DDOS sortante
Résolu
Bonjour,
Le 13 juillet, mon serveur a subis une attaque DDOS sortante.
Voici la trame:
28539 requêtes ont été effectués en deux secondes.
Mon serveur a donc été suspendu par mon hébergeur puis réactivé quelques jours plus tard.
Quand je me suis connecté à mon serveur tout à l'heure, j'ai vu:
Comment lutter contre ces attaques et de quoi ça peut venir ?
merci d'avance
Le 13 juillet, mon serveur a subis une attaque DDOS sortante.
Voici la trame:
01:35:48.853830 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 33) xxx.3x.17x.11x.37228 > 10x.1x.1x.1xx.8x: [udp sum ok] UDP, length 5
28539 requêtes ont été effectués en deux secondes.
Mon serveur a donc été suspendu par mon hébergeur puis réactivé quelques jours plus tard.
Quand je me suis connecté à mon serveur tout à l'heure, j'ai vu:
"Last login: Fri Jul 13 23:28:44 2012 from 78.129.220.46"
Comment lutter contre ces attaques et de quoi ça peut venir ?
merci d'avance
A voir également:
- DDOS sortante
- Xvideoservicethief 2019 linux ddos attack free download for windows 7 video youtube - Télécharger - Copie & Extraction
- Je me fais ddos ! - Forum WiFi
- Le DDoS ✓ - Forum Réseaux sociaux
- Xvideoservicethief 2019 linux ddos attack free download for windows 7 - Forum Logiciels
- Attaque Ddos.. - Forum Virus
1 réponse
Ça vient de 78.129.220.46 qui s'est manifestement connecté en ssh sur ta machine car ton serveur ssh écoute le trafic extérieur.
Tu peux toujours formuler une plainte ici :
https://myservers.rapidswitch.com/Abuse/ReportAbuse.aspx
Les manières d'empêcher un inconnu de se connecter en ssh chez toi sont multiples :
Ports et routage : ne pas rediriger le port ssh si tu es derrière un routeur ou une passerelle au niveau de ce routeur.
Ports et pare-feu : Tu peux aussi limiter au niveau de ssh (/etc/ssh/sshd_config) qui peut se connecter ou mettre en place un pare-feu (iptables, ufw...) qui limite quelles ips ont accès au serveur ssh.
Serveur : Si tu n'utilises pas ssh ni scp le plus simple c'est de désinstaller ton serveur ssh. Par exemple sous debian :
Utilisateurs autorisés : Tu peux aussi n'autoriser que les connexions ssh faites avec une clé ssh (et ainsi refuser les connexions faites par mot de passe). Tu peux aussi désactiver certains profils qui sont systématiquement attaqués (genre root).
Méthode d'authentification : Encore une fois ça se règle dans les paramètres de configuration de ssh. Si tu ne sais pas ce qu'est une authentification par clé :
http://prendreuncafe.com/blog/post/2005/08/29/262-installer-sa-cle-ssh-sur-un-serveur-distant
Bonne chance
(mando@aldur) (~) $ whois 78.129.220.46 % This is the RIPE Database query service. % The objects are in RPSL format. % % The RIPE Database is subject to Terms and Conditions. % See http://www.ripe.net/db/support/db-terms-conditions.pdf % Note: this output has been filtered. % To receive output for a database update, use the "-B" flag. % Information related to '78.129.220.0 - 78.129.220.255' inetnum: 78.129.220.0 - 78.129.220.255 netname: Rapidswitch_22 descr: Rapidswitch Ltd country: GB admin-c: AR6363-RIPE tech-c: AR6363-RIPE status: ASSIGNED PA mnt-by: RAPIDSWITCH-MNT source: RIPE # Filtered person: Abuse Robot address: iomart Hosting Ltd t/a RapidSwitch address: Spectrum House address: Clivemont Road address: Maidenhead address: SL6 7FW phone: +44 (0)1753 471 040 remarks: ****************************************************** remarks: * ABUSE REPORTS * remarks: * E-mail: abuse@rapidswitch.com * remarks: * https://myservers.rapidswitch.com/Abuse/ReportAbuse.aspx * remarks: * IMPORTANT: We are unable to accept abuse reports * remarks: * any other way except the two methods listed above. * remarks: ****************************************************** nic-hdl: AR6363-RIPE mnt-by: RAPIDSWITCH-MNT source: RIPE # Filtered % Information related to '78.129.128.0/17AS20860' route: 78.129.128.0/17 descr: Iomart Hosting Ltd origin: AS20860 mnt-by: GB10488-RIPE-MNT mnt-by: RAPIDSWITCH-MNT source: RIPE # Filtered % This query was served by the RIPE Database Query Service version 1.16 (WHOIS3)
Tu peux toujours formuler une plainte ici :
https://myservers.rapidswitch.com/Abuse/ReportAbuse.aspx
Les manières d'empêcher un inconnu de se connecter en ssh chez toi sont multiples :
Ports et routage : ne pas rediriger le port ssh si tu es derrière un routeur ou une passerelle au niveau de ce routeur.
Ports et pare-feu : Tu peux aussi limiter au niveau de ssh (/etc/ssh/sshd_config) qui peut se connecter ou mettre en place un pare-feu (iptables, ufw...) qui limite quelles ips ont accès au serveur ssh.
Serveur : Si tu n'utilises pas ssh ni scp le plus simple c'est de désinstaller ton serveur ssh. Par exemple sous debian :
aptitude remove openssh-server
Utilisateurs autorisés : Tu peux aussi n'autoriser que les connexions ssh faites avec une clé ssh (et ainsi refuser les connexions faites par mot de passe). Tu peux aussi désactiver certains profils qui sont systématiquement attaqués (genre root).
Méthode d'authentification : Encore une fois ça se règle dans les paramètres de configuration de ssh. Si tu ne sais pas ce qu'est une authentification par clé :
http://prendreuncafe.com/blog/post/2005/08/29/262-installer-sa-cle-ssh-sur-un-serveur-distant
Bonne chance
Gros merci :D