Je rajoute ma pierre à l'édifice au lieu d'ouvrir un autre topic.
Depuis le 23/12, c'est la déferlante, on a rarement vu ça depuis 5 ans qu'on existe.
DDOS UDP hier sur port aléatoire, non saturé mais qui a bien pourrit les graph et les soirées de nos clients.
Et aujourd'hui, du scan sévère à plus de 30 requêtes par secondes sur quasi tout notre parc :
217.115.199.40 www.mac0andgel.fr GET /index.php?option=com_properties&controller= ../../../../.. 217.115.199.40 ns11.freeheberg.com GET /index.php?option=com_jequoteform&view= ../../../../../../. 217.115.199.40 www.ho0rse-brasses.com GET /index.php?option=com_realtyna&controller= ../../../../../. 217.115.199.40 www.gcf0is.fr GET /index.php?option=com_sectionex&controller= ../../../../../ 217.115.199.40 www.hor0izon-vertical50.com GET /classes/adodbt/sql.php?classes_dir=../../../../../../../pr 217.115.199.40 www.glam-an0d-brown.com GET /index.php?option=com_sbsfile&controller= ../../../../../.. 217.115.199.40 www.glam-and-bro0wn.com GET /calendar/setup/setupSQL.php?serverPath=../../../../../../. 217.115.199.40 www.dieti0miam.com GET /poll/admin/common.inc.php?base_path=../../../../../../../p 217.115.199.40 www.maca0ndgel.fr GET /calendar/functions/popup.php?serverPath=../../../../../../ 217.115.199.40 www.step0hanehome.com GET /index.php?option=com_s5clanroster&controller= ../../../../ 217.115.199.40 www.coach-cend0rillon.fr GET /modules/public/date_format.php?baseDir=../../../../../../. 217.115.199.40 www.teleca0mpus.fr GET /default.php?page=../../../../../../../proc/self/environ%00 217.115.199.40 www.yak0ha.com GET /modules/admin/vw_usr_roles.php?baseDir=../../../../../../. 217.115.199.40 www.corpe0dia.fr GET /index.php?option=com_awdwall&controller= ../../../../../.. 217.115.199.40 www.kli0cia.com GET /becommunity/community/index.php?pageurl=../../../../../../
Bref, surveillez bien vos infra, on a fait blacklister 25 serveurs chez OVH hier, et on vient de se faire blacklister un serveur à cause d'un open_socket qu'on a oublié de fermer sur un mutualisé et qui a floodé un bind en face.
Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard : 09 72 125 539 (tarif local) Ligne directe : 03 66 72 03 42 Mail : j.martin AT freeheberg.com Web : http://www.firstheberg.com Le 26/12/2011 12:04, Charles Delorme a écrit :
Bonjour, Le père Noël nous a gâté et nous subissons au Sénat une attaque par déni de service depuis dimanche matin 7h heure locale. La très grosse majorité des paquets est en udp/80 à destination de nos deux liens, completel (213.30.147.224/27) et global crossing (217.156.140.224/27) et aussi un peu en udp/53. Nous tentons d'établir une liste d'adresses sources mais vous vous doutez qu'elle varie beaucoup. Les supports des deux opérateurs sont bien sûr prévenus. Si en plus certains d'entre vous ont la possibilité de bloquer au moins le traffic en udp/80 qui passerait par vos réseaux vers chez nous, ceci nous pemettrait de respirer un peu. Tout avis en la matière sera le bienvenu. Je passe par cette adresse mail perso car pour l'instant nos accès sont saturés. Merci beaucoup et joyeux Noël à tous :-) Charles Delorme --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
--------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
