Problème avec mon serveur dédié
J'utilise l'offre RISE-GAME-1
----------
Bonjour à toutes et à tous,
Je rencontre la problématique suivante, plusieurs fois par semaine je reçois des mails de abuse.ovh.net qui me dit que mon serveur se fait attaqué avec ce que j'ai l'impression de comprendre des tentatives de connexion à mon serveur en ssh.
Après ces tentatives j'ai une tâche qui est lancée que utilise une grande partie de mon CPU, je l'ai eu sur plusieurs user créer que j'ai supprimé par la suite mais la, il s'est mis sur le user Steam que j'utilise pour mes jeux.
Je sais pas si vous avez une solution pour m'aider à régler ce problème... ?
Merci d'avance !
CPU 100% watchdogg
Related questions
- Proxmox VM accès internet impossible
52203 
19.11.2016 12:11
- Spam et IP bloquée
49563 12.12.2016 11:53
- il y a quelqu'un ?
48165 15.12.2025 17:01
- Mise en place de VM avec IP publique sur Proxmox 6 [RESOLU]
47665 30.04.2020 17:12
- SSD NVMe Soft Raid ou SSD SATA Hard Raid
47266 29.06.2021 23:29
- Port 25 bloqué pour spam à répétition
44776 28.02.2018 13:39
- Mise à jour PHP sur Release 3 ovh
43820 11.03.2017 17:43
- Identification carte réseau
42351 05.12.2025 10:09
- Connection smtp qui ne marche plus : connect error 10060
42244 12.04.2019 10:10
- Partition sur le disque de l'OS ESXI
42090 09.05.2017 14:33
Bonjour,
Rassurez-nous: ce sont des users que vous aviez créés (et non que un pirate a créés) ??
Bonjour,
votre première capture n'est pas un mail venant de OVH, mais un mail venant d'un tiers indiquant que votre serveur est l'émetteur des attaques.
Votre serveur est infecté !
Cordialement, janus57
Bien vu, ça sautait au yeux. (je ne l'avais même pas regardée) !!
Si le pirate a créé des users, il est donc dieu après Dieu sur votre serveur, la seule solution c'est de réinstaller votre serveur vérolé, et le barricader mieux.
Ce sont bien des users créer par moi-même, j’avais fais un user que j’avais appelé max qui a été utilisé donc je l’ai supprimé pendant que c’était à cause de ça, et c’est revenu sur celui de steam.
Donc vous me conseillez de faire une sauvegarde de tout mes serveurs de refaire le serveur à partir de 0 ?
Dans ce cas c'est peut-être juste un de vos utilisateurs non privilégiés qui s'est fait pirater, et Linux offre une protection suffisante pour que le pirate qui a pris le contrôle de cet utilisateur ne devienne pas maître de votre serveur tout entier.
Il faudrait aller voir vos logs (auth.log par exemple) pour savoir quel user a été utilisé quand, et comparer avec les rapports de plaintes.
Il y a peut-être encore du matériel hostile (scripts d'attaque) dans le répertoire /home de cet utilisateur, ou bien dans /tmp ...
Tout dépend. Il y a des attaques (bruteforce notamment) qui te retrouve le pass root depuis un compte utilisateur.
Et ça peut aller assez vite, j'avais testé avec "john the ripper" (il y a une 15 aines d'années certe) et j'avais été très surpris de la rapidité pour trouver un mot de passe.
Sinon un bon scanner d'audit sécu : lynis
Rkhunter peut encore trouver des trucs également.
@DorianD8 à ta place je réinstallerai depuis le début. Conserve tes log pour trouver la faille car si elle est encore présente tu y aura de nouveau droit.
Le serveur était à jour ?
Je vais être honnête avec vous, j’ai très peu de compétence dans ce domaine, j’aimerais m’améliorer mais avec le boulot à côté c’est compliqué.
J’utilise principalement le serveur dédié pour me faire des serveurs Minecraft et d’autres jeux, donc moi en priorité récupérer les saves des jeux, le restant je m’en fiche un peu donc si c’est la meilleure solution de tout supprimer ça ne me dérange pas, après si y’a d’autres solutions pour éviter ça, je prend aussi.
Bonjour,
en faite là vous avez reçus un avertissement gentil qui dit que votre serveur fait du bruteforce.
Du coup là vous avez 2 solution :
1 - Vous savez comment nettoyer l'infection et prévenir sont apparition (== avoir recherché le point d'entré)
2 - Vous recommencez tout à zéro sur une base saine.
Car le prochaine étape de OVH va être de couper purement et simplement votre serveur.
Cordialement, janus57