[RESOLU] Dédié inaccessible, wiki firstheberg également ?



  • Bonsoir,

    Depuis cet après-midi, je n'ai plus d'accès à mon serveur dédié via aucun moyen. J'ai ouvert un ticket, et a priori mon serveur fonctionne correctement, (le support technique a réagi aux ports 9090 et 9091 ouverts sur mon serveur, mais je les utilise pour, donc RAS)

    Suspectant un souci réseau d'un côté ou de l'autre, j'ai lancé un traceroute, qui donne ça :

    traceroute to srv119.firstheberg.net (91.229.20.138), 64 hops max, 52 byte packets
     1  10.105.128.1 (10.105.128.1)  8.351 ms  5.490 ms  6.582 ms
     2  195-132-11-82.rev.numericable.fr (195.132.11.82)  9.934 ms  7.432 ms  7.955 ms
     3  ip-91.net-80-236-1.static.numericable.fr (80.236.1.91)  8.949 ms  7.727 ms  9.394 ms
     4  * ip-89.net-80-236-1.static.numericable.fr (80.236.1.89)  10.076 ms  13.688 ms
     5  172.19.130.14 (172.19.130.14)  20.162 ms  17.536 ms  17.372 ms
     6  ate.franceix.net (37.49.236.24)  18.339 ms  17.963 ms  17.366 ms
     7  * * *
     8  * * *
     9  * * *
    10 * * *
    11 * * *
    ...
    30 * * *
    

    j'ai également fait des tests sur réseau 3G et depuis un serveur à l'étranger, sans constater d'amélioration.
    Il semble qu'il y ait un problème de routage au niveau de France-IX, je me trompe ?

    Ces dernières heures, j'ai constaté un retour partiel de mon accès : j'arrivais à accéder (très difficilement) à mon serveur web pendant quelques secondes, la page se chargeait, mais impossible de m'y connecter en ssh (timeout…), et pas le temps de faire plus qu'un nouveau traceroute avant de perdre à nouveau l'accès :

    traceroute to srv119.firstheberg.net (91.229.20.138), 30 hops max, 60 byte packets
     1  vps2.pulseheberg.net (198.27.64.170)  0.018 ms  0.007 ms  0.006 ms
     2  bhs-g1-6k.qc.ca (198.27.73.13)  1.244 ms  1.549 ms  2.996 ms
     3  198.27.73.204 (198.27.73.204)  8.965 ms * *
     4  * * *
     5  rbx-g1-a9.fr.eu (94.23.122.66)  80.962 ms  80.959 ms  80.947 ms
     6  th2-g1-a9.fr.eu (91.121.131.210)  83.976 ms  83.909 ms  84.215 ms
     7  * * *
     8  equinix-paris.ate.info (195.42.144.43)  88.522 ms  88.522 ms  88.517 ms
     9  core03.as35625.net (46.29.120.19)  97.578 ms  97.574 ms  97.851 ms
    10  val-2k-1.firstheberg.net (46.29.120.158)  91.885 ms  91.585 ms  91.822 ms
    11  val-3k-1.firstheberg.net (91.236.255.6)  91.212 ms  91.786 ms  91.045 ms
    12  srv119.firstheberg.net (91.229.20.138)  104.023 ms * *
    root@vps0:~# ssh srv119.firstheberg.net
    The authenticity of host 'srv119.firstheberg.net (91.229.20.138)' can't be established.
    Are you sure you want to continue connecting (yes/no)? yes
    Warning: Permanently added 'srv119.firstheberg.net,91.229.20.138' (RSA) to the list of known hosts.
    Connection closed by 91.229.20.138
    

    A noter que ce coup ci, le traceroute n'est PAS passé par France-IX et la requête a abouti…

    Visiblement,  le wiki présente les mêmes symptomes à l'heure ou j'écris ces lignes :

    traceroute to wiki.firstheberg.net/ (67.215.65.132), 64 hops max, 52 byte packets
     1  10.105.128.1 (10.105.128.1)  16.627 ms  17.098 ms  9.416 ms
     2  195-132-11-82.rev.numericable.fr (195.132.11.82)  6.906 ms  11.328 ms  8.506 ms
     3  ip-91.net-80-236-1.static.numericable.fr (80.236.1.91)  11.092 ms  16.196 ms  8.532 ms
     4  * * ip-89.net-80-236-1.static.numericable.fr (80.236.1.89)  6.667 ms
     5  172.19.129.90 (172.19.129.90)  26.009 ms  25.150 ms  21.764 ms
     6  opendns.franceix.net (37.49.236.210)  17.641 ms  18.229 ms  18.682 ms
     7  * * *
     8  * * *
     9  * * *
    10  * * *
    11  * * *
    ...
    30 * * *
    

    Suis-je le seul à constater ces soucis ? y a-t-il quoi que ce soit que je puisse faire ? j'ai redémarré plusieurs fois le serveur, y compris en rescue, mais évidemment ça n'a rien changé.


  • Administrateur

    Ton serveur est nullrouté en raison d'une forte attaque qui le vise en ce moment et ayant un impact sur notre prod malgré les protections en place.
    Le nullroute doit s'arrêter dans quelques heures.



  • Merci caaptusss, effectivement l'accès est à nouveau possible.

    As-tu des détails sur le type d'attaque subie ? c'est quelque chose contre quoi je peux agir ? j'ai configuré mon iptables et fail2ban ce matin… c'est déjà un minimum

    Autre petite question au passage, je n'ai pas pu monter les disques depuis le mode rescue (raid0), est-ce seulement possible ? si je tente de monter uniquement /dev/sda1, on m'envoie gentiment promener parce que le disque appartient à un raid... (ce qui semble bien normal d'ailleurs)


  • Administrateur

    En principe, tu devrais pouvoir "voir" la partition mdX et pouvoir la monter sur /mnt par exemple.
    La rescue assemble automatiquement les grappes RAID lorsque c'est possible.

    Concernant l'attaque, c'est une amplification NTP, c'est la nouveautés de la rentrée ce type d'attaque, on doit adapter nos filtres pour mieux la gérer. Pour l'instant, je suis obligé de nullrouter quand ça survient.


Se connecter pour répondre
 

Il semble que votre connexion ait été perdue, veuillez patienter pendant que nous vous re-connectons.