SFTA26700 Posté 5 Février 2014 Partager Posté 5 Février 2014 Bonjour Dan, Ovh m'a redemarré mon autre serveur "non infogéré" en mode rescue, suite a un hack apparemment, j'ai un acces temporaire ssh + interface web pour faire des tests, ils m'envoient un bout de log 2014-02-05 10:09:44 2014-02-05 10:09:44 91.121.95.47:5917 22.0.59.12:50382014-02-05 10:09:46 2014-02-05 10:09:46 91.121.95.47:5917 22.0.108.87:50382014-02-05 10:09:46 2014-02-05 10:09:46 91.121.95.47:5917 22.0.108.165:50382014-02-05 10:09:48 2014-02-05 10:09:48 91.121.95.47:5917 22.0.135.223:50382014-02-05 10:09:48 2014-02-05 10:09:48 91.121.95.47:5917 22.0.149.105:50382014-02-05 10:09:48 2014-02-05 10:09:48 91.121.95.47:5917 22.0.149.246:50382014-02-05 10:09:53 2014-02-05 10:09:53 91.121.95.47:5917 22.0.227.30:50382014-02-05 10:09:54 2014-02-05 10:09:54 91.121.95.47:5917 22.1.2.12:50382014-02-05 10:09:55 2014-02-05 10:09:55 91.121.95.47:5917 22.1.17.225:50382014-02-05 10:09:56 2014-02-05 10:09:56 91.121.95.47:5917 22.1.25.221:50382014-02-05 10:09:55 2014-02-05 10:09:55 91.121.95.47:5917 22.1.13.161:5038 et puis celui la 2014-02-05 00:09:07 2014-02-05 00:09:07 91.121.95.47:37728 2.0.3.232:50382014-02-05 00:09:08 2014-02-05 00:09:08 91.121.95.47:37728 2.0.30.201:50382014-02-05 00:09:08 2014-02-05 00:09:08 91.121.95.47:37728 2.0.28.63:50382014-02-05 00:09:10 2014-02-05 00:09:10 91.121.95.47:37728 2.0.58.104:50382014-02-05 00:09:10 2014-02-05 00:09:10 91.121.95.47:37728 2.0.55.2:50382014-02-05 00:09:12 2014-02-05 00:09:12 91.121.95.47:37728 2.0.87.5:50382014-02-05 00:09:14 2014-02-05 00:09:14 91.121.95.47:37728 2.0.134.88:50382014-02-05 00:09:14 2014-02-05 00:09:14 91.121.95.47:37728 2.0.134.216:50382014-02-05 00:09:15 2014-02-05 00:09:15 91.121.95.47:37728 2.0.152.229:50382014-02-05 00:09:16 2014-02-05 00:09:16 91.121.95.47:37728 2.0.166.232:50382014-02-05 00:09:16 2014-02-05 00:09:16 91.121.95.47:37728 2.0.152.187:5038 j'ai a priori plusieurs ip d'attaques,sur le meme port je pensais blacklister toutes ces ip's dans iptables , apparemment ce serait cette commande là iptables -A INPUT -s 2.0.87.5 -j DROP c'est bon ca ? sinon pour fermer le port 5038 , ca serait ca ? iptables -A INPUT -p tcp --destination-port 5038 -j DROP je suis un peu pommé si je fais ces actions ca te parait correct ? Seb Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dan Posté 5 Février 2014 Partager Posté 5 Février 2014 Hello, Blacklister ces IPs ne te servirait à rien, vu qu'une IP change selon l'attaquant. Ce qu'il faut c'est trouver la cause de ce "hack"... et sa porte d'entrée. Tu as certainement un "sniffer" installé dans /tmp, /var/tmp ou n'importe quel répertoire dans lequel Apache peut écrire. Dan Lien vers le commentaire Partager sur d’autres sites More sharing options...
SFTA26700 Posté 5 Février 2014 Auteur Partager Posté 5 Février 2014 merci pour ces suggestions, trés sympa mon /tmp est vide, et var/tmp aussi, je vais checker les autres rep, pour toi il y a un script etranger qui s'execute sur mon serveur ? bon je vais chercher.. merci seb Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dan Posté 5 Février 2014 Partager Posté 5 Février 2014 Recherche avec "ls -a" dans /tmp et /var/tmp ... si tu as des fichiers/répertoires ajoutés, ils sont certainement cachés. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant