|
thomas33
|
Membre
Inscrit le : 08/05/2007
|
# Le 21/12/2010 à 15:05
Bonjour,
ovh vient de désactiver un de mes dédiés suite à une attaque en provenance de mon serveur. Je fais de la virtualisation dessus via proxmox.
Dans le rapport ont m'indique l'ip source de l'attaque, cependant cette ip correspond à un kimsufi qui ne m'appartient pas.
Es-ce vraiment possible de modifier son ip pour effectué une attaque ? Et comment identifier la véritable ip source ?
Merci d'avance |
|
caaptusss
| Jérémy
Membre
Inscrit le : 25/09/2007
|
# Le 21/12/2010 à 15:49
Tu peux mettre le rapport en [ code ] ici ? FirstHeberg.com |
|
thomas33
| Thomas
Membre
Inscrit le : 08/05/2007
|
# Le 21/12/2010 à 15:54
Dec 20 20:00:44 kernel: [NEW FLOOD 7777] : IN=eth0 OUT=
MAC=00:25:90:06:6d:be:ec:30:91:e0:df:80:08:00
SRC=91.121.208.201 DST=188.165.227.19
+LEN=92 TOS=0x00 PREC=0x00 TTL=61 ID=41833 DF PROTO=UDP
SPT=33536 DPT=7777 LEN=72
Dec 20 20:00:44 kernel: [NEW FLOOD 7777] : IN=eth0 OUT=
MAC=00:25:90:06:6d:be:ec:30:91:e0:df:80:08:00
SRC=91.121.208.201 DST=188.165.227.19
+LEN=92 TOS=0x00 PREC=0x00 TTL=61 ID=41834 DF PROTO=UDP
SPT=33536 DPT=7777 LEN=72
Dec 20 20:00:45 kernel: [NEW FLOOD 7777] : IN=eth0 OUT=
MAC=00:25:90:06:6d:be:ec:30:91:e0:df:80:08:00
SRC=91.121.208.201 DST=188.165.227.19
+LEN=92 TOS=0x00 PREC=0x00 TTL=61 ID=22673 DF PROTO=UDP
SPT=33536 DPT=7777 LEN=72
|
|
caaptusss
| Jérémy
Membre
Inscrit le : 25/09/2007
|
# Le 21/12/2010 à 15:57
91.121.208.201, c'est toi ?
Ou 188.165.227.19 ? FirstHeberg.com |
|
thomas33
| Thomas
Membre
Inscrit le : 08/05/2007
|
# Le 21/12/2010 à 15:58
Aucune des deux. Un tech ma dit que les hackeurs pouvais modifier l'adresse ip en sortie... |
|
Bool
| Olivier
Modérateur
Inscrit le : 09/05/2005
|
# Le 21/12/2010 à 15:58
et MAC=00:25:90:06:6d:be:ec:30:91:e0:df:80:08:00, c'est pas toi ?
(ifconfig)
edit : pourquoi elle est si longue cette MAC ? :S daevel : infogérance et conseil || moi |
|
caaptusss
| Jérémy
Membre
Inscrit le : 25/09/2007
|
# Le 21/12/2010 à 15:59
Oui, ça ressemble à du vol de MAC mais ça ne devrait pas être faisable sur les routeurs il me semble, non, Bool ? FirstHeberg.com |
|
thomas33
| Thomas
Membre
Inscrit le : 08/05/2007
|
# Le 21/12/2010 à 16:00
salut Bool, non ce n'est pas à moi non plus. |
|
Bool
| Olivier
Modérateur
Inscrit le : 09/05/2005
|
# Le 21/12/2010 à 16:03
J'ai pas parlé de vol de MAC, mais si OVH indique que le paquet vient de chez toi, avec des IP forgées, j'ose espérer que c'est au moins ton adresse MAC...
Et c'est quoi justement ton adresse MAC ? Et OpenVZ, il crée pas des cartes réseaux virtuelles non plus ? daevel : infogérance et conseil || moi |
|
thomas33
| Thomas
Membre
Inscrit le : 08/05/2007
|
# Le 21/12/2010 à 16:07
Voila ce que me donne ifconfig :
root@Tunk:~# ifconfig
dummy0 Link encap:Ethernet HWaddr 9a:b5:18:6b:92:2d
adr inet6: fe80::98b5:18ff:fe6b:922d/64 Scope:Lien
UP BROADCAST RUNNING NOARP MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:9 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:0 (0.0 B) TX bytes:678 (678.0 B)
eth0 Link encap:Ethernet HWaddr 00:25:90:13:b2:ec
adr inet6: fe80::225:90ff:fe13:b2ec/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:10788 errors:0 dropped:0 overruns:0 frame:0
TX packets:6659 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:8964366 (8.5 MiB) TX bytes:1480147 (1.4 MiB)
Mémoire:febe0000-fec00000
lo Link encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:2171 errors:0 dropped:0 overruns:0 frame:0
TX packets:2171 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:2616963 (2.4 MiB) TX bytes:2616963 (2.4 MiB)
venet0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
veth110.0 Link encap:Ethernet HWaddr 00:18:51:af:26:a6
adr inet6: fe80::218:51ff:feaf:26a6/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:8 errors:0 dropped:0 overruns:0 frame:0
TX packets:310 errors:0 dropped:2861 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:408 (408.0 B) TX bytes:38861 (37.9 KiB)
veth131.0 Link encap:Ethernet HWaddr 00:18:51:c2:be:ab
adr inet6: fe80::218:51ff:fec2:beab/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:75 errors:0 dropped:0 overruns:0 frame:0
TX packets:372 errors:0 dropped:2656 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:5652 (5.5 KiB) TX bytes:41949 (40.9 KiB)
vmbr0 Link encap:Ethernet HWaddr 00:25:90:13:b2:ec
inet adr:188.165.228.171 Bcast:188.165.228.255 Masque:255.255.255.0
adr inet6: fe80::225:90ff:fe13:b2ec/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:2119 errors:0 dropped:0 overruns:0 frame:0
TX packets:2065 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:286234 (279.5 KiB) TX bytes:687181 (671.0 KiB)
vmbr1 Link encap:Ethernet HWaddr 9a:b5:18:6b:92:2d
adr inet6: fe80::98b5:18ff:fe6b:922d/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:0 (0.0 B) TX bytes:468 (468.0 B)
vmtab112i0d0 Link encap:Ethernet HWaddr da:5c:87:08:09:17
adr inet6: fe80::d85c:87ff:fe08:917/64 Scope:Lien
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:80 errors:0 dropped:0 overruns:0 frame:0
TX packets:2854 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:500
RX bytes:11887 (11.6 KiB) TX bytes:458498 (447.7 KiB)
vmtab118i0d0 Link encap:Ethernet HWaddr 8a:04:d1:90:32:fe
adr inet6: fe80::8804:d1ff:fe90:32fe/64 Scope:Lien
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:55 errors:0 dropped:0 overruns:0 frame:0
TX packets:2866 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:500
RX bytes:8815 (8.6 KiB) TX bytes:463434 (452.5 KiB)
vmtab126i0d0 Link encap:Ethernet HWaddr 66:7b:cd:dc:55:ed
adr inet6: fe80::647b:cdff:fedc:55ed/64 Scope:Lien
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:55 errors:0 dropped:0 overruns:0 frame:0
TX packets:2863 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:500
RX bytes:8795 (8.5 KiB) TX bytes:463136 (452.2 KiB)
vmtab132i0d0 Link encap:Ethernet HWaddr c6:cc:17:05:fb:04
adr inet6: fe80::c4cc:17ff:fe05:fb04/64 Scope:Lien
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:58 errors:0 dropped:0 overruns:0 frame:0
TX packets:2875 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:500
RX bytes:7763 (7.5 KiB) TX bytes:462440 (451.6 KiB)
vmtab133i0d0 Link encap:Ethernet HWaddr 72:1f:1e:66:9e:cc
adr inet6: fe80::701f:1eff:fe66:9ecc/64 Scope:Lien
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:4257 errors:0 dropped:0 overruns:0 frame:0
TX packets:8531 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:500
RX bytes:771858 (753.7 KiB) TX bytes:8619482 (8.2 MiB)
vmtab135i0d0 Link encap:Ethernet HWaddr 6e:26:a4:08:8c:03
adr inet6: fe80::6c26:a4ff:fe08:8c03/64 Scope:Lien
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:84 errors:0 dropped:0 overruns:0 frame:0
TX packets:2857 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:500
RX bytes:12893 (12.5 KiB) TX bytes:458207 (447.4 KiB)
Dans les VMAC c'est pareil, j'ai rien du tout. Tout le trafic passe par vmbr0 pour les vms. |
|
Bool
| Olivier
Modérateur
Inscrit le : 09/05/2005
|
# Le 21/12/2010 à 16:20
eth0 Link encap:Ethernet HWaddr 00:25:90:13:b2:ec
Donc c'est bien ta machine. daevel : infogérance et conseil || moi |
|
Bool
| Olivier
Modérateur
Inscrit le : 09/05/2005
|
# Le 21/12/2010 à 16:24
MAC=00:25:90:06:6d:be:ec
erf, je sens que le gars d'OVH a lu trop vite, tout comme moi. Ta MAC est proche, mais ce n'est pas la même non, mea culpa.
daevel : infogérance et conseil || moi |
|
thomas33
| Thomas
Membre
Inscrit le : 08/05/2007
|
# Le 21/12/2010 à 16:28
Aie...
Tu vois un lien entre 00:25:90:13:b2:ec et 00:25:90:06:6d:be:ec:30:91:e0:df:80:08:00 ?
Y'a t'il un moyen de remonté jusqu'à la vm qui attaque?
|
|
thomas33
| Thomas
Membre
Inscrit le : 08/05/2007
|
# Le 21/12/2010 à 16:33
... D'un côté ca me rassure.
Donc il ont désactivé mon serveur pour rien ?  |
|
Bool
| Olivier
Modérateur
Inscrit le : 09/05/2005
|
# Le 21/12/2010 à 16:42
Je ne sais pas si c'est "pour rien", mais leur rapport ne donne aucune preuve que ce soit ton serveur. Essaye d'en demander plus. daevel : infogérance et conseil || moi |
|
superfc
| Florent
Membre
Inscrit le : 01/07/2006
|
# Le 21/12/2010 à 22:14
Oui, une adresse MAC se falsifie aussi facilement qu'une adresse IP. Niveau switch ethernet, il est possible de définir un verrouillage de l'adresse MAC sur chaque port et ainsi bloquer les serveurs qui falsifieraient leur adresse MAC mais je ne pense pas que grand monde le fasse.
Florent Clairambault - http://florent.clairambault.fr
Gtalk : superfc@gmail.com |
|
thomas33
| Thomas
Membre
Inscrit le : 08/05/2007
|
# Le 21/12/2010 à 22:17
Ok merci de l'info. J'ai toujours pas retour d'info de la part d'ovh.
Donc pour remonter sur la véritable adresse mac ou ip, ca devient assez complexe si je comprend bien?
|
|
superfc
| Florent
Membre
Inscrit le : 01/07/2006
|
# Le 21/12/2010 à 22:51
Si c'est complexe c'est qu'ils n'ont pas bien pensé leur architecture et de toute façon c'est à eux de justifier que c'est ton serveur qui a réalisé l'attaque et pas à toi à prouver que tu es innocent.
On parle d'attaque par flood là, donc il y a des chances qu'un trafic anormalement important soit visible sur ton serveur et sur leur système de monitoring.
(Message édité le 21-12-2010 à 23h21 par superfc) Florent Clairambault - http://florent.clairambault.fr
Gtalk : superfc@gmail.com |
|
thomas33
| Thomas
Membre
Inscrit le : 08/05/2007
|
# Le 21/12/2010 à 23:02
Exact je n'ai même pas pensé à vérifier la base. Il y a beaucoup de trafic sortant (400Mb/s) a partir de 20 heures hier et ça à duré quelques heures...
Merci pour tes infos.
edit : j'ai juste tapé l'ip source indiqué par les logs sur google et je suis tombé la dessus : http://www.subdd.fr/
c'est étrange.
(Message édité le 21-12-2010 à 23h56 par thomas33) |
|
thomas33
| Thomas
Membre
Inscrit le : 08/05/2007
|
# Le 22/12/2010 à 21:14
Les réponses d'ovh tombent au compte gouttes... et n'ont pas vraiment de rapport.
Bonjour,
Votre serveur subit des attaques a répétition, nous ne pouvons pas rester sans agir, il y a sans doute certains de vos clients qui ont une activité qui indirectement provoque ces attaques .
Cordialement, Maxime D.
|