Un comportement abusif (Intrusion)

IlianA · March 22, 2021, 11:14pm

Bonjour,

Je reçois depuis 2 semaines des mails du style :

> Un comportement abusif (Intrusion) provenant de votre VPS ******* nous a été rapporté ou a été constaté par nos équipes.
>
> Comme expliqué lors d'un précédent message, ce problème requiert une action immédiate de votre part.
> Dans le cas où l'abus constaté ne cesserait pas, nous serions dans l'obligation de suspendre votre service, conformément à nos conditions générales.
> Merci de répondre à cet e-mail en indiquant les mesures que vous avez prises pour faire cesser cet abus.

De plus, le serveur passe en mode rescrue, ce qui désactive tous les services.

Je n'ai aucune idée de quoi faire.

En vous remerciant.

janus57_1 · March 23, 2021, 4:17am

Bonjour,

c'est que votre serveur est utilisé comme relais pour faire des tentatives/intrusions sur d'autres serveurs.

Donc la mis en rescue est normale c'est pour que votre serveur arrête de faire ça et qu vous puissiez corriger le soucis.

Note : en théorie vous avez droit à 2 mise en rescue anti-hack, la troisième c'est la résiliation du service si cela n'a pas bougé.

Cordialement, janus57

IlianA · March 23, 2021, 7:03am

Bonjour Janus,

Merci pour la réponse.

Ai-je moyen d'obtenir plus d'informations ? Comment l'intrus s'est connecté (quel port, service), vers quel(s) site(s) les requêtes sont envoyée… ?

A mon échelle, je ne vois pas autre chose qu'un changement des règles pare-feu afin de bloquer le pirate, d'autres solutions ?

Bien cordialement,
Ilian

janus57_1 · March 23, 2021, 7:37pm

Bonjour,

Comment l'intrus s'est connecté (quel port, service)

là c'est à vous de regarder les logs du serveur pour trouver l'origine (mais je serait prêt à parier un site web, pas à jour sans doute).

Ai-je moyen d'obtenir plus d'informations ?

OVH devrais vous avoir envoyé les informations lors de la mise en mode rescue.

A mon échelle, je ne vois pas autre chose qu'un changement des règles pare-feu afin de bloquer le pirate, d'autres solutions ?

pas suffisant si le serveur est infecté/compromis.

Cordialement, janus57

MyriamS2 · March 24, 2021, 9:23am

Comme l'a dit Janus57, le plus probable, c'est un site web compromis.

Vérifiez les logs. Si vous avez un accès root, vous devriez vérifier l'historique qui vous donnera l'historique des commandes et les fichiers journaux dans /var/logs.

Baseline. Si vous disposez d'une baseline comme les hash de fichiers pour travailler avec les fichiers d'application et les fichiers système, cela vous aidera beaucoup. Vous pouvez également utiliser les sauvegardes pour comparer un état antérieur. Si vous utilisez une sauvegarde pour comparer des fichiers, utilisez-en une légèrement plus ancienne si possible. Le site peut avoir été compromis depuis un certain temps et ce n'est que maintenant que la redirection a été activée.

Vérifiez les includes. Les fichiers ne se trouvent peut-être pas sur votre serveur. Il peut s'agir d'inclusions de script telles que