Trafic important sur un serveur
Fermé
tom@
Messages postés
202
Date d'inscription
lundi 21 mars 2005
Statut
Membre
Dernière intervention
15 juin 2022
-
Modifié le 13 nov. 2017 à 10:14
mamiemando Messages postés 33079 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 23 avril 2024 - 29 nov. 2017 à 10:03
mamiemando Messages postés 33079 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 23 avril 2024 - 29 nov. 2017 à 10:03
A voir également:
- Trafic important sur un serveur
- Google maps trafic - Guide
- Serveur pop - Guide
- Impossible d'atteindre le serveur dhcp - Forum Réseau
- Serveur diff message ✓ - Forum iPhone
- Serveur dhcp - Guide
4 réponses
mamiemando
Messages postés
33079
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
23 avril 2024
7 749
13 nov. 2017 à 10:23
13 nov. 2017 à 10:23
Bonjour,
Il faut commencer par vérifier que la machine n'a pas été piratée. Tu peux utiliser
Plus de détails ici :
https://www.google.fr/search?q=mistra+rootkit&oq=mistra+rootkit&aqs=chrome..69i57.4689j0j7&sourceid=chrome&ie=UTF-8
Ensuite :
- vérifie avec
- idem avec
- regarde quels utilisateurs sont connectés avec la commande
Enfin il faut sécuriser la machine :
- installe
- au besoin, ajoute des règles
- installe
- si tu utilises ssh, assure-toi que tu as une clé ssh et que tu n'autorise que les authentifications par clé ssh
- de manière générale, tiens ta machine à jour
Bonne chance
Il faut commencer par vérifier que la machine n'a pas été piratée. Tu peux utiliser
rkhunterpour cela. Si tu utilises une distributions basée sur debian (ubuntu...) installer
debsumset vérifier la signature des paquets peut aider. Je t'invite aussi à faire une mise à jour globale de ton système. Si certains paquets essentiels n'arrivent pas à se mettre à jour, c'est mauvais signe, c'est probablement que la machine a été piratée.
Plus de détails ici :
https://www.google.fr/search?q=mistra+rootkit&oq=mistra+rootkit&aqs=chrome..69i57.4689j0j7&sourceid=chrome&ie=UTF-8
Ensuite :
- vérifie avec
ps -faux(en admettant qu'il n'y ait pas/plus de rootkit) que tu n'as aucun processus suspect et qui pourrait expliquer cette charge soudaine
- idem avec
netstat -ntlp
- regarde quels utilisateurs sont connectés avec la commande
who.
Enfin il faut sécuriser la machine :
- installe
fail2banet active les jails correspondant aux services installés sur ta machine.
- au besoin, ajoute des règles
iptablespour bloquer les IPs qui tentent d'attaquer ta machine (voir logs, par exemple
/var/log/auth.logou
/var/log/apache/*log)
- installe
snort
- si tu utilises ssh, assure-toi que tu as une clé ssh et que tu n'autorise que les authentifications par clé ssh
- de manière générale, tiens ta machine à jour
Bonne chance
tom@
Messages postés
202
Date d'inscription
lundi 21 mars 2005
Statut
Membre
Dernière intervention
15 juin 2022
50
14 nov. 2017 à 19:43
14 nov. 2017 à 19:43
bonjour, merci beaucoup de la réponse. Je vais voir ça.
tom@
Messages postés
202
Date d'inscription
lundi 21 mars 2005
Statut
Membre
Dernière intervention
15 juin 2022
50
Modifié le 25 nov. 2017 à 23:40
Modifié le 25 nov. 2017 à 23:40
Bonjour,
Aprés recherches, il n'y a pas de risque potentiel.
Les ip identifiées semblent correspondre à un protocole de routage. L'ip 178.33.99.43 est, semble t'il, sans danger. Avec
Pour les deux autres ip, 204.0.0.18 et 224.0.0.18, il ne semble pas y avoir de risque également.
De plus, aprés vérifications, le serveur n'est pas piraté, de prime abord.
Merci pour les recommandations du message précédent et à mamiemando pour ses conseils.
Prenant conscience des risques potentiels , j'ai pris soin de ré-activer certaines ips.
Une question reste en suspend:
Comment obtenir la liste des Ips TMG , afin de les mettre à jour?
J'ai cru comprendre que snort peut mettre à jour les IPs. Est-ce correcte?
Tom@
Aprés recherches, il n'y a pas de risque potentiel.
Les ip identifiées semblent correspondre à un protocole de routage. L'ip 178.33.99.43 est, semble t'il, sans danger. Avec
whois, cette dernière ip appartient à OVH.
Pour les deux autres ip, 204.0.0.18 et 224.0.0.18, il ne semble pas y avoir de risque également.
De plus, aprés vérifications, le serveur n'est pas piraté, de prime abord.
Merci pour les recommandations du message précédent et à mamiemando pour ses conseils.
Prenant conscience des risques potentiels , j'ai pris soin de ré-activer certaines ips.
Une question reste en suspend:
Comment obtenir la liste des Ips TMG , afin de les mettre à jour?
J'ai cru comprendre que snort peut mettre à jour les IPs. Est-ce correcte?
Tom@
mamiemando
Messages postés
33079
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
23 avril 2024
7 749
Modifié le 29 nov. 2017 à 10:03
Modifié le 29 nov. 2017 à 10:03
Bonjour,
Pour TMG je ne sais pas il faut regarder dans la documentation, c'est vraisemblablement stocké dans
Pour
https://blog.snort.org/2015/09/ip-blacklist-feed-has-moved-locations.html
Bonne chance
Pour TMG je ne sais pas il faut regarder dans la documentation, c'est vraisemblablement stocké dans
/var(je ne connais pas le logiciel, mais sous debian j'aurais stocké cette information dans
/var/lib/tmgou nom approchant). Par exemple fail2ban ajoute des règles iptables et stocke l'information dans
/var/lib/fail2ban/fail2ban.sqlite3.
Pour
snortil y a également effectivement blacklists qui existent :
https://blog.snort.org/2015/09/ip-blacklist-feed-has-moved-locations.html
Bonne chance