Aller au contenu

OVH HACKED


Messages recommandés

Bonjour à tous,

ce petit message juste pour signaler aux journalistes de PCINPACT qu il y a eu une sérieuse attaque sur OVH.

Et pis ! Ben si vous êtes déjà au courant vous pouvez effacer ce message : STOOOO Pour aujourd'hui.

A+,

Jeannot

Edit : Je corrige mes fotes daurtaugrafes et puis merci a Nemesis. J ai posté sur le forum pour aller au plus vite. Mais c est bon j ai vu le lien :-) Merci

Lien vers le commentaire
Partager sur d’autres sites

Un petit suivi de l info dispo sur : http://travaux.ovh.com/

"Depuis 0h00, nous avons une forte attaque sur le 90plan. environ 5000IP

envoient plus de 3'000'000 nouvelles connexions /seconde. Nous avons en

parti reglé le probleme à partir de 2h du matin, mais le systeme s'est

destabilisé à partir de 5h à nouveau. On est en train de regler à

nouveau le probleme.

* Commentaires (12)

Commentaire de OVH - vendredi, 04 septembre 2009, 08:50

Nous nous sommes pris autrement. Le probleme est reglé. Mais

on regarde les effets de bords.

Commentaire de OVH - vendredi, 04 septembre 2009, 09:14

Bon l'attaque est maitrisée mais on cherche une maniere plus jolie

de la gerer. Ce n'est pas intelectuellement pas très propre mais ça

marche. Ca aurait été plus simple si la commande flow mask marchait

correctement ...

En parallele, on fait en boucle la liste de nouvelles IP qui nous

attaquent pour les ajouter dans nos access-list.

Sinon:

Nous avons subit une attaque hier dans la journée sur 60gp et

depuis minuit on la recoit sur 90plan. Les hackers profitent de

la nuit aux USA pour la generer.

L'attaque est une bete SYN flood. La problematique est la quantitée

de nouvelles connexions /seconde (un peu plus de 3'000'000). On la

regle avec policy flow mask mais les commandes ne fonctionnent pas

correctement.

Les communications entre le systeme de repartition de charge (la carte

SLB de Cisco) et le reseau s'arretent de fonctionner au bout de 4-5

secondes puis la carte voit tout en panne. Il faut la redemarrer ce

qui prend 4-5 minutes. Nous avons d'abord pensé à une panne de la SLB

et nous l'avons changé à 1h00 par une spare mais c'était pas ça.

http://travaux.ovh.com/?do=details&id=3359

http://smokeping.ovh.net/ovh-server-statis...lan.http-90plan

On continue à bosser pour regler tout ça. Mais on aurait pu mieux

faire (facile de le dire après ...).

Commentaire de OVH - vendredi, 04 septembre 2009, 10:09

la carte a planté. redemarrage.

Commentaire de OVH - vendredi, 04 septembre 2009, 10:24

la carte a redemarré. le service est up.

Commentaire de OVH - vendredi, 04 septembre 2009, 10:27

Nous avons essayé de gerer l'attaque autrement et la carte a crashé.

Pour éviter les downtime on laisse le systeme dans l'état. Ca fonctionne.

Si vous avez des problemes, merci de m'envoyer en privé un email sur oles@ovh.net avec

le sujet "90plan attaque" et votre IP de connexion. Il se peut que le

systeme a bloqué automatiquement votre IP et il faut la debloquer à la

main.

Commentaire de OVH - vendredi, 04 septembre 2009, 11:17

Les filtres ont été un peu mieux adaptés. D'après les feedbacks de

ceux qui ont bien voulu m'envoyer leur IP (merci !) ça fonctionne.

Il reste à fixer Londres.

Commentaire de OVH - vendredi, 04 septembre 2009, 11:34

Londres fixé.

Commentaire de OVH - vendredi, 04 septembre 2009, 12:49

la carte a replanté. on a mis une 2ème et on va basculer

d'une à l'autre.

Commentaire de OVH - vendredi, 04 septembre 2009, 13:02

L'ancienne carte est réellement morte. On a mis un 2ème spare

à la place. Et on va rebasculer le trafic sur cette nouvelle

carte.

Commentaire de OVH - vendredi, 04 septembre 2009, 14:01

On a un comportement des routeurs qui n'est pas normal.

On sent un bug quelque part. On va mettre la derniere

version d'IOS sur les routeurs Cisco.

Nous avons mis à jour les routeurs.

http://travaux.ovh.com/?do=details&id=3361

Commentaire de OVH - vendredi, 04 septembre 2009, 14:04

tout le monde est up ?

si vous avez des problemes oles@ovh.net

Commentaire de OVH - vendredi, 04 septembre 2009, 14:13

Bon, l'attaque continue. Par contre la carte ne crash plus, elle se

prend l'attaque, fais "aie" mais on arrive à reprendre la main dessus.

bon on peut commencer à bosser ..."

On sent un peu la panique ... :eeek2::byebye::sm::dd: Moi ca ne m arrange pas vraiment cette histoire car j ai plusieurs serveurs chez eux ... ;)

Au moins ces gars qui travaillent dans cette boite ne pratiquent pas la langue de bois mais ce qui me fait le plus rigoler c est que lorsque tu n as même plus accès a leur serveur ils écrivent dans leur suivi d infos (auquel tu n as donc plus accès et que tu ne peux donc pas voir):

"Si vous avez des problemes, merci de m'envoyer en privé un email sur oles@ovh.net avec

le sujet "90plan attaque" et votre IP de connexion. Il se peut que le

systeme a bloqué automatiquement votre IP et il faut la debloquer à la

main."

Alors ca c est la goutte qui fait déborder le gâteau ;) ou bien la cerise sur le vase :D

Bonne journée,

Jeannot.

Lien vers le commentaire
Partager sur d’autres sites

La suite de la suite (C est pas long ... :-) ) :

"Commentaire de OVH - vendredi, 04 septembre 2009, 15:06

Ca avance désormais correctement. On ajoute par 300 IP dans les access-list.

Le probleme devrait être resolu d'ici quelques 15 minutes encore.

Commentaire de OVH - vendredi, 04 septembre 2009, 15:15

Voilà c'est plus ou moins clean. Il reste encore quelques IP mais ça

fait plus rien du tout. En tout on a environ 6000 IP.

On regarde regulierement pour voir s'il y a de nouvelles IP qui arrivent.

Puis on écrit tranquilement le robot qui va le faire ...

Commentaire de OVH - vendredi, 04 septembre 2009, 15:29

bon on n'a plus d'IP qui nous attaquent. on recheck."

/me content que ça re-fonctionne ;)

/me mort de rire de la façon dont cela s est passé ou tout du moins de la façon dont cela a été relaté par les techs de cette boite ;)

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...