jeannot27 Posté(e) le 4 septembre 2009 Partager Posté(e) le 4 septembre 2009 Bonjour à tous, ce petit message juste pour signaler aux journalistes de PCINPACT qu il y a eu une sérieuse attaque sur OVH. Et pis ! Ben si vous êtes déjà au courant vous pouvez effacer ce message : STOOOO Pour aujourd'hui. A+, Jeannot Edit : Je corrige mes fotes daurtaugrafes et puis merci a Nemesis. J ai posté sur le forum pour aller au plus vite. Mais c est bon j ai vu le lien :-) Merci Lien vers le commentaire Partager sur d’autres sites More sharing options...
nemesis93_75 Posté(e) le 4 septembre 2009 Partager Posté(e) le 4 septembre 2009 Salut, sur le site de PC INpact, il y a un lien (dans le menu de gauche) qui permet de soumettre une news, sans l'écrire C'est plus simple que de venir la posté sur le forum Cordialement Nemesis Lien vers le commentaire Partager sur d’autres sites More sharing options...
jeannot27 Posté(e) le 4 septembre 2009 Auteur Partager Posté(e) le 4 septembre 2009 Un petit suivi de l info dispo sur : http://travaux.ovh.com/ "Depuis 0h00, nous avons une forte attaque sur le 90plan. environ 5000IP envoient plus de 3'000'000 nouvelles connexions /seconde. Nous avons en parti reglé le probleme à partir de 2h du matin, mais le systeme s'est destabilisé à partir de 5h à nouveau. On est en train de regler à nouveau le probleme. * Commentaires (12) Commentaire de OVH - vendredi, 04 septembre 2009, 08:50 Nous nous sommes pris autrement. Le probleme est reglé. Mais on regarde les effets de bords. Commentaire de OVH - vendredi, 04 septembre 2009, 09:14 Bon l'attaque est maitrisée mais on cherche une maniere plus jolie de la gerer. Ce n'est pas intelectuellement pas très propre mais ça marche. Ca aurait été plus simple si la commande flow mask marchait correctement ... En parallele, on fait en boucle la liste de nouvelles IP qui nous attaquent pour les ajouter dans nos access-list. Sinon: Nous avons subit une attaque hier dans la journée sur 60gp et depuis minuit on la recoit sur 90plan. Les hackers profitent de la nuit aux USA pour la generer. L'attaque est une bete SYN flood. La problematique est la quantitée de nouvelles connexions /seconde (un peu plus de 3'000'000). On la regle avec policy flow mask mais les commandes ne fonctionnent pas correctement. Les communications entre le systeme de repartition de charge (la carte SLB de Cisco) et le reseau s'arretent de fonctionner au bout de 4-5 secondes puis la carte voit tout en panne. Il faut la redemarrer ce qui prend 4-5 minutes. Nous avons d'abord pensé à une panne de la SLB et nous l'avons changé à 1h00 par une spare mais c'était pas ça. http://travaux.ovh.com/?do=details&id=3359 http://smokeping.ovh.net/ovh-server-statis...lan.http-90plan On continue à bosser pour regler tout ça. Mais on aurait pu mieux faire (facile de le dire après ...). Commentaire de OVH - vendredi, 04 septembre 2009, 10:09 la carte a planté. redemarrage. Commentaire de OVH - vendredi, 04 septembre 2009, 10:24 la carte a redemarré. le service est up. Commentaire de OVH - vendredi, 04 septembre 2009, 10:27 Nous avons essayé de gerer l'attaque autrement et la carte a crashé. Pour éviter les downtime on laisse le systeme dans l'état. Ca fonctionne. Si vous avez des problemes, merci de m'envoyer en privé un email sur oles@ovh.net avec le sujet "90plan attaque" et votre IP de connexion. Il se peut que le systeme a bloqué automatiquement votre IP et il faut la debloquer à la main. Commentaire de OVH - vendredi, 04 septembre 2009, 11:17 Les filtres ont été un peu mieux adaptés. D'après les feedbacks de ceux qui ont bien voulu m'envoyer leur IP (merci !) ça fonctionne. Il reste à fixer Londres. Commentaire de OVH - vendredi, 04 septembre 2009, 11:34 Londres fixé. Commentaire de OVH - vendredi, 04 septembre 2009, 12:49 la carte a replanté. on a mis une 2ème et on va basculer d'une à l'autre. Commentaire de OVH - vendredi, 04 septembre 2009, 13:02 L'ancienne carte est réellement morte. On a mis un 2ème spare à la place. Et on va rebasculer le trafic sur cette nouvelle carte. Commentaire de OVH - vendredi, 04 septembre 2009, 14:01 On a un comportement des routeurs qui n'est pas normal. On sent un bug quelque part. On va mettre la derniere version d'IOS sur les routeurs Cisco. Nous avons mis à jour les routeurs. http://travaux.ovh.com/?do=details&id=3361 Commentaire de OVH - vendredi, 04 septembre 2009, 14:04 tout le monde est up ? si vous avez des problemes oles@ovh.net Commentaire de OVH - vendredi, 04 septembre 2009, 14:13 Bon, l'attaque continue. Par contre la carte ne crash plus, elle se prend l'attaque, fais "aie" mais on arrive à reprendre la main dessus. bon on peut commencer à bosser ..." On sent un peu la panique ... Moi ca ne m arrange pas vraiment cette histoire car j ai plusieurs serveurs chez eux ... Au moins ces gars qui travaillent dans cette boite ne pratiquent pas la langue de bois mais ce qui me fait le plus rigoler c est que lorsque tu n as même plus accès a leur serveur ils écrivent dans leur suivi d infos (auquel tu n as donc plus accès et que tu ne peux donc pas voir): "Si vous avez des problemes, merci de m'envoyer en privé un email sur oles@ovh.net avec le sujet "90plan attaque" et votre IP de connexion. Il se peut que le systeme a bloqué automatiquement votre IP et il faut la debloquer à la main." Alors ca c est la goutte qui fait déborder le gâteau ou bien la cerise sur le vase Bonne journée, Jeannot. Lien vers le commentaire Partager sur d’autres sites More sharing options...
jeannot27 Posté(e) le 4 septembre 2009 Auteur Partager Posté(e) le 4 septembre 2009 La suite de la suite (C est pas long ... :-) ) : "Commentaire de OVH - vendredi, 04 septembre 2009, 15:06 Ca avance désormais correctement. On ajoute par 300 IP dans les access-list. Le probleme devrait être resolu d'ici quelques 15 minutes encore. Commentaire de OVH - vendredi, 04 septembre 2009, 15:15 Voilà c'est plus ou moins clean. Il reste encore quelques IP mais ça fait plus rien du tout. En tout on a environ 6000 IP. On regarde regulierement pour voir s'il y a de nouvelles IP qui arrivent. Puis on écrit tranquilement le robot qui va le faire ... Commentaire de OVH - vendredi, 04 septembre 2009, 15:29 bon on n'a plus d'IP qui nous attaquent. on recheck." /me content que ça re-fonctionne /me mort de rire de la façon dont cela s est passé ou tout du moins de la façon dont cela a été relaté par les techs de cette boite Lien vers le commentaire Partager sur d’autres sites More sharing options...
Tiduster Posté(e) le 4 septembre 2009 Partager Posté(e) le 4 septembre 2009 C'est vrai que c'est intéressant leur manière de mettre au courant leur client. Ils ont l'air efficace , les pauvres, doivent en voir des vertes et des pas mûres. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Eagle1 Posté(e) le 9 septembre 2009 Partager Posté(e) le 9 septembre 2009 voila une journee qui doit commencer bien pour eux Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.