Hello

Tu as un script pour valider que SPIP est troué ou pas. 
Au passable fort probable s'il n'y a pas eu de mise à jour depuis les
12 derniers mois.

Je t'invite à regarder du coté :
https://git.spip.net/spip-contrib-outils/spip_cleaner

Je te confirme que je suis partie prenante car j'ai codé ce script pour
ces cas de figure.
Ne pas hésiter à me faire tes retours.

Km


Le mercredi 02 octobre 2024 à 10:07 +0200, Franck Routier via FRsAG a
écrit :
> Bonjour,
> 
> si, la trace du traffic incriminé est donnée :
> 
> Attack detail : 9Kpps/6Mbps
> dateTime srcIp:srcPort dstIp:dstPort protocol flags packets bytes
> reason
> 2024.10.01 06:42:21 CEST 1xx.1xx.1xx.1xx:34734 141.94.111.221:22 TCP
> SYN 16384 1277952 ATTACK:TCP_SYN
> 2024.10.01 06:42:21 CEST 1xx.1xx.1xx.1xx:33292 141.94.111.221:22 TCP
> SYN 16384 1277952 ATTACK:TCP_SYN
> 2024.10.01 06:42:21 CEST 1xx.1xx.1xx.1xx:59660 141.94.111.221:22 TCP
> SYN 16384 1277952 ATTACK:TCP_SYN
> 2024.10.01 06:42:21 CEST 1xx.1xx.1xx.1xx:42332 141.94.111.221:22 TCP
> SYN 16384 1277952 ATTACK:TCP_SYN
> 2024.10.01 06:42:21 CEST 1xx.1xx.1xx.1xx:55438 141.94.111.221:22 TCP
> SYN 16384 1277952 ATTACK:TCP_SYN
> 2024.10.01 06:42:21 CEST 1xx.1xx.1xx.1xx:48408 141.94.111.221:22 TCP
> SYN 16384 1277952 ATTACK:TCP_SYN
> 
> etc...
> 
> donc visiblement un de mes containers essaye de forcer le ssh de
> 141.94.111.221 (dont le whois m'indique qu'il est chez OVH
> également...)
> 
> Pas un faux positif donc...
> 
> 
> Le mercredi 2 octobre 2024, 08:25:21 CEST Sebastien Guilbaud a écrit
> :
> > tu as aussi la piste du faux positif du mode hack d'ovh.
> > 
> > Il y a longtemps, il suffisait de lancer un test de charge (gatling
> > au
> > hasard) depuis un serveur OVH pour qu'il passe en hack
> > 
> > Dans la notif que OVH envoie pour signaler le passage en mode hack,
> > ils ne
> > donnent plus de traces réseau de la cause ?
> > 
> > 
> > On Wed, Oct 2, 2024 at 5:51 AM Franck Routier via FRsAG
> > <frsag@frsag.org>
> > wrote:
> > 
> > > Le mardi 1 octobre 2024, 15:27:30 CEST Kevin Labécot a écrit :
> > > > Je ne connais pas ce mode « hack » d’OVH ni si il y a des
> > > > précisions
> > > mais qui dit que ce n’est pas le serveur hôte qui est hacké ?
> > > 
> > > l'intuition et l'espoir...
> > > En fait j'ai arrêté tous les containers et le problème ne
> > > réapparaît pas.
> > > Mon suspect principal est un site Spip, ou le reverse proxy nginx
> > > qui
> > > dispatch les requêtes...
> > > 
> > > Mais en effet, ça pourrait (aurait pu ...:-) ) être le serveur
> > > principal...
> > > 
> > > > 
> > > > —
> > > > Kevin
> > > > 
> > > > > Le 1 oct. 2024 à 14:39, David Ponzone
> > > > > <david.ponz...@gmail.com> a
> > > écrit :
> > > > > 
> > > > > Xav,
> > > > > 
> > > > > Je crois que Franck ne sait pas quel container est fautif…
> > > > > 
> > > > > J’ai envie de dire d’éteindre tous les containers, les
> > > > > allumer un par
> > > un, et prendre une trace réseau à chaque fois à la sortie de
> > > chaque
> > > container pour tenter de détecter du traffic anormal.
> > > > > Je suppose qu’ils sont en privée et que l’hôte les NAT ?
> > > > > 
> > > > > Dav
> > > > > 
> > > > > > Le 1 oct. 2024 à 13:27, Xavier Beaudouin via FRsAG
> > > > > > <frsag@frsag.org
> > > <mailto:frsag@frsag.org>> a écrit :
> > > > > > 
> > > > > > Simple :
> > > > > > - Détruire le container
> > > > > > - Installer un container propre.
> > > > > > 
> > > > > > De: "Franck Routier (perso) via FRsAG"
> > > > > > <frsag@frsag.org <mailto:
> > > frsag@frsag.org>>
> > > > > > À: "frsag" <frsag@frsag.org <mailto:frsag@frsag.org>>
> > > > > > Envoyé: Mardi 1 Octobre 2024 13:16:03
> > > > > > Objet: [FRsAG] Container hacké, que faire
> > > > > > Bonjour,
> > > > > > 
> > > > > > J'ai un serveur "bare metal" chez OVH, avec une Ubuntu,
> > > > > > inclus (ex
> > > LXD) et une série de containers.
> > > > > > Ce matin mes services étaient hors ligne : le serveur était
> > > > > > passé en
> > > mode "hack" par OVH.
> > > > > > J'ai redémarré le serveur et stoppé tous les containers.
> > > > > > D'après vous, comment procéder pour isoler et nettoyer le
> > > > > > container
> > > fautif ?
> > > > > > 
> > > > > > Merci
> > > > > > 
> > > > > > _______________________________________________
> > > > > > Liste de diffusion du %(real_name)s
> > > > > > http://www.frsag.org/
> > > > > > _______________________________________________
> > > > > > Liste de diffusion du %(real_name)s
> > > > > > http://www.frsag.org/
> > > > > 
> > > > > _______________________________________________
> > > > > Liste de diffusion du $real_name
> > > > > http://www.frsag.org/
> > > > 
> > > > 
> > > 
> > > 
> > > 
> > > _______________________________________________
> > > Liste de diffusion du $realname
> > > https://www.frsag.org/
> > > 
> > 
> > 
> > -- 
> > Sébastien Guilbaud
> > 
> 
> 
> 
> _______________________________________________
> Liste de diffusion du French Sysadmin Group
> https://www.frsag.org/

_______________________________________________
Liste de diffusion du French Sysadmin Group
https://www.frsag.org/

Répondre à