Re: [FRnOG] [MISC] Re: Problems sur plateformes Centile
Le 2016-03-11 12:49, Alexis VACHETTE a écrit : Bonjour David, Nous n'avons aucun détail sur cette attaque. Je doute que cela soit disclose sur une liste publique. En revanche, il serait bon de savoir si plusieurs clients sont impactés par ce genre de comportement. Pour avoir comme contact un vendeur de solution Centile, pas de retour alarmant à ce jour. Comme le souligne la personne juste avant moi est-ce que ce Centrex avait des logins de type ipbx/ipbx voir root/root. Les Login/pass par défaut avaient été modifiés par Centile lors de la mise en prod. Et je le répète, l'attaque proviens de l'IP du VPN coté Centile, c-a-d du LAN de Centile! D'ou ma question, suis-je le seul a avoir détecté une anomalie sur deux Centrex, chez deux clients Centile différents? La sécurité d'une interconnexion avec un prestataire tiers est essentiel à mon sens. Cordialement, Alexis. On 11/03/2016 12:40, ADENIS | David MARCIANO wrote: C'est assez grave comme information, si qq a plus d'informations, je veux bien partager en private Bonne réception David Marciano 163 Avenue Gallieni - 93170 Bagnolet - France Tel : +33 (0)1 48 24 07 07 - Fax : +33 (0)1 48 24 07 08 Mail : dmarci...@adenis.fr -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de slesim...@laposte.net Envoyé : jeudi 10 mars 2016 13:14 À : Alexis VACHETTE Cc : Frnog misc Objet : Re: [FRnOG] [MISC] Problems sur plateformes Centile Parceque du forensic a été fait sur les deux machines concernées. - Mail original - De: "Alexis VACHETTE" À: slesim...@laposte.net, "Frnog misc" Envoyé: Jeudi 10 Mars 2016 13:08:59 Objet: Re: [FRnOG] [MISC] Problems sur plateformes Centile Bonjour, RAS sur un Centrex. Pourquoi est-ce que tu affirmes que ça vient du VPN de Centile ? Cordialement, Alexis VACHETTE. On 10/03/2016 11:21, slesim...@laposte.net wrote: Hello, Un petit mot pour informer la communauté qu'un problème est apparu ce WE sur deux instance Centiles de ma connaissance. - Pour l'une, un binaire a été installé via le VPN de service Centile et lancé des attaque en amplification DNS à partir de la machine; (accès au VPN plus connexion à la VM sans aucuns brute-force, suppression des historiques et 500meg open bar sur la machine!) - Pour l'autre, toujours via le VPN Centile, une attaque en DDoS de ladite machine cette fois, du type ICMP flood. Certains d'entre vous on-t-ils constatés des soucis avec leur Centile ce WE? Sont-ce deux cas totalement isolés ou tous le monde a-t-il eu droit a son lot de soucis? Bonne journée à tous! Seb. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Re: Problems sur plateformes Centile
Bonjour Alexis, Merci pour ton retour, de notre cote RAS, mais on reste en observation. Nos VM ne sont que sur notre Mpls, mais il faut rester a l ecoute et partager. Cdt DM Envoyé de mon smartphone BlackBerry 10 sur le réseau Adenis Telecom Message d'origine De: Alexis VACHETTE Envoyé: vendredi 11 mars 2016 11:49 À: ADENIS | David MARCIANO; 'slesim...@laposte.net' Cc: 'Frnog misc' Objet: Re: Problems sur plateformes Centile Bonjour David, Nous n'avons aucun détail sur cette attaque. Je doute que cela soit disclose sur une liste publique. En revanche, il serait bon de savoir si plusieurs clients sont impactés par ce genre de comportement. Pour avoir comme contact un vendeur de solution Centile, pas de retour alarmant à ce jour. Comme le souligne la personne juste avant moi est-ce que ce Centrex avait des logins de type ipbx/ipbx voir root/root. La sécurité d'une interconnexion avec un prestataire tiers est essentiel à mon sens. Cordialement, Alexis. On 11/03/2016 12:40, ADENIS | David MARCIANO wrote: > C'est assez grave comme information, si qq a plus d'informations, je veux > bien partager en private > > > > > Bonne réception > David Marciano > > > 163 Avenue Gallieni - 93170 Bagnolet - France > Tel : +33 (0)1 48 24 07 07 - Fax : +33 (0)1 48 24 07 08 > Mail : dmarci...@adenis.fr > > > > > -Message d'origine- > De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de > slesim...@laposte.net > Envoyé : jeudi 10 mars 2016 13:14 > À : Alexis VACHETTE > Cc : Frnog misc > Objet : Re: [FRnOG] [MISC] Problems sur plateformes Centile > > Parceque du forensic a été fait sur les deux machines concernées. > > - Mail original - > > De: "Alexis VACHETTE" > À: slesim...@laposte.net, "Frnog misc" > Envoyé: Jeudi 10 Mars 2016 13:08:59 > Objet: Re: [FRnOG] [MISC] Problems sur plateformes Centile > > Bonjour, > > RAS sur un Centrex. > > Pourquoi est-ce que tu affirmes que ça vient du VPN de Centile ? > > Cordialement, > Alexis VACHETTE. > On 10/03/2016 11:21, slesim...@laposte.net wrote: >> Hello, >> >> Un petit mot pour informer la communauté qu'un problème est apparu ce WE sur >> deux instance Centiles de ma connaissance. >> >> - Pour l'une, un binaire a été installé via le VPN de service Centile >> et lancé des attaque en amplification DNS à partir de la machine; >> (accès au VPN plus connexion à la VM sans aucuns brute-force, >> suppression des historiques et 500meg open bar sur la machine!) >> - Pour l'autre, toujours via le VPN Centile, une attaque en DDoS de ladite >> machine cette fois, du type ICMP flood. >> >> Certains d'entre vous on-t-ils constatés des soucis avec leur Centile ce WE? >> Sont-ce deux cas totalement isolés ou tous le monde a-t-il eu droit a son >> lot de soucis? >> >> Bonne journée à tous! >> Seb. >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Re: Problems sur plateformes Centile
Bonjour David, Nous n'avons aucun détail sur cette attaque. Je doute que cela soit disclose sur une liste publique. En revanche, il serait bon de savoir si plusieurs clients sont impactés par ce genre de comportement. Pour avoir comme contact un vendeur de solution Centile, pas de retour alarmant à ce jour. Comme le souligne la personne juste avant moi est-ce que ce Centrex avait des logins de type ipbx/ipbx voir root/root. La sécurité d'une interconnexion avec un prestataire tiers est essentiel à mon sens. Cordialement, Alexis. On 11/03/2016 12:40, ADENIS | David MARCIANO wrote: C'est assez grave comme information, si qq a plus d'informations, je veux bien partager en private Bonne réception David Marciano 163 Avenue Gallieni - 93170 Bagnolet - France Tel : +33 (0)1 48 24 07 07 - Fax : +33 (0)1 48 24 07 08 Mail : dmarci...@adenis.fr -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de slesim...@laposte.net Envoyé : jeudi 10 mars 2016 13:14 À : Alexis VACHETTE Cc : Frnog misc Objet : Re: [FRnOG] [MISC] Problems sur plateformes Centile Parceque du forensic a été fait sur les deux machines concernées. - Mail original - De: "Alexis VACHETTE" À: slesim...@laposte.net, "Frnog misc" Envoyé: Jeudi 10 Mars 2016 13:08:59 Objet: Re: [FRnOG] [MISC] Problems sur plateformes Centile Bonjour, RAS sur un Centrex. Pourquoi est-ce que tu affirmes que ça vient du VPN de Centile ? Cordialement, Alexis VACHETTE. On 10/03/2016 11:21, slesim...@laposte.net wrote: Hello, Un petit mot pour informer la communauté qu'un problème est apparu ce WE sur deux instance Centiles de ma connaissance. - Pour l'une, un binaire a été installé via le VPN de service Centile et lancé des attaque en amplification DNS à partir de la machine; (accès au VPN plus connexion à la VM sans aucuns brute-force, suppression des historiques et 500meg open bar sur la machine!) - Pour l'autre, toujours via le VPN Centile, une attaque en DDoS de ladite machine cette fois, du type ICMP flood. Certains d'entre vous on-t-ils constatés des soucis avec leur Centile ce WE? Sont-ce deux cas totalement isolés ou tous le monde a-t-il eu droit a son lot de soucis? Bonne journée à tous! Seb. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] RE: Problems sur plateformes Centile
C'est assez grave comme information, si qq a plus d'informations, je veux bien partager en private Bonne réception David Marciano 163 Avenue Gallieni - 93170 Bagnolet - France Tel : +33 (0)1 48 24 07 07 - Fax : +33 (0)1 48 24 07 08 Mail : dmarci...@adenis.fr -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de slesim...@laposte.net Envoyé : jeudi 10 mars 2016 13:14 À : Alexis VACHETTE Cc : Frnog misc Objet : Re: [FRnOG] [MISC] Problems sur plateformes Centile Parceque du forensic a été fait sur les deux machines concernées. - Mail original - De: "Alexis VACHETTE" À: slesim...@laposte.net, "Frnog misc" Envoyé: Jeudi 10 Mars 2016 13:08:59 Objet: Re: [FRnOG] [MISC] Problems sur plateformes Centile Bonjour, RAS sur un Centrex. Pourquoi est-ce que tu affirmes que ça vient du VPN de Centile ? Cordialement, Alexis VACHETTE. On 10/03/2016 11:21, slesim...@laposte.net wrote: > Hello, > > Un petit mot pour informer la communauté qu'un problème est apparu ce WE sur > deux instance Centiles de ma connaissance. > > - Pour l'une, un binaire a été installé via le VPN de service Centile > et lancé des attaque en amplification DNS à partir de la machine; > (accès au VPN plus connexion à la VM sans aucuns brute-force, > suppression des historiques et 500meg open bar sur la machine!) > - Pour l'autre, toujours via le VPN Centile, une attaque en DDoS de ladite > machine cette fois, du type ICMP flood. > > Certains d'entre vous on-t-ils constatés des soucis avec leur Centile ce WE? > Sont-ce deux cas totalement isolés ou tous le monde a-t-il eu droit a son lot > de soucis? > > Bonne journée à tous! > Seb. > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
