Public Cloud OVHcloud - Attaques Ddos détectées depuis Public cloud
BMPCreated with Sketch.BMPZIPCreated with Sketch.ZIPXLSCreated with Sketch.XLSTXTCreated with Sketch.TXTPPTCreated with Sketch.PPTPNGCreated with Sketch.PNGPDFCreated with Sketch.PDFJPGCreated with Sketch.JPGGIFCreated with Sketch.GIFDOCCreated with Sketch.DOC Error Created with Sketch.
Frage

Attaques Ddos détectées depuis Public cloud

F
Von
Fruitos
Erstellungsdatum 2018-12-10 19:56:25 (edited on 2024-09-04 12:37:19) in Public Cloud OVHcloud

Bonjour à tous,

Cela fait 3 fois que je reçois ce genre de message du support OVH :
> Bonjour,

> Nous avons détecté une activité inhabituelle sur un de vos serveurs Cloud Public OVH (x.x.x.x).

> Afin de protéger notre infrastructure, et pour délivrer le meilleur service possible à nos clients, nous avons dû suspendre votre serveur.

> N'hésitez pas à contacter notre équipe support pour plus d'information.

> Voici les logs retournés par notre système :

> Attack detail : 3Kpps/77Mbps
> dateTime srcIp:srcPort dstIp:dstPort protocol flags packets bytes reason
> 2018.12.10 16:59:58 CET x.x.x.x:389 59.56.79.21:7614 UDP --- 16384 50970624 ATTACK:UDP
> 2018.12.10 16:59:58 CET x.x.x.x:389 59.56.79.21:23847 UDP --- 16384 50970624 ATTACK:UDP
> 2018.12.10 16:59:58 CET x.x.x.x:389 59.56.79.21:44083 UDP --- 16384 50970624 ATTACK:UDP
> 2018.12.10 16:59:58 CET x.x.x.x:389 59.56.79.21:14203 UDP --- 16384 50970624 ATTACK:UDP
> 2018.12.10 16:59:58 CET x.x.x.x:389 59.56.79.21:7614 UDP --- 16384 50970624 ATTACK:UDP
> 2018.12.10 16:59:58 CET x.x.x.x:389 59.56.79.21:34304 UDP --- 16384 50970624 ATTACK:UDP
> 2018.12.10 16:59:58 CET x.x.x.x:389 59.56.79.21:137 UDP --- 16384 50970624 ATTACK:UDP
> 2018.12.10 16:59:58 CET x.x.x.x:389 59.56.79.21:14203 UDP --- 16384 50970624 ATTACK:UDP
> 2018.12.10 16:59:58 CET x.x.x.x:389 59.56.79.21:137 UDP --- 16384 50970624 ATTACK:UDP
> 2018.12.10 16:59:58 CET x.x.x.x:389 59.56.79.21:44689 UDP --- 16384 50970624 ATTACK:UDP
> 2018.12.10 16:59:58 CET x.x.x.x:389 59.56.79.21:7614 UDP --- 16384 50970624 ATTACK:UDP
> 2018.12.10 16:59:58 CET x.x.x.x:389 59.56.79.21:28161 UDP --- 16384 50970624 ATTACK:UDP
> 2018.12.10 16:59:58 CET x.x.x.x:389 121.207.227.82:16282 UDP --- 16384 50970624 ATTACK:UDP
> 2018.12.10 16:59:58 CET x.x.x.x:389 121.207.227.82:8090 UDP --- 16384 50970624 ATTACK:UDP
> 2018.12.10 16:59:58 CET x.x.x.x:389 121.207.227.82:32494 UDP --- 16384 50970624 ATTACK:UDP
> 2018.12.10 16:59:58 CET x.x.x.x:389 121.207.227.82:16282 UDP --- 16384 50970624 ATTACK:UDP
> 2018.12.10 16:59:58 CET x.x.x.x:389 121.207.227.82:14476 UDP --- 16384 50970624 ATTACK:UDP
> 2018.12.10 16:59:58 CET x.x.x.x:389 121.207.227.82:42158 UDP --- 16384 50970624 ATTACK:UDP
> 2018.12.10 16:59:58 CET x.x.x.x:389 121.207.227.82:45499 UDP --- 16384 50970624 ATTACK:UDP
> 2018.12.10 16:59:58 CET x.x.x.x:389 121.207.227.82:32494 UDP --- 16384 50970624 ATTACK:UDP



> Cordialement,
> L'équipe OVH

Après discussion avec le support, je comprend que mon serveur "Public Cloud" est en train de réaliser des attaques en UDP vers des IPs externes...
Pourtant, j'ai démarré ce serveur il y a peu de temps (Windows 2016 server), j'y ai installé Active directory et créé quelques comptes (avec mot de passe très complexe), c'est tout, il n'est pas encore en production...
Avez-vous une idée de comment mon serveur peut lancer ces attaques? (il s'agit apparemment d'attaque Ddos) Mon serveur a été infecté? comment le savoir, comment le désinfecter et éviter que cela se reproduise?

En attendant, j'ai activer le firewall (qui ne l'était pas par défaut) et activer la mitigation permanente.

Merci bien pour votre aide.
Positive Bewertungen (0)
2507 Ansichten

Related questions

An Diskussion teilnehmen