Bonjour a tous,
Apres l'accord de l'admin nous nous permettons de poster ici afin de vous expliquer la raison de l'interruption du serveur ou etait positionne votre Forum
le mardi 26 avril a 9h40 nous constatons un dysfonctionnement sur le serveur "cledunet.net" nous verifions le BIND (gestionnaire des DNS) et comme il y avait un flux important de transfert nous ne nous sommes pas inquiete car il nous semblait logique qu'en raison des sauvegardes effectuees par les webmaster pour migrer vers le nouveau serveur prenaient plus de flux passant.
A 10h le serveur fut bloque. Notre NOC (centre operationnel de surveillance) etablis un reboot sans succes. Apres controle des logs nous prevenons le Data Center afin qu'il effectue un Reboot Hardware. A 14 heures l'equipe du Data nous informe qu'apparemment il y a un script InitLog de redemarrage qui reprends sans raison le processus de rebootage sans jamais trouver le systeme.
Toute l'equipe avec des confreres vont au data afin d'analyser le probleme. Entre temps nous avions reussi a mettre tout le contenus sur un disque secondaire car la solution la plus adapte etant de reinitialiser le serveur et qu'ensuite nous puissions remettre l'ensemble des sites.
Nous effectuons toute une serie de test en local a 23h40 nous constatons qu'apres reinitialisation du serveur et installation des sites en local tout fonctionne apparemment.
0h10 nous rebranchons l'ensemble et a 0h15 le serveur est de nouveau Off.
A 2h 30 nous avons remarque qu'en fait nous etions la victime d'un "Crackeur's" il s'est introduits sur la base root de notre serveur et a installe tout une serie de log qui empeche la fermetue de port et donc lui permettant d'acceder au serveur des que ce dernier est remis en ligne.
A 2h50 nous avons analyser le contenus et nous avons constate que le "Crakeur's" avait en même temps vides tout les contenus des tables Sql de tout les sites present sur le serveur. En même temps il avait fait de telle sorte que le graphisme d'un site ait le contenus du texte d'un autre site.
A 4h20 nous n'avons pus que detruire les 2 IP du serveur car elles etaient verolé.
le mercredi 27 a 7h30 nous avons pus localiser l'auteur de cette attaque le "Crakeur's" c'est un Anglais habitant en Roumanie et sont acces est : costinestiul.go.ro.
Croyez bien que nous avons fait le maximum pour eviter la perte des données.
Conclusion :
1 - Nous nous sommes rendus compte que Redhat est un OS agreable et efficace mais sa simplicite laisse des portes ouvertes a ceux qui veulent y penetrer. C'est pourquoi sur le nouveau serveur ou vous etes nous avons change d'OS pour mettre FreeBsd plus complexe.
2 - Nous avons eu affaire non pas a un gamin de 15 ans qui "faisait mumuse" la routine employe demande une competence hors pair dans sa mise en execution
3 - Nul n'est a l'abri malgres nos mise a jour mensuel dans le domaine securitaire cela n'as donc pas empeche ce genre d'attaque.
Nous avons donc decide de mettre en place un systeme independant de sauvegarde sur disque externe ce qui permettra d'etre assure de la protection des contenus.
Alors me direz vous pourquoi ne pas l'avoir fait plutot ?... tout simplement nous avons un budget representant 27 % du montant total attribue a la securité des serveurs, ce qui nous ...vous protege des "petits malins" lors d'un attaque en regle par un ou des professionnels cela limite mais n'empeche pas.
en ce qui concerne la sauvegarde, notre metier est d'etre hebergeur, le panel de gestion permet une autonomie total pour le webmaster d'effectuer des sauvegarde de son cote.
nous avons eu des contact avec l'admin et je dois bien le reconnaitre que j'aurais du insister pour que Rovermg-france soit sauvegarde, en effet, c'est moi-meme qui avait assure a l'admin qu'il n'y avait pas danger a la demeure. Cledunet se sent d'autant plus responsable que nous etions a milles lieux d'imaginer avoir une attaque de cette ordre sachant que le serveur allez etre deconnecter dans les jours qui viennent et dons laissez le temps pour votre forum de migrer sans soucis, ni coupure, ni pertes de quoi que cela soit.
C'est pourquoi nous nous permettons d'intervenir sur votre forum, et vous assurez de notre embarras.
merci de votre attention