Aller au contenu

mode rescue ovh

SFTA26700

Par SFTA26700
dans Hébergement de Sites

 Partager

Sujets conseillés

SFTA26700

SFTA26700

Posté
Posté

Bonjour Dan,

Ovh m'a redemarré mon autre serveur "non infogéré" en mode rescue, suite a un hack apparemment,

j'ai un acces temporaire ssh + interface web pour faire des tests,

ils m'envoient un bout de log

2014-02-05 10:09:44 2014-02-05 10:09:44 91.121.95.47:5917 22.0.59.12:5038
2014-02-05 10:09:46 2014-02-05 10:09:46 91.121.95.47:5917 22.0.108.87:5038
2014-02-05 10:09:46 2014-02-05 10:09:46 91.121.95.47:5917 22.0.108.165:5038
2014-02-05 10:09:48 2014-02-05 10:09:48 91.121.95.47:5917 22.0.135.223:5038
2014-02-05 10:09:48 2014-02-05 10:09:48 91.121.95.47:5917 22.0.149.105:5038
2014-02-05 10:09:48 2014-02-05 10:09:48 91.121.95.47:5917 22.0.149.246:5038
2014-02-05 10:09:53 2014-02-05 10:09:53 91.121.95.47:5917 22.0.227.30:5038
2014-02-05 10:09:54 2014-02-05 10:09:54 91.121.95.47:5917 22.1.2.12:5038
2014-02-05 10:09:55 2014-02-05 10:09:55 91.121.95.47:5917 22.1.17.225:5038
2014-02-05 10:09:56 2014-02-05 10:09:56 91.121.95.47:5917 22.1.25.221:5038
2014-02-05 10:09:55 2014-02-05 10:09:55 91.121.95.47:5917 22.1.13.161:5038

et puis celui la

2014-02-05 00:09:07 2014-02-05 00:09:07 91.121.95.47:37728 2.0.3.232:5038
2014-02-05 00:09:08 2014-02-05 00:09:08 91.121.95.47:37728 2.0.30.201:5038
2014-02-05 00:09:08 2014-02-05 00:09:08 91.121.95.47:37728 2.0.28.63:5038
2014-02-05 00:09:10 2014-02-05 00:09:10 91.121.95.47:37728 2.0.58.104:5038
2014-02-05 00:09:10 2014-02-05 00:09:10 91.121.95.47:37728 2.0.55.2:5038
2014-02-05 00:09:12 2014-02-05 00:09:12 91.121.95.47:37728 2.0.87.5:5038
2014-02-05 00:09:14 2014-02-05 00:09:14 91.121.95.47:37728 2.0.134.88:5038
2014-02-05 00:09:14 2014-02-05 00:09:14 91.121.95.47:37728 2.0.134.216:5038
2014-02-05 00:09:15 2014-02-05 00:09:15 91.121.95.47:37728 2.0.152.229:5038
2014-02-05 00:09:16 2014-02-05 00:09:16 91.121.95.47:37728 2.0.166.232:5038
2014-02-05 00:09:16 2014-02-05 00:09:16 91.121.95.47:37728 2.0.152.187:5038

j'ai a priori plusieurs ip d'attaques,sur le meme port je pensais blacklister toutes ces ip's dans iptables , apparemment ce serait cette commande là

iptables -A INPUT -s 2.0.87.5 -j DROP

c'est bon ca ?

sinon pour fermer le port 5038 , ca serait ca ?

iptables -A INPUT -p tcp --destination-port 5038 -j DROP

je suis un peu pommé si je fais ces actions ca te parait correct ?

Seb :(

Dan

Dan

Posté
Posté

Hello,



Blacklister ces IPs ne te servirait à rien, vu qu'une IP change selon l'attaquant.


Ce qu'il faut c'est trouver la cause de ce "hack"... et sa porte d'entrée.



Tu as certainement un "sniffer" installé dans /tmp, /var/tmp ou n'importe quel répertoire dans lequel Apache peut écrire.



Dan

SFTA26700

SFTA26700

Posté
  • Auteur
Posté

merci pour ces suggestions, trés sympa


mon /tmp est vide, et var/tmp aussi,


je vais checker les autres rep,



pour toi il y a un script etranger qui s'execute sur mon serveur ?


bon je vais chercher..



merci


seb

Dan

Dan

Posté
Posté

Recherche avec "ls -a" dans /tmp et /var/tmp ... si tu as des fichiers/répertoires ajoutés, ils sont certainement cachés.

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
 Partager
Aller sur la liste des sujets
×
×
  • Créer...