Déco régulière du serveur



  • Hello,

    Depuis quelques temps j'ai des décos régulière de mon serveur : tous les services balancent un timeout (que ce soit teamspeak, mumble, apache etc). Souvent le soir par contre entre 20h et 00h.

    Seules infos "pertinente" sont celles-ci :```
    May 9 21:47:04 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:6c:62:6d:ff:38:cf:08:00 SRC=91.229.20.143 DST=91.229.20.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=2968 PROTO=UDP SPT=137 DPT=137 LEN=58
    May 9 21:47:04 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:04:00:07:65:00:38:08:00 SRC=91.229.20.237 DST=255.255.255.255 LEN=328 TOS=0x10 PREC=0x00 TTL=128 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=308
    May 9 21:47:04 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:6c:62:6d:ff:38:cf:08:00 SRC=91.229.20.143 DST=91.229.20.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=2971 PROTO=UDP SPT=137 DPT=137 LEN=58
    May 9 21:47:04 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:22:4d:7b:d5:a0:08:00 SRC=91.236.239.80 DST=255.255.255.255 LEN=140 TOS=0x00 PREC=0x00 TTL=128 ID=17331 PROTO=UDP SPT=17500 DPT=17500 LEN=120
    May 9 21:47:05 srv58 kernel: IN=eth0 OUT= MAC=00:25:22:f6:81:4c:74:8e:f8:a5:a1:05:08:00 SRC=83.159.109.198 DST=91.229.20.77 LEN=37 TOS=0x00 PREC=0x00 TTL=116 ID=2900 PROTO=UDP SPT=64688 DPT=13337 LEN=17
    May 9 21:47:05 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:6c:62:6d:ff:38:cf:08:00 SRC=91.229.20.143 DST=91.229.20.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=2991 PROTO=UDP SPT=137 DPT=137 LEN=58
    May 9 21:47:05 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:04:00:07:65:00:28:08:00 SRC=91.229.20.227 DST=255.255.255.255 LEN=328 TOS=0x10 PREC=0x00 TTL=128 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=308
    May 9 21:47:06 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:6c:62:6d:ff:38:cf:08:00 SRC=91.229.20.143 DST=91.229.20.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=3010 PROTO=UDP SPT=137 DPT=137 LEN=58
    May 9 21:47:07 srv58 kernel: IN=eth0 OUT= MAC=00:25:22:f6:81:4c:74:8e:f8:a5:a1:05:08:00 SRC=83.141.169.116 DST=91.229.20.77 LEN=48 TOS=0x00 PREC=0x00 TTL=56 ID=40112 DF PROTO=TCP SPT=23350 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
    May 9 21:47:09 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:6c:62:6d:ff:36:99:08:00 SRC=91.229.20.139 DST=255.255.255.255 LEN=140 TOS=0x00 PREC=0x00 TTL=128 ID=2305 PROTO=UDP SPT=17500 DPT=17500 LEN=120
    May 9 21:47:09 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:6c:62:6d:ff:36:99:08:00 SRC=91.229.20.139 DST=91.229.20.255 LEN=140 TOS=0x00 PREC=0x00 TTL=128 ID=2306 PROTO=UDP SPT=17500 DPT=17500 LEN=120
    May 9 21:47:09 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:6c:62:6d:3f:a8:32:08:00 SRC=91.229.20.24 DST=91.229.20.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30933 PROTO=UDP SPT=137 DPT=137 LEN=58
    May 9 21:47:09 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:6c:62:6d:3f:a8:32:08:00 SRC=91.229.20.24 DST=91.229.20.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30934 PROTO=UDP SPT=137 DPT=137 LEN=58
    May 9 21:47:09 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:6c:62:6d:3f:a8:32:08:00 SRC=91.229.20.24 DST=91.229.20.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30935 PROTO=UDP SPT=137 DPT=137 LEN=58
    May 9 21:47:09 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:6c:62:6d:3f:a8:32:08:00 SRC=91.229.20.24 DST=91.229.20.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30936 PROTO=UDP SPT=137 DPT=137 LEN=58
    May 9 21:47:09 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:25:22:d8:ef:88:08:00 SRC=91.229.20.182 DST=91.229.20.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=13034 PROTO=UDP SPT=137 DPT=137 LEN=58
    May 9 21:47:09 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:6c:62:6d:3f:a8:32:08:00 SRC=91.229.20.24 DST=91.229.20.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30950 PROTO=UDP SPT=137 DPT=137 LEN=58
    May 9 21:47:09 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:6c:62:6d:3f:a8:32:08:00 SRC=91.229.20.24 DST=91.229.20.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30951 PROTO=UDP SPT=137 DPT=137 LEN=58
    May 9 21:47:09 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:6c:62:6d:3f:a8:32:08:00 SRC=91.229.20.24 DST=91.229.20.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30952 PROTO=UDP SPT=137 DPT=137 LEN=58
    May 9 21:47:09 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:6c:62:6d:3f:a8:32:08:00 SRC=91.229.20.24 DST=91.229.20.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30953 PROTO=UDP SPT=137 DPT=137 LEN=58
    May 9 21:47:10 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:25:22:d8:ef:88:08:00 SRC=91.229.20.182 DST=91.229.20.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=13035 PROTO=UDP SPT=137 DPT=137 LEN=58
    May 9 21:47:10 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:6c:62:6d:3f:a8:32:08:00 SRC=91.229.20.24 DST=91.229.20.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30955 PROTO=UDP SPT=137 DPT=137 LEN=58
    May 9 21:47:10 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:6c:62:6d:3f:a8:32:08:00 SRC=91.229.20.24 DST=91.229.20.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30956 PROTO=UDP SPT=137 DPT=137 LEN=58
    May 9 21:47:10 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:6c:62:6d:3f:a8:32:08:00 SRC=91.229.20.24 DST=91.229.20.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30957 PROTO=UDP SPT=137 DPT=137 LEN=58
    May 9 21:47:10 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:6c:62:6d:3f:a8:32:08:00 SRC=91.229.20.24 DST=91.229.20.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30958 PROTO=UDP SPT=137 DPT=137 LEN=58
    May 9 21:47:11 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:25:22:d8:ef:88:08:00 SRC=91.229.20.182 DST=91.229.20.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=13036 PROTO=UDP SPT=137 DPT=137 LEN=58
    May 9 21:47:13 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:25:22:d8:ef:88:08:00 SRC=91.229.20.182 DST=91.229.20.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=13049 PROTO=UDP SPT=137 DPT=137 LEN=58
    May 9 21:47:13 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:6c:62:6d:3f:a8:32:08:00 SRC=91.229.20.24 DST=91.229.20.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30967 PROTO=UDP SPT=137 DPT=137 LEN=58
    May 9 21:47:13 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:6c:62:6d:3f:a8:32:08:00 SRC=91.229.20.24 DST=91.229.20.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30968 PROTO=UDP SPT=137 DPT=137 LEN=58
    May 9 21:47:13 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:6c:62:6d:3f:a8:32:08:00 SRC=91.229.20.24 DST=91.229.20.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30969 PROTO=UDP SPT=137 DPT=137 LEN=58
    May 9 21:47:13 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:6c:62:6d:3f:a8:32:08:00 SRC=91.229.20.24 DST=91.229.20.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30970 PROTO=UDP SPT=137 DPT=137 LEN=58
    May 9 21:47:14 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:25:22:d8:ef:88:08:00 SRC=91.229.20.182 DST=91.229.20.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=13050 PROTO=UDP SPT=137 DPT=137 LEN=58
    May 9 21:47:14 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:6c:62:6d:3f:a8:32:08:00 SRC=91.229.20.24 DST=91.229.20.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30971 PROTO=UDP SPT=137 DPT=137 LEN=58
    May 9 21:47:14 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:6c:62:6d:3f:a8:32:08:00 SRC=91.229.20.24 DST=91.229.20.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30972 PROTO=UDP SPT=137 DPT=137 LEN=58
    May 9 21:47:14 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:6c:62:6d:3f:a8:32:08:00 SRC=91.229.20.24 DST=91.229.20.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30973 PROTO=UDP SPT=137 DPT=137 LEN=58
    May 9 21:47:14 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:6c:62:6d:3f:a8:32:08:00 SRC=91.229.20.24 DST=91.229.20.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30974 PROTO=UDP SPT=137 DPT=137 LEN=58
    May 9 21:47:14 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:25:22:d8:ee:ad:08:00 SRC=91.229.20.47 DST=91.229.20.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=15260 PROTO=UDP SPT=137 DPT=137 LEN=58
    May 9 21:47:14 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:04:00:07:65:00:11:08:00 SRC=91.229.20.210 DST=255.255.255.255 LEN=151 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=17500 DPT=17500 LEN=131
    May 9 21:47:14 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:04:00:07:65:00:11:08:00 SRC=91.229.20.210 DST=91.229.20.255 LEN=151 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=17500 DPT=17500 LEN=131
    May 9 21:47:15 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:25:22:d8:ef:88:08:00 SRC=91.229.20.182 DST=91.229.20.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=13051 PROTO=UDP SPT=137 DPT=137 LEN=58
    May 9 21:47:15 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:6c:62:6d:3f:a8:32:08:00 SRC=91.229.20.24 DST=91.229.20.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30975 PROTO=UDP SPT=137 DPT=137 LEN=58
    May 9 21:47:15 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:6c:62:6d:3f:a8:32:08:00 SRC=91.229.20.24 DST=91.229.20.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30976 PROTO=UDP SPT=137 DPT=137 LEN=58
    May 9 21:47:15 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:6c:62:6d:3f:a8:32:08:00 SRC=91.229.20.24 DST=91.229.20.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30977 PROTO=UDP SPT=137 DPT=137 LEN=58
    May 9 21:47:15 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:6c:62:6d:3f:a8:32:08:00 SRC=91.229.20.24 DST=91.229.20.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30978 PROTO=UDP SPT=137 DPT=137 LEN=58
    May 9 21:47:15 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:25:22:d8:ee:ad:08:00 SRC=91.229.20.47 DST=91.229.20.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=15279 PROTO=UDP SPT=137 DPT=137 LEN=58
    May 9 21:47:15 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:d4:3d:7e:27:73:6d:08:00 SRC=91.236.254.12 DST=255.255.255.255 LEN=162 TOS=0x00 PREC=0x00 TTL=128 ID=5836 PROTO=UDP SPT=17500 DPT=17500 LEN=142
    May 9 21:47:15 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:25:22:d8:ee:ad:08:00 SRC=91.229.20.47 DST=91.229.20.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=15298 PROTO=UDP SPT=137 DPT=137 LEN=58
    May 9 21:47:17 srv58 kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:04:00:07:65:00:38:08:00 SRC=91.229.20.237 DST=255.255.255.255 LEN=328 TOS=0x10 PREC=0x00 TTL=128 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=308

    La fréquence de ces broadcast ne sont pas assez "fréquent" pour flood le serv (j'ai ça en quasi permanence), donc je suppose que ça viens du réseau FH.
    
    Pour info, c'est arrivé à l'instant (entre 21:47 et 21:48 ce soir) mais je n'ai pas d'autres logs intéressantes provenant de mes services, et mes graph cacti ne montrent rien d'anormaux.
    
    Vous avez des problèmes similaires ?
    Caaptusss, vu que tu as un horaire assez précis, est-ce possible que tu regardes du côté de votre infra si ça viens de chez vous ?
    
    Merci d'avance,
    
    edit: je peux pas donner le numéro de dossier, j'ai pas accès à mon compte client sur le site (indispo mysql)


  • Même problème


  • Administrateur

    Pas lié avec ton kernel ni le broadcast.
    Attaque de 5 Gb/s contre le réseau. On résilie les clients au fur et à mesure. Ca va de mieux en mieux maintenant.



  • @caaptusss:

    Pas lié avec ton kernel ni le broadcast.
    Attaque de 5 Gb/s contre le réseau. On résilie les clients au fur et à mesure. Ca va de mieux en mieux maintenant.

    OK, donc il ne reste qu'à attendre :( vivement que tu vire tous les gens qui plombent le réseau :/



  • @Althalus:

    @caaptusss:

    Pas lié avec ton kernel ni le broadcast.
    Attaque de 5 Gb/s contre le réseau. On résilie les clients au fur et à mesure. Ca va de mieux en mieux maintenant.

    OK, donc il ne reste qu'à attendre :( vivement que tu vire tous les gens qui plombent le réseau :/

    Tous ne le font pas exprès non plus de se ramasser des attaques.



  • Euh… Heureusement quand même ^^"



  • Je pense qu'on se retrouverait avec un serveur connecté à l'ADSL en gros :blues :biglol



  • Virer les gens qui se font attaqués mouai ^^', il y a eu une petite coupure hier je ne sais pas si c'était une petite maintenance mais comme c'est dit plus haut ils ne font pas exprès de se faire attaquer ce serait méchant de les 'virer' du réseau comme tu le dis Althalus.


  • Administrateur

    Soit ils souscrivent à une IP protégée par un firewall, option à 19.99 € HT / mois, soit ils partent ailleurs là ou l'attaque n'impactera pas le parc de machine.



  • il y a eu une petite coupure hier je ne sais pas si c'était une petite maintenance mais comme c'est dit plus haut ils ne font pas exprès de se faire attaquer ce serait méchant de les 'virer' du réseau comme tu le dis Althalus.

    Pas de soucis, ils peuvent rester, mais à ce compte là je leur demande de me dédommager sur le prix de mon serveur pour la gène causée par le fait qu'ils se font attaqués / DDOS ou autre.

    Ce serait méchant de les virer s'ils n'avaient pas d'impact sur le réseau. A l'heure actuelle, ces imbéciles (et on m'excusera le terme car ce n'est pas le cas de tous) pourrissent le réseau, et en plus en général, ce sont des gens qui ne connaissent pas les bases de comment se protéger / mettent pas à jours leurs OS, leurs soft etc. (C'est pas une généralité, mais dans la majeure partie des personnes, c'est souvent le cas).

    Déjà rien que les gens qui ont des teamspeak, je suis sur qu'ils ne savent même pas qu'une faille majeure a été detectée récemment sur TS3 et qui permet de DDOS / planté le serveur. Combien de personne vont le mettre à jour ? Je doute que seulement 10% des gens chez FH qui en ont vont mettre à jour / faire attention..

    edit: et pour info, j'ai eu 3 coupures hier sur mon mumble entre 15h et 22h.


  • Administrateur

    Pour vous remercier de votre patience par rapport aux attaques, nous vous proposons un geste commercial sur votre location de serveur. Ouvrez un ticket. #firstheberg



  • J'en déduis que toutes les machines attaquées ont été coupé ? Chouette, on va de nouveau pouvoir avoir des conversations mumble sans coupure :)

    Par contre je comprends pas pourquoi demander d'ouvrir un ticket pour le geste commercial, l'attaque n'a pas impacté tout le réseau FH et donc tous vos clients ?


  • Administrateur

    Bein … si justement :(



  • Ce que je voulais dire c'est que vu que ça a impacté tous vos client pourquoi demander d'ouvrir un ticket au lieu d'appliquer le geste commercial à tous vos client tout simplement. Bref, c'est pas très grave, l'essentiel c'est que les lag du serveur soit terminés :)



  • Je crois qu'il vient d'y avoir une méga attaque là.

    Impossible de pinger ni rien le serveur pendant presque 10 minutes.

    edit : j'ai eu la réponse sur Twitter pendant que j'écrivais ce message ;)


  • Administrateur

    L'attaqué était classique, juste qu'au niveau des rate-limit, ça ne prenait pas en compte, je ne sais pas pourquoi…



  • Décidément en se moment cela n'arette pas … on peut plus passé un jour sans une attaque :'(
    d’après la weathermap c'est souvent la salle 2 qui se fait attaqué c'est toujours sur le même serveur ?


  • Administrateur

    Non, ça tourne pas mal.



  • Est ce que c'est juste moi ou il y a encore une attaque?



  • Deux pour être exacte…


  • Administrateur

    On a enfin pu trouver une parade à ces attaques. Reste les ampli DNS, sur lequel on bosse encore.


Se connecter pour répondre
 

Il semble que votre connexion ait été perdue, veuillez patienter pendant que nous vous re-connectons.