help dns merdique chez ovh

16 réponses

Auteur	Message
Crindor \| Anonyme Inscrit le : 19/06/2005	# Le 30/07/2008 à 23:23 Sur notre serveur dédié chez ovh on a bien une dizaine de sites. Depuis plusieurs semaines il arrive parfois qu'un seul de ces sites pointe par moment sur webmail.ovh.net. C'était un site qui était en hébergement mutualisé que l'on a intégré sur notre serveur avec le changement de dns qui vont bien. On a encore eu le problème aujourd'hui et j'ai envoyé un mail à ovh. J'ai reçu une réponse très rapide qui me semble être une réponse automatique ou le hasard a fait que les mails se sont croisés. Voici la réponse: "Madame, Monsieur, Une faille dans les serveurs DNS a été récemment découverte et publiée en ligne. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-... Mardi, au cours d'une vérification, nous avons détecté que votre serveur nsxxxxx.ovh.net était vulnérable à celle-ci. Son exploitation pouvant avoir des conséquences graves sur les sites webs et autres services hébergés sur votre serveur. Nous vous recommandons instamment de mettre à jour votre système d'exploitation. - si vous êtes sous la Release 1 ou 2, executez le patch-all: wget ftp://ftp.ovh.net/made-in-ovh/release/patch-all.sh -O patch-all.sh; sh patch-all.sh - si vous êtes en Debian/Ubuntu, utilisez apt-get pour mettre à jour votre système. - si vous êtes en Gentoo, utilisez emerge pour mettre à jour votre système. - si vous êtes en Fedora/CentOS, utilisez yum pour mettre à jour votre système. - si vous êtes en Suse, utilisez yast pour mettre à jour votre système. - si vous êtes en Plesk 8.4 (CentOS), utilisez yum pour mettre à jour votre système. - si vous êtes en Plesk 8.0 (Fedora Core 4), vous n'êtes pas vulnérable à la faille - si vous n'avez pas changé manuellement la configuration de bind. En cas de doute créez un ticket incident. - si vous êtes en Plesk 7.5.4 (Fedora Core 2), déclarez un incident pour que nous mettions à jour votre système. Si vous avez un problème pendant votre mise à jour, n'hésitez pas à créer un ticket incident. Si vous avez corrigé le problème entre temps, merci de ne pas tenir compte de ce message. Cordialement, Service Client OVH Perso, je ne comprends rien à leur délire. Je lis ceci dans mon manager:" Red Hat Linux release 7.2 (Enigma)" C'est quoi le patch que je dois lancer ? Caaptusss qui semble être un spécialiste ovh, t'as pas une idée à me soumettre ?
ultrajoe \| Jérôme Membre Inscrit le : 16/07/2008	# Le 30/07/2008 à 23:46 Crindor a dit : Perso, je ne comprends rien à leur délire. Je lis ceci dans mon manager:" Red Hat Linux release 7.2 (Enigma)" C'est quoi le patch que je dois lancer ? Caaptusss qui semble être un spécialiste ovh, t'as pas une idée à me soumettre ? T'es en release 1 je pense avec une red hat 7.2
SquawK \| Blabla Modérateur Inscrit le : 09/05/2005	# Le 31/07/2008 à 00:01 ouai tu peux faire un patch all si t'as pas modifié. Mais je doute du rapport entre la faille et ton problème si ça pointe de temps en temps sur webmail.ovh.net... ça date de quand le changement de DNS ? moi je dirais que ça vient de ton FAI et que ça va s'arrêter si le changement date de quelques jours... Comparatif pc portable
caaptusss \| Jérémy Membre Inscrit le : 25/09/2007	# Le 31/07/2008 à 00:16 A priorit, si ils t'ont envoyés le mail, c'est que bind n'est pas à jour, donc à tout hasard, je te conseille en effet d'appliquer le patch de la release 1. Si tu ne l'a jamais fait, je te conseille vivement de faire un backup du fichier de conf de php, apache, mysql et bind. En effet, selon les versions de ton système et du dernier patch, certaines application vont être bouleversées. Une fois fait, il faudra vérifier si tu a toujours ce bug. Ca peut en effet venir de ton FAI, mais également de ton serveur, ou d'un relay entre ton FAI et ton serveur qui ne se fait pas. A priorit, il faut faire le test sur plusieurs configurations différentes. Je t'invite aussi à tester via OpenDNS pendant quelques jours. FirstHeberg.com
Bool \| Olivier Modérateur Inscrit le : 09/05/2005	# Le 31/07/2008 à 00:17 Et sinon c'est quoi le domaine en question qu'on puisse regarder la config ? (ou simplement passer un coup de DNSreport) daevel : infogérance et conseil \|\| moi
dbonin \| David Membre Inscrit le : 06/07/2006	# Le 31/07/2008 à 00:30 Un client m'a transférer le mail d'OVH, son serveur tourne avec une vieille config Red Hat 7.2 aussi. Je me demande si ça vaut le coup d'installer le patch, c'est à dire prendre le temps de le faire, en prenant des risques vu que je n'ai jamais fait la manip... alors que je ne suis pas là pour ça et qu'il n'y a pas eu de souci constaté jusqu'à présent Évolution Web \| Redirection \| PageRank
caaptusss \| Jérémy Membre Inscrit le : 25/09/2007	# Le 31/07/2008 à 00:31 Bah la chose c'est qu'il faut une configue assez spécifique pour être vulnérable d'après ce que j'ai testé de mon coté. Personnellement, bind tourne sur tous mes serveurs, mais il n'est pas utilisé pour quoi que ce soit, et je me demande si je ne vais pas bloquer tout simplement les ports DNS pour être définitivement tranquille... FirstHeberg.com
Bool \| Olivier Modérateur Inscrit le : 09/05/2005	# Le 31/07/2008 à 00:49 Caaptuss : si bind ne te sert pas, pourquoi le conserves tu ? C'est un soft sensible, qui a connu de nombreuses failles de sécurité... c'est prendre un risque inutile. Et de manière générale si tu ne t'en sers pas de l'extérieur, pourquoi le laisses tu ouvrir les ports ? Généralement on fait l'inverse, on ouvre que quand on en a besoin. Comme pour le firewall d'ailleurs. daevel : infogérance et conseil \|\| moi
caaptusss \| Jérémy Membre Inscrit le : 25/09/2007	# Le 31/07/2008 à 00:53 Ouaip, mais j'ai pas la patience de fuiner dans les config d'ovh, surtout si tu applique les patch des release, ça fou tout en l'air après... C'est certain que si j'avais le temps de m'en occuper, ça serais fait depuis longtemps. J'ai peur de faire comme beaucoup de monde : Remettre au lendemain ce qui aurais du être fait hier. Jusqu'au jour ou ça pete... FirstHeberg.com
mirage \| Vincent Modérateur Inscrit le : 04/05/2005	# Le 31/07/2008 à 09:37 caaptusss a dit : Ouaip, mais j'ai pas la patience de fuiner dans les config d'ovh, surtout si tu applique les patch des release, ça fou tout en l'air après... D'où l'utilité de ne pas utiliser les distrib "prêtes à emploi", CQFD.
krucial \| Jean Christophe Administrateur Inscrit le : 09/03/2005	# Le 31/07/2008 à 10:20 Sur certaines de mes debian, les aptitude update/grade n'a pas upgradé bind ... Oblig de faire un remove bind9 puis un nouvel install. Bizarre ! JC - Mes sites \| Affiliation devis travaux \| Cotes voitures anciennes
Crindor \| Anonyme Inscrit le : 19/06/2005	# Le 31/07/2008 à 18:51 dites moi ce que vous voyez là http://www.c-tendance.com mon FAI est Orange et je vois le webmail au moment où j'écris Stéphane de OVH m'a répondu "Re-configurer le serveur secondaire déclaré dans le serveur de nom de domaine du serveur dédié et le problème sera précisément résolu. " Il prétend que le serveur secondaire déclaré est ns.ovh.net et non sdns1.ovh.net
caaptusss \| Jérémy Membre Inscrit le : 25/09/2007	# Le 31/07/2008 à 18:54 J'ai bien ton site et non le webmail (via Free) Il doit bien s'agir donc d'une désynchronisation du DNS d'Orange par rapport à ton domaine. Tu as quoi en DNS 1 et 2 actuellement ? FirstHeberg.com
Julgates \| Julien Administrateur Inscrit le : 09/03/2005	# Le 31/07/2008 à 18:59 dob a dit : J'ai reçu le mail OVH sur un de mes debian, je pense que j'avais juste oublié de restarter bind après l'upgrade... Idem Il manquait un petit outil simple à utiliser pour tester si le serveur DNS est vulnérable ou est à jour. Le voici: http://travaux.ovh.net/dns/ Il s'agit d'un outil public que vous pouvez utiliser directement en ligne de commande: # dig +short porttest.dns-oarc.net TXT @<ip à tester> Vous avez le résultat au bout de 4-5 secondes. Shopping Time Network - Founder / CTO
MathieuC \| Mathieu Modérateur Inscrit le : 15/07/2005	# Le 31/07/2008 à 18:59 le secondaire est bien sdns1.ovh.net, mais celui ci refuse de repondre pour le NDD, donc y'a un souci
Crindor \| Anonyme Inscrit le : 19/06/2005	# Le 31/07/2008 à 19:16 Le domaine n'avait pas le même nic-handle administrateur que celui du serveur. Je viens de mettre le même car j'ai cru voir que cela pouvait poser un soucis. Sinon je pointe bien le NDD vers nsmachine en primaire et sdns1.ovh.net en secondaire ( pour la petite histoire j'ai des vieux ndd qui pointent vers DNS 2 ns.ovh.net et des plus récents qui pointent vers DNS 2 sdns1.ovh.net sans que cela pose le moindre problème, j'ai juste ce NDD là qui merde. Il est pourtant migré depuis plusieurs mois alors qu'un autre qui a été migré récemment fonctionne sans problème) Côté serveur dns 1 est forcément nsmachine, mais où voit on dns 2 du serveur ?
Crindor \| Anonyme Inscrit le : 19/06/2005	# Le 31/07/2008 à 19:32 Je crois que j'ai compris ce que voulait dire Stephane le NDD pointe bien vers DNS 2 sdns1.ovh.net Je suis allé dans Webmin/serveurs/serveurs de noms de domaine bind/zones dns existantes/serveur de noms/ le domaine qui merde et là oooh surprise, je vois DNS 2 ns.ovh.net je viens de modifier le truc mais je crois qu'il attendre cette nuit car j'ai cru comprendre que les prises en compte se faisaient une fois par jour dans la nuit. Pourtant à midi çà marchait nickel mais je crois que çà doit perturber Orange de temps en temps

Auteur

Message

Inscrit le : 19/06/2005

# Le 30/07/2008 à 23:23

Sur notre serveur dédié chez ovh on a bien une dizaine de sites. Depuis plusieurs semaines il arrive parfois qu'un seul de ces sites pointe par moment sur webmail.ovh.net.
C'était un site qui était en hébergement mutualisé que l'on a intégré sur notre serveur avec le changement de dns qui vont bien.
On a encore eu le problème aujourd'hui et j'ai envoyé un mail à ovh. J'ai reçu une réponse très rapide qui me semble être une réponse automatique ou le hasard a fait que les mails se sont croisés.
Voici la réponse:
"Madame, Monsieur,

Une faille dans les serveurs DNS a été récemment découverte et publiée en ligne.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-...

Mardi, au cours d'une vérification, nous avons détecté que votre
serveur nsxxxxx.ovh.net était vulnérable à celle-ci.
Son exploitation pouvant avoir des conséquences graves sur les sites webs et autres services hébergés sur votre serveur.

Nous vous recommandons instamment de mettre à jour votre système d'exploitation.

- si vous êtes sous la Release 1 ou 2, executez le patch-all:
wget ftp://ftp.ovh.net/made-in-ovh/release/patch-all.sh -O patch-all.sh;
sh patch-all.sh
- si vous êtes en Debian/Ubuntu, utilisez apt-get pour mettre à jour votre système.
- si vous êtes en Gentoo, utilisez emerge pour mettre à jour votre système.
- si vous êtes en Fedora/CentOS, utilisez yum pour mettre à jour votre système.
- si vous êtes en Suse, utilisez yast pour mettre à jour votre système.
- si vous êtes en Plesk 8.4 (CentOS), utilisez yum pour mettre à jour votre système.
- si vous êtes en Plesk 8.0 (Fedora Core 4), vous n'êtes pas vulnérable à la faille
- si vous n'avez pas changé manuellement la configuration de bind. En cas de doute
créez un ticket incident.
- si vous êtes en Plesk 7.5.4 (Fedora Core 2), déclarez un incident pour que nous mettions
à jour votre système.

Si vous avez un problème pendant votre mise à jour, n'hésitez pas à créer un ticket
incident.

Si vous avez corrigé le problème entre temps, merci de ne pas tenir
compte de ce message.

Cordialement,
Service Client OVH

Perso, je ne comprends rien à leur délire. Je lis ceci dans mon manager:" Red Hat Linux release 7.2 (Enigma)"
C'est quoi le patch que je dois lancer ?
Caaptusss qui semble être un spécialiste ovh, t'as pas une idée à me soumettre ?

ultrajoe | Jérôme
Membre

Inscrit le : 16/07/2008

# Le 30/07/2008 à 23:46

Crindor a dit :
Perso, je ne comprends rien à leur délire. Je lis ceci dans mon manager:" Red Hat Linux release 7.2 (Enigma)"
C'est quoi le patch que je dois lancer ?
Caaptusss qui semble être un spécialiste ovh, t'as pas une idée à me soumettre ?

T'es en release 1 je pense avec une red hat 7.2

SquawK | Blabla
Modérateur

Inscrit le : 09/05/2005

# Le 31/07/2008 à 00:01

ouai tu peux faire un patch all si t'as pas modifié. Mais je doute du rapport entre la faille et ton problème si ça pointe de temps en temps sur webmail.ovh.net...

ça date de quand le changement de DNS ? moi je dirais que ça vient de ton FAI et que ça va s'arrêter si le changement date de quelques jours...

Comparatif pc portable

caaptusss | Jérémy
Membre

Inscrit le : 25/09/2007

# Le 31/07/2008 à 00:16

A priorit, si ils t'ont envoyés le mail, c'est que bind n'est pas à jour, donc à tout hasard, je te conseille en effet d'appliquer le patch de la release 1. Si tu ne l'a jamais fait, je te conseille vivement de faire un backup du fichier de conf de php, apache, mysql et bind.

En effet, selon les versions de ton système et du dernier patch, certaines application vont être bouleversées.

Une fois fait, il faudra vérifier si tu a toujours ce bug. Ca peut en effet venir de ton FAI, mais également de ton serveur, ou d'un relay entre ton FAI et ton serveur qui ne se fait pas.
A priorit, il faut faire le test sur plusieurs configurations différentes. Je t'invite aussi à tester via OpenDNS pendant quelques jours.

FirstHeberg.com

Bool | Olivier
Modérateur

Inscrit le : 09/05/2005

# Le 31/07/2008 à 00:17

Et sinon c'est quoi le domaine en question qu'on puisse regarder la config ? (ou simplement passer un coup de DNSreport)

daevel : infogérance et conseil || moi

dbonin | David
Membre

Inscrit le : 06/07/2006

# Le 31/07/2008 à 00:30

Un client m'a transférer le mail d'OVH, son serveur tourne avec une vieille config Red Hat 7.2 aussi.

Je me demande si ça vaut le coup d'installer le patch, c'est à dire prendre le temps de le faire, en prenant des risques vu que je n'ai jamais fait la manip... alors que je ne suis pas là pour ça et qu'il n'y a pas eu de souci constaté jusqu'à présent

Évolution Web | Redirection | PageRank

caaptusss | Jérémy
Membre

Inscrit le : 25/09/2007

# Le 31/07/2008 à 00:31

Bah la chose c'est qu'il faut une configue assez spécifique pour être vulnérable d'après ce que j'ai testé de mon coté.

Personnellement, bind tourne sur tous mes serveurs, mais il n'est pas utilisé pour quoi que ce soit, et je me demande si je ne vais pas bloquer tout simplement les ports DNS pour être définitivement tranquille...

FirstHeberg.com

Bool | Olivier
Modérateur

Inscrit le : 09/05/2005

# Le 31/07/2008 à 00:49

Caaptuss : si bind ne te sert pas, pourquoi le conserves tu ? C'est un soft sensible, qui a connu de nombreuses failles de sécurité... c'est prendre un risque inutile.

Et de manière générale si tu ne t'en sers pas de l'extérieur, pourquoi le laisses tu ouvrir les ports ? Généralement on fait l'inverse, on ouvre que quand on en a besoin. Comme pour le firewall d'ailleurs.

daevel : infogérance et conseil || moi

caaptusss | Jérémy
Membre

Inscrit le : 25/09/2007

# Le 31/07/2008 à 00:53

Ouaip, mais j'ai pas la patience de fuiner dans les config d'ovh, surtout si tu applique les patch des release, ça fou tout en l'air après...

C'est certain que si j'avais le temps de m'en occuper, ça serais fait depuis longtemps. J'ai peur de faire comme beaucoup de monde : Remettre au lendemain ce qui aurais du être fait hier. Jusqu'au jour ou ça pete...

FirstHeberg.com

mirage | Vincent
Modérateur

Inscrit le : 04/05/2005

# Le 31/07/2008 à 09:37

caaptusss a dit :
Ouaip, mais j'ai pas la patience de fuiner dans les config d'ovh, surtout si tu applique les patch des release, ça fou tout en l'air après...

D'où l'utilité de ne pas utiliser les distrib "prêtes à emploi", CQFD.

krucial | Jean Christophe
Administrateur

Inscrit le : 09/03/2005

# Le 31/07/2008 à 10:20

Sur certaines de mes debian, les aptitude update/grade n'a pas upgradé bind ... Oblig de faire un remove bind9 puis un nouvel install. Bizarre !

JC - Mes sites | Affiliation devis travaux | Cotes voitures anciennes

Crindor |
Anonyme

Inscrit le : 19/06/2005

# Le 31/07/2008 à 18:51

dites moi ce que vous voyez là
http://www.c-tendance.com
mon FAI est Orange et je vois le webmail au moment où j'écris

Stéphane de OVH m'a répondu "Re-configurer le serveur secondaire déclaré dans le serveur de nom de domaine du serveur dédié et le problème sera précisément résolu. "

Il prétend que le serveur secondaire déclaré est ns.ovh.net et non sdns1.ovh.net

caaptusss | Jérémy
Membre

Inscrit le : 25/09/2007

# Le 31/07/2008 à 18:54

J'ai bien ton site et non le webmail (via Free)
Il doit bien s'agir donc d'une désynchronisation du DNS d'Orange par rapport à ton domaine.

Tu as quoi en DNS 1 et 2 actuellement ?

FirstHeberg.com

Julgates | Julien
Administrateur

Inscrit le : 09/03/2005

# Le 31/07/2008 à 18:59

dob a dit :
J'ai reçu le mail OVH sur un de mes debian, je pense que j'avais juste oublié de restarter bind après l'upgrade...

Idem

Il manquait un petit outil simple à utiliser pour tester si le serveur
DNS est vulnérable ou est à jour. Le voici:

http://travaux.ovh.net/dns/

Il s'agit d'un outil public que vous pouvez utiliser directement en
ligne de commande:

# dig +short porttest.dns-oarc.net TXT @<ip à tester>

Vous avez le résultat au bout de 4-5 secondes.

Shopping Time Network - Founder / CTO

MathieuC | Mathieu
Modérateur

Inscrit le : 15/07/2005

# Le 31/07/2008 à 18:59

le secondaire est bien sdns1.ovh.net, mais celui ci refuse de repondre pour le NDD, donc y'a un souci

Crindor |
Anonyme

Inscrit le : 19/06/2005

# Le 31/07/2008 à 19:16

Le domaine n'avait pas le même nic-handle administrateur que celui du serveur. Je viens de mettre le même car j'ai cru voir que cela pouvait poser un soucis.
Sinon je pointe bien le NDD vers nsmachine en primaire et sdns1.ovh.net en secondaire
( pour la petite histoire j'ai des vieux ndd qui pointent vers DNS 2 ns.ovh.net et des plus récents qui pointent vers DNS 2 sdns1.ovh.net sans que cela pose le moindre problème, j'ai juste ce NDD là qui merde. Il est pourtant migré depuis plusieurs mois alors qu'un autre qui a été migré récemment fonctionne sans problème)

Côté serveur dns 1 est forcément nsmachine, mais où voit on dns 2 du serveur ?

Crindor |
Anonyme

Inscrit le : 19/06/2005

# Le 31/07/2008 à 19:32

Je crois que j'ai compris ce que voulait dire Stephane
le NDD pointe bien vers DNS 2 sdns1.ovh.net
Je suis allé dans Webmin/serveurs/serveurs de noms de domaine bind/zones dns existantes/serveur de noms/ le domaine qui merde
et là oooh surprise, je vois DNS 2 ns.ovh.net

je viens de modifier le truc mais je crois qu'il attendre cette nuit car j'ai cru comprendre que les prises en compte se faisaient une fois par jour dans la nuit.
Pourtant à midi çà marchait nickel mais je crois que çà doit perturber Orange de temps en temps

Répondre

Vous ne pouvez pas participer au forum, car votre inscription n'a pas été validée. Pour vous faire valider en tant que Membre, cliquez ici.