Serveur piraté, facture à payer ?

[Maverick78]

Bonjour @ tous.

J'm'explique. Y'a 2 mois, une personne (qui n'a pas été identifiée) à attaqué un de mes site web en envoyant environ 200.000 mails en 24h. Forcement le serveur à sauté et le site n'était plus en ligne (hebergement mutualisé, tous les autres non plus bien sur)

Mon problème c'est que mon hebergeur veux me facturer les (soit-disant) heures passées à supprimer les mails etc...

Je ne comprends pas en quoi ce serait à moi de payer, mais peut-être que je me trompe... Help !

Merci pour vos précisions

Stéphane

[Perrine]

Salut Maverick

Doit y avoir des clauses dans le contrat ... mais je trouve ton hébergeur un peu culotté quand même. D'autant plus que c'est un serveur mutualisé et que tu n'as donc aucun moyen d'installer quoi que ce soit dessus ... donc, tu ne peux décemment pas te défendre contre des quelconques attaques !

Je laisse la parole aux juristes mais si j'étais toi, je ne paierai pas

[Maverick78]

Je laisse la parole aux juristes mais si j'étais toi, je ne paierai pas

<{POST_SNAPBACK}>

Bien d'accord ! Allo les juristes?

Plus serieusement, ca commence à devenir un gros pb. J'ai déjà commandé un espace chez un autre prestataire mais les 48h d'activation sont longues...

[Maverick78]

Re bonjour

Suite (et fin je pense) de l'histoire :

L'hébergeur (que je cite : Cristal-Trace (Feusot sur ce forum)) m'a maintenant coupé definitivement l'accès et m'a promis une coupure des site ce soir.

Est-ce que quelqu'un en sait plus que moi et pourrais me conseiller? J'ai fait des sauvegarde bien sur, mais les bases mysql ne seront pas à jour et les mails non plus vu que je n'y ai plus accès.

Merci d'avance

[Dan]

Une question toutefois, pour essayer de déterminer à qui incombe la "faute" : quel soft/script a utilisé le spammeur pour envoyer ces 200 000 mails ? Un script que tu as installé ?

[Maverick78]

Une question toutefois, pour essayer de déterminer à qui incombe la "faute" : quel soft/script a utilisé le spammeur pour envoyer ces 200 000 mails ? Un script que tu as installé ?

<{POST_SNAPBACK}>

Salut

Alors ca, c'est une bonne question. Dans tout les cas, ce n'est pas un script que j'ai installé, mais je n'en sais pas plus.

Selon l'agence, les DNS étaient "non conforme" et c'est cela qui aurai permis l'attaque

???

Edit : ce ne sont pas 200.000 mails qui ont été envoyé mais 1.200.000 en 3 jours

Modifié 7 Décembre 2004 par Maverick78

[Dan]

Edit : ce ne sont pas 200.000 mails qui ont été envoyé mais 1.200.000 en 3 jours

Ca fait effectivement pas mal de trafic

Qu'appelent-ils "DNS non conformes" ? J'aimerais savoir

[Maverick78]

Salut Dan

Ben moi aussi j'aimerai savoir ce que sont ces dns...

Tout ce que je sais c'est que l'hebergeur m'a coupé le MySQL et que mon domaine sera actif demain chez le nouveau (Oxyd).

Je ne sais pas avec quel script les mails ont été envoyé. J'ai fait une "enquête" mais ca na pas donné grand chose. L'hébergeur m'a dit ne rien savoir.

Il nous reclame toujours une facture de frais techniques pour l'effacement des message et la responsabilité de ne pas avoir modifié les dns au bon moment. (ce qui n'est pas précisé dans le contract).

Ca te suffit comme précisions?

[Real_Creatif]

Si ce n'est pas indiscret, combien ton ex-hébergeur te réclame t-il ?

Et j'imagine qu'il ne te remboursera pas ton hébergement ?

[Dan]

Je ne sais pas avec quel script les mails ont été envoyé. J'ai fait une "enquête" mais ca na pas donné grand chose. L'hébergeur m'a dit ne rien savoir. 

S'il ne sait rien, comment peut-il affirmer que c'est bien au départ de ton compte alors ?

Mets-le en demeure de te fournir des éléments justificatifs à l'appui de sa facture !

Dan

[Anonymus]

Oui, sinon c'est ce qu'on appelle de la diffamation. T'accuser sans preuves, c'est une grossière erreur..

Demandes lui un papier comme quoi il te réclame de l'argent, avec l'explication adhéquate.

[cledunet]

C'est sur j vais me faire assassine,

il faut bien savoir que d'abord c'est un serveur dedie et donc par ce fait tu est entierment responsable du contenus mais aussi de ce que tu decide en terme de protection.

Si ton serveur est attaque c'est a toi de prendre les disposition pour que cela ne se produise pas. Il arrive souvent que par histoire d'economie on ne prends pas les option de protections. ce qui en soit est dommage surtout dans le cas qui t'es arrivé

l'hebergeur qui loue un dedie son role consiste au controle du flux entrant et sortant entre le datacenter et ton serveur.

Le fait que ton serveur a plante completement cela implique qu'il y est une intervention alors soit tu le fait de par toi meme, soit tu demande a ton hebergeur de le faire c'est ce que l'on appelle une infogerance c'est a dire tu demande a l'hebergeur d'intervenir sur ton serveur, et donc cela a un cout.

c'est le probleme des dedies, en fait avoir son serveur a soit a des avantages mais aussi de gros inconvenients.

maintenant ce que je trouve un peu exotiques comme comportement de ton hebergeur c'est qu'il ne te laisse pas au moins 72 heures le temps des sauvegardes et des transferts. Voire il pourrait meme t'aider.

Modifié 13 Décembre 2004 par cledunet

[ceb]

Cledunet, je suis bien d'accord avec toi dans le cadre d'un serveur dédié, mais là il s'agit selon le premier message de Maverick d'un hébergement mutualisé, donc tout ce qui touche à la sécurité du serveur sont bien du ressort de l'hébergeur.

Ensuite il y a bien sûr les risques liés aux scripts qui tournent sur le site et qui offrent généralement un certain nombre de failles exploitables.

Modifié 13 Décembre 2004 par ceb

[cledunet]

yyoohh moi j'avais compris que c'etait un dedie

alors dans ce cas si c'est un mutualise effectivement c'est a charge de l'hebergeur de s'occupait de la surveillance et de la securite du serveur ou se trouve les sites....

Par ailleurs, sans vouloir entrer dans une polemique a 2 sous... un hebergeur se doit d'etre en surveillance constante et il aurait du remarque (si il a les outis pour cela... exemple "Nagios" ) des le depart d'un probleme d'attaque.

Moi j'en ai subis une ce n'est pas pour cela que les sites on ete claques...

Donc la charge de la remise en service n'incombe pas au webmaster mais a celui qui a la responsabilite du serveur, dans le cas la c'est bien l'hebergeur, il auraiot dus prendre deja au prealable les dispositions securitaires pour eviter cela.

de toute facon pour qu'il y ai attaque il fallait donc avoir des ports ouverts, je doute fort qu'un webmaster installe un script permettant d'ouvrir des ports sans que l'hebergeur ne le remarque.

[Maverick78]

Salut @ tous

C'est bien un hébergement mutualisé... Je ne connait pas le montant de sa facture, mais en tout cas je n'ai pas de nouvelles de lui depuis 2 jours et je suis en train de migrer mes sites, donc de n'est plus très important.

J'repasserai quand l'histoire avancera !

@+

Maverick

[Maxim]

salut, j'aimerai savoir ou ça en est

[Ganf]

Je ne peux pas apporter grand chose mais je me permet de confirmer ce qui est dit plus haut :

- Sur un mutualisé on ne peut pas t'imputer quelque chose sur la sécurité du serveur. À la limite c'est toi qui est en droit d'attendre que ton hébergeur ait mis en place les filtres évidents pour palier une telle surcharge, et c'est éventuellement toi qui peut te plaindre si tu as eu une indisponnibilité trop importante. L'hébergeur ne pourra t'imputer que ce qui est ta responsabilité (ie des scripts mal concu coté sécurité, ou une configuration sur laquelle tu as la main qui est mal faite).

- Des heures pour effacer une surcharge de mail c'est clairement une facture pour un travail non réalisé. Une moulinette qui fait ça en automatique ne doit pas lui prendre une demi heure, à la limite une heure si il fait ça conscieusement (ce dont je doute fortement). Mais plus probablement ça lui a pris 2 minutes pour supprimer tous les mails en attente sur ton compte, ou 15 minutes pour récupérer le fichier de mail qui date de la dernière sauvegarde. T'imputer plus d'une heure pour ça c'est du pipeau.

D'ailleurs si sur son système 200.000 mails ça ne fait pas sauter le quota du compte, c'est que son système est en faute là aussi.

- Eventuellement, par contre, si l'hébergeur a mis des limites (même floues) dans le contrat, il serait en droit de te faire payer la surconsommation de réseau (200.000 mails ça ne doit pas faire une surconsommation de plus de 500Mo en bande passante, ça ne devrait pas être excessif) ou de mettre fin à ton contrat. Mais c'est à peu près tout ce qu'il peut faire (et encore, puisque la sécurité au niveau système est sa responsabilité).

- Quant à une mauvaise config DNS qui aurait "permis" le SPAM, c'est du délire aussi. Rien au niveau DNS ne peut empêcher le SPAM. Tout au plus tu aurai pu faire une mauvaise config DNS au niveau des MX et rendre difficile à certains de t'envoyer des mails, mais en rien ça n'aurait pu générer du SPAM. C'est de la mauvaise foi caractérisée et il sera bien à mal de te donner des détails techniques.

Fais lui faire une facture détaillée signalant explicitement chaque action réalisée par lui et la cause des actions. À partir de là :

- il a probablement fait des choses que tu n'as nullement demandé

- il cherche clairement d'après ce que tu dis à facturer des choses qui n'ont pas lieu d'être et si c'est par écrit c'est sur lui que ça peut se retourner.

[Maverick78]

Salut à tous

Maxim :

Le soucis c'est reglé... en changeant d'hébergeur.

Ganf:

>Quant à une mauvaise config DNS qui aurait "permis" le SPAM, c'est du délire aussi. >Rien au niveau DNS ne peut empêcher le SPAM. Tout au plus tu aurai pu faire une >mauvaise config DNS au niveau des MX et rendre difficile à certains de t'envoyer des >mails, mais en rien ça n'aurait pu générer du SPAM. C'est de la mauvaise foi >caractérisée et il sera bien à mal de te donner des détails techniques.

Bien d'accord avec toi. D'ailleur il ne m'en à pas donné lorsque je lui ai demandé. J'ai pas voulu rentrer dans la technique avec lui mais plutôt dans le contract en lui expliquant gentilement qu'il n'y avait pas de clause concernant le format des dns (surtout que les MX étaient bien configurées).

Pour sa facture "à la ***", je lui ai promis de pas la payer par recommandé, qu'il à refusé, donc je pense que le problème est enterré.

Merci @ tout le monde, ca fait plaisir un forum "adulte".

[destroyedlolo]

Maintenant que c'est fini, as-tu des informations exactes concernant la failles exploitee par les SPAMEUR (quelles failles, ce qu'elle rendait vulnerable, ce qu'ils ont fait). Ainsi que des infos sur la config du serveur (OS par exemple).

Ca pourrait etre utile a d'autres personnes

[Maverick78]

Des infos sur la faille exploitée, nan. Sur la config du serveur ouais, j'ai les archives chez moi je peux te dire ca.

Je repasserais ce soir.

[feusot]

Bonjour,

Alors :

Pour les DNS, si il y a redirection des DNS chez gandi, il y a impossibilité de stopper le flot de mails par larrêt du service au client.

Le nombre d'attaques : 4.

Pour les preuves, je dispose de lensemble des preuves utile.

J'ai demandé sur la dernière attaque au client de faire les changements des DNS, qu'il na pas cru utile de faire les changements immédiatement (4 jours).

Explication technique : les interventions sur les attaques, purge des mails en attente 200.000, interruption totale des services e-mail, pour l'ensemble des clients, rotation des interventions 2 x par jour.

D'autre part, le client était en accord avec moi pour mon intervention et de voir avec son client pour la répercussion de la facture.

Aujourd'hui : le client qui ici a pris la parole, n'as pas payé son hébergement et les sur coup de son manque de professionnalisme.

Je nai pas beaucoup de temps pour répondre et je vais revenir ici répondre à vos questions, je naime pas les gens de mauvaise foi et qui parte sans payer et qui ne réponde pas au téléphone, enfin qui c cache.

Bien à Vous

Feusot

[Ganf]

Ne prenez pas ça comme des attaques, je cherche à comprendre :

- Vous n'avez pas moyen de stopper l'acceptation d'une adresse mail individuelle par vous même ? Je parle là de demander à votre SMTP entrant de refuser les mails sur l'adresse qui pose problème (ou mieux, sur une empreinte du mail envoyé en X exemplaires). Au pire filtrer directement le SMTP source temporairement (mais vraiment à défaut d'autre chose)

- Pourquoi avez vous besoin de stopper complètement le service email pour tous les clients ?

Je ne sais pas comment le dire autrement mais merci de ne pas le prendre comme un reproche :

Je suis étonné que vous n'ayiez aucune protection classique contre le flood/spam ni aucune mesure de filtre pour palier ces éventualités, au point que vous en veniez à couper l'accès mail à l'ensemble des abonnés. Sur un mutualisé j'ai toujours considéré que la maintenance du système, les mesures de protection et les aléas réseau étaient du ressort de l'hébergeur. Je suis étonné qu'on facture au client un problème réseau ou système dont il n'est pas la source (il est concerné mais il est plus destination que source ici). Tout au plus ça motiverait un arrêt du service floodé *pour l'utilisateur en question* afin de ne pas perturber les autres, ou une rupture du contrat si la charge impliquée est disproportionnée par rapport au service offert.