Le 2016-03-11 12:49, Alexis VACHETTE a écrit :
Bonjour David,

Nous n'avons aucun détail sur cette attaque.

Je doute que cela soit disclose sur une liste publique.

En revanche, il serait bon de savoir si plusieurs clients sont
impactés par ce genre de comportement.

Pour avoir comme contact un vendeur de solution Centile, pas de retour
alarmant à ce jour.

Comme le souligne la personne juste avant moi est-ce que ce Centrex
avait des logins de type ipbx/ipbx voir root/root.

Les Login/pass par défaut avaient été modifiés par Centile lors de la mise en prod. Et je le répète, l'attaque proviens de l'IP du VPN coté Centile, c-a-d du LAN de Centile!

D'ou ma question, suis-je le seul a avoir détecté une anomalie sur deux Centrex, chez deux clients Centile différents?

La sécurité d'une interconnexion avec un prestataire tiers est
essentiel à mon sens.

Cordialement,
Alexis.

On 11/03/2016 12:40, ADENIS | David MARCIANO wrote:
C'est assez grave comme information, si qq a plus d'informations, je veux bien partager en private ....




Bonne réception
David Marciano


163 Avenue Gallieni - 93170 Bagnolet - France
Tel : +33 (0)1 48 24 07 07 - Fax : +33 (0)1 48 24 07 08
Mail : dmarci...@adenis.fr




-----Message d'origine-----
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de slesim...@laposte.net
Envoyé : jeudi 10 mars 2016 13:14
À : Alexis VACHETTE
Cc : Frnog misc
Objet : Re: [FRnOG] [MISC] Problems sur plateformes Centile

Parceque du forensic a été fait sur les deux machines concernées.

----- Mail original -----

De: "Alexis VACHETTE" <avache...@sisteer.com>
À: slesim...@laposte.net, "Frnog misc" <frnog-m...@frnog.org>
Envoyé: Jeudi 10 Mars 2016 13:08:59
Objet: Re: [FRnOG] [MISC] Problems sur plateformes Centile

Bonjour,

RAS sur un Centrex.

Pourquoi est-ce que tu affirmes que ça vient du VPN de Centile ?

Cordialement,
Alexis VACHETTE.
On 10/03/2016 11:21, slesim...@laposte.net wrote:
Hello,

Un petit mot pour informer la communauté qu'un problème est apparu ce WE sur deux instance Centiles de ma connaissance.

- Pour l'une, un binaire a été installé via le VPN de service Centile
et lancé des attaque en amplification DNS à partir de la machine;
(accès au VPN plus connexion à la VM sans aucuns brute-force,
suppression des historiques et 500meg open bar sur la machine!)
- Pour l'autre, toujours via le VPN Centile, une attaque en DDoS de ladite machine cette fois, du type ICMP flood.

Certains d'entre vous on-t-ils constatés des soucis avec leur Centile ce WE? Sont-ce deux cas totalement isolés ou tous le monde a-t-il eu droit a son lot de soucis?

Bonne journée à tous!
Seb.

---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à