RESOLU] flood sortant

A priori, c'est pas du mail : /var/log/mail.log et mail.err sont vides..

Dans ce cas, qu'entendent-ils par "flood sortant" ?

sur mon other_vhosts_access.log
juste avant la coupure et donc l'heure où oneline m'indique qu'un incident a été détecté : j'ai une bonne flopée de ligne du genre :

sousdomaine.com:80 193.252.242.117 - - [07/Feb/2016:14:30:43 +0100] "GET /IMG/pdf/...   HTTP/1.1" 200 69504 "-" "Mozilla/5.0 (compatible; ExaleadCloudView/5;)"

et de

sousdomaine.com:80 ::1 - - [07/Feb/2016:14:30:36 +0100] "OPTIONS * HTTP/1.0" 200 125 "-" "Apache/2.4.7 (Ubuntu) PHP/5.5.9-1ubuntu4.14 OpenSSL/1.0.1f (internal dummy connection)"

est ce normal ?

Y a rien d'anormal.

  notamment le

::1

  cela veut dire quoi ?

C'est une IPv6. C'est équivalent à l'IPv4 127.0.0.1

PoiroOnLinux

Re : [RESOLU] flood sortant

J'avoue que j'en sais trop rien : eux parlent juste de flood sortant / alerte ping down
Statview

je continue d'éplucher les log et l'interface d'admin d'oneline pour tenter de comprendre quelque chose

Dernière modification par PoiroOnLinux (Le 09/02/2016, à 17:07)

guedz45

Re : [RESOLU] flood sortant

Bonjour,

peut être une piste pour ton souci : si ton serveur continue à flooder :

apt-get install iftop

puis lance :

iftop -i eth0

ainsi tu verras les flux entrant/sortants du serveur car à 10 Mbits çà doit pas passer inaperçue tu auras au moins l'ip de destinataire, source etc...

A partir de là avec une règle iptables (firewall) tu peux commencer par bloquer la destination
Avec ton adresse IP destination / source etc... tu peux faire une recherche dans tes logs pour en savoir plus :

Ex : grep -nri "IP A CHERCHER" /var/log/*

Il est vrai que là comme çà c'est difficile d'être plus précis
Cordialement,
Guedz

PoiroOnLinux

Re : [RESOLU] flood sortant

a part découvrir un bon paquet d'ip qui tente de se connecter en root via ssh ( dans auth.log) j'ai pas avancer plus que ca :-(
(d'ailleurs au sujet de auth.log que signifie les lignes :

sd-60093 systemd-logind[616]: New seat seat0

SVP )

Pour l'histoire du mail via une appli php, si mon php.ini n'étant pas configuré pour générer un fichier log, j'ai aucun moyen de voir si cela vient de là ?
en attendant je continuer à tatonner à l'aveugle (avant de relancer apache mais bon vas bien falloir que je relance sous peu avant que ca râle ;-)

Dernière modification par PoiroOnLinux (Le 13/02/2016, à 01:03)

PoiroOnLinux

Re : [RESOLU] flood sortant

Bon alors la je suis vraiment larguer : bien que j'avais mis apache en off, le serveur est à nouveau suspendu pour flood sortant ???
j'imagine que mettre apache en off en attendant d'avoir trouvé le pb  n'était pas suffisant ?  il me reste quoi possibilité  : via du ssh ? ftp ? 
si quelqu'un a une piste pour moi , merci

Dernière modification par PoiroOnLinux (Le 09/02/2016, à 22:17)

bruno

Re : [RESOLU] flood sortant

Bonjour,

Le problème c'est que l'on ne sait pas à quoi correspond ce « flood sortant ». On cependant comprendre que ton serveur émet une grande quantité de données vers l'Internet, mais sans analyse du trafic sortant et des service actifs sur le serveur  on ne peut pas en savoir davantage.

Ces données peuvent être émises par un service mal configuré, un serveur mail en open-relay qui est massivement utilisé par des spammeurs par exemple. Cela peut aussi être dû à une machine compromise : quelqu'un a réussi à prendre la main sur ton serveur et l'utilise pour des attaques DDOS par exemple.

Dernière modification par bruno (Le 10/02/2016, à 08:54)

moko138

Re : [RESOLU] flood sortant

un bon paquet d'ip qui tente de se connecter en root via ssh ( dans auth.log)

Aurais-tu omis d'installer fail2ban ?

---

%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel :  À la découverte de dcraw

src

Re : [RESOLU] flood sortant

Salut,
Il faut tanner ton hébergeur pour savoir quel type de flood, c'est déjà une piste.
Ensuite un coup de iptraf + tcpdump pour analyser le trafic, tu as peut-être une faille sur un service ou une application.

---

Actuellement sur Manjaro Xfce (amd64)

mazarini

Re : [RESOLU] flood sortant

...Cela peut aussi être dû à une machine compromise : quelqu'un a réussi à prendre la main sur ton serveur et l'utilise pour des attaques DDOS par exemple.

C'est ce genre d'hypothèse qui conduit à la fermeture du serveur. Si le serveur est suspendu, son disque reste accessible en "mode rescue" pour analyse. Il y a quelques posts sur le forum d'Online qui abordent le sujet.

---

S'il existait une école de la politique, les locaux devraient être édifiés rue de la Santé. Les élèves pourraient s'habituer. (Pierre Dac)

PoiroOnLinux

Re : [RESOLU] flood sortant

merci pour vos réponses.

Je vais tenter de "tanner" oneline mais pour l'instant la seule réponse que j'ai eu :

n’étant par sur de la nature des paquets envoyés, je ne pourrais vous donner de réponses concretes. Au besoin vous pouvez fixer votre IP afin de ne pas faire un flood DHCP. Aussi je vous invite a vérifier vos logs afin de voir ce qui a causé ce flood

du coup afin de pouvoir analyser le traffic, vérifier mes paramètres  (notamment si failtoban est installé), faut je leur demande de reactiver le serveur. Mais  que dois je faire en priorité pour avoir accès tout cela tout en limitant les possibilités de "flood sortant" ?
Hier j'avais naivement pensé que mettre apache en off serait suffisant (ou un bon début du moins) mais vu mes compétences en une dizaine d'heure je n'avais pas réussi à identifier le problème et le problème est réapparu sur le même temps

En tout cas merci à vous de tenter de m'aider à voir plus clair

"c'est en forgeant qu'on devient forgeron" C'est pas faux mais ils précisent pas qu'au passage on risque fort de se taper sur les doigts ;-)

Dernière modification par PoiroOnLinux (Le 10/02/2016, à 10:20)

src

Re : [RESOLU] flood sortant

C'est bizarre qu'ils te facturent pour rallumer le serveur, tu ne peux pas le faire depuis l'interface client ?
Une fois rallumé je te conseille d'installer tpcdump.
Puis tu fais cette commande :

tcpdump -w mondump

Puis tu kill (CTRL+C) au bout de ~10 secondes.
Ensuite tu rapatrie le fichier mondump sur ton poste en local et tu l'ouvre avec wireshark, tu va voir ce qui transite dans ton réseau.
Éteint à nouveau ton serveur si possible pour éviter que l'hébergeur ne le coupe...

Il est possible que tu aies un service mal configuré ou non à jour et qu'il serve de vecteur d'attaques par rebond.
Dans ce cas une mise à jour et une configuration du pare-feu devrait suffire mais il faut déjà identifier le problème.

Dernière modification par src (Le 10/02/2016, à 10:45)

---

Actuellement sur Manjaro Xfce (amd64)

PoiroOnLinux

Re : [RESOLU] flood sortant

ok merci je vais tenter cela.

Je même pas sur qu'il soit éteint :
sur l'interface, il parle juste de serveur suspendu à reactiver (c'est la reactivation qui est facturé à coup de 20e TTC) .
Pas sur qu'il soit éteint car j'ai pu voir hier que des taches cron avaient été effectué sur une période ou le serveur était suspendu.

En tout cas, tant qu'il n'est pas réactiver, pas de réponse que ce soit en ssh ou sftp...
Normalement sur l'interface admin d'online, il y a un bouton "IDRAC" pour avoir un accès KVM mais là il n'y a que le lien "reactiver" qui renvoi directe vers la page pour effectuer le paiement.

src

Re : [RESOLU] flood sortant

Pas très honnête de leur part.

---

Actuellement sur Manjaro Xfce (amd64)

PoiroOnLinux

Re : [RESOLU] flood sortant

bon la bete est redémarrée en mode rescue. ( y a quand meme une risque pour le flood en rescue ? )

Aurais-tu omis d'installer fail2ban ?

Effectivement, honte a moi c'était pas fait :-(

j'ai pu récupérer "mondump"  mais vue mon niveau et que je ne connais pas wireshark la lecture n'est pas simple

J'ai ce genre de ligne qui apparaisse très souvent mais ... forcement je sais pas quoi en penser

710	31.579756	62.210.139.137	176.148.179.108	TCP	54	443 → 38944 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0

712	31.744780	fe80::8dc0:4420:5bf:7597	ff02::1:ffe0:dce	ICMPv6	86	Neighbor Solicitation for fe80::646c:cb4a:52e0:dce from d4:ae:52:d0:5b:fa

la fenetre information expert donne ca :
http://hpics.li/4f71d09

j'imagine que c'est les "TCP spurious retransmission" qui pose pb, c'est le cas ?

Dernière modification par PoiroOnLinux (Le 10/02/2016, à 20:19)

src

Re : [RESOLU] flood sortant

Normalement le mode rescue c'est comme un "LiveCD", c'est un OS fait par l'hébergeur qui permet juste de booter le serveur.
Donc aucun risque.
D'ailleurs le tcpdump ne devrait rien donner de probant puisque ton serveur ne tourne pas vraiment.
Les IP que tu montre sont en France donc à priori rien d'anormal (les attaques viennent souvent de Chine ou des USA).

---

Actuellement sur Manjaro Xfce (amd64)

guedz45

Re : [RESOLU] flood sortant

Bonjour,

As tu testé avec iftop pour voir les flux  ?

Fain2ban est un utilitaire qui peut être précieux dans ton cas

Cordialent guedz

PoiroOnLinux

Re : [RESOLU] flood sortant

Bonjour,

oui j'ai fait le test
(vu que je ne sais pas si cela change quelque chose , je précise que la je suis toujours en mode rescue)

j'ai une ip qui apparait souvent
le grep sur lui me donne cela

/var/log/auth.log:2194:Feb 10 23:14:50 rescue-14-04 sudo: xxxxxxx : TTY=pts/2 ; PWD=/home/arthroserver/var/log ; USER=root ; COMMAND=/bin/grep -nri 192.243.55.133 /var/log/apt /var/log/auth.log /var/log/boot.log /var/log/clamav /var/log/dibbler /var/log/dist-upgrade /var/log/dmesg /var/log/dmesg.0 /var/log/dpkg.log /var/log/fail2ban.log /var/log/freeipmi /var/log/fsck /var/log/installer /var/log/ipmiconsole /var/log/kern.log /var/log/landscape /var/log/live /var/log/mail.log /var/log/nginx /var/log/syslog /var/log/udev /var/log/unattended-upgrades /var/log/upstart 

elle semble provenir de la république dominicaine
iftop me montre le traffic qui passe par ma carte reseau c'est cela ?
Du coup est ce normal de voir des lignes ou l'ip du serveur n'apparait pas ?
genre :

62-210-139-255.rev.poneytelecom.eu                                 => mm-02.melt.im  

Dernière modification par PoiroOnLinux (Le 11/02/2016, à 00:20)

src

Re : [RESOLU] flood sortant

On dirait que le premier résultat c'est juste ton grep que tu vois...
Le second, poneytelecom = online.net donc rien à signaler.

---

Actuellement sur Manjaro Xfce (amd64)

PoiroOnLinux

Re : [RESOLU] flood sortant

bon je sais pas si il y a un rapport mais certains utilisateurs ont un virus : W97M

src

Re : [RESOLU] flood sortant

Peu probable.

---

Actuellement sur Manjaro Xfce (amd64)

PoiroOnLinux

Re : [RESOLU] flood sortant

Bon,
je vais devoir me résoudre à admettre qu'il s'agit certainement d'une simple erreur de débutant ayant mal sécurisé son serveur :-(
(je m'en doutais un peu en fait :-). je reprend mon "enquete" ce soir...

src

Re : [RESOLU] flood sortant

Je parie sur une faille non corrigée ...

---

Actuellement sur Manjaro Xfce (amd64)