Bonjour, Nous c'est déjà des logs qui ont augmenté de manière anormale. Puis le nombre de connexion pour une même IP source.
Et les consoles centrales des UTM qui on aidé a l'analyse. Voila Pour info, on a vu l'attaque s'arrêté complètement vers 21h sur les toutes sondes. Xavier -----Message d'origine----- De : Florent ARRIGONI [mailto:zecla...@gmail.com] Envoyé : lundi 21 septembre 2015 19:49 À : Xavier ROCA; frnog-al...@frnog.org Cc : o...@ovh.net Objet : Re: [FRnOG] [ALERT] Attaque depuis OVH AS 16276 Bonsoir, Nous en avons également été victime cette après-midi. J'ai tout bloqué en entrée sur notre /23 et notre /21. Je ne sais pas quelle infra tourne derrière mais dans la même seconde nous avions énormément de SYN sur un range de port bien connu 22/21/3389 ... Quels outils vous ont "alertés" chez vous ? Bonne soirée. Florent Le 21/09/2015 18:28, Xavier ROCA a écrit : > Effectivement ne pas me croire sur Parole c'est une évidence. > Et je n'ai même pas mis mon AS et mes coordonnées. > > Mais, je ne pense pas qu'ici, qu'il y en a un seul de cette ML qui bloque sur > ma simple parole. > Même si certains peuvent y faire confiance. > L'erreur est possible. > > Content que cela serve a d'autre s'était un des deux objectifs. > Après analyse sur nos sondes réparties chez d'autres opérateurs, on voit la > même chose arrivait. > > OVH a été surprenant de réactivité. > > Mais on continu quand même a voir l'attaque via la même IP. > Ce n'est pas bon, si OVH a bien bloqué comme il me l'on confirmé. > > Ce qui veut peut-être dire usurpation d'IP si c'est le cas on va peut être en > voir d'autres prochainement. > Et puis l'IP en question n'est en finalité pas l'attaquant mais l'attaqué-> > par nos nombreux retour. > Ce n'est pas joli comme attaque mais assez vicieux et efficaces pour être vue > et pour tuer le vrai utilisateur de l'IP. > > Et troisièmement qui laisse passer une IP usurpé ... > > Bref bonne soirée > > Xavier > > > > -----Message d'origine----- > De : Nicolas Girardi [mailto:nicolas.gira...@virginmobile.fr] > Envoyé : lundi 21 septembre 2015 18:07 À : David Ponzone Cc : > Dominique Rousseau; frnog-al...@frnog.org Objet : Re: [FRnOG] [ALERT] > Attaque depuis OVH AS 16276 > > Idem chez nous. > > Nicolas Girardi | Responsable Infrastructure | Société OmeA Telecom > Ltd. 12, Rue Belgrand, 92300 Levallois<x-apple-data-detectors://0> | > Fixe :+33141381048<tel:+33141381048> | Mobile > :+33632803852<tel:+33632803852> > > Le 21 sept. 2015 à 17:42, David Ponzone > <david.ponz...@gmail.com<mailto:david.ponz...@gmail.com>> a écrit : > > Bon, il tente sur toutes les IP qu’il peut, ce coquin, et sur les ports 22/23 > (au moins). > Je l’ai bloqué complètement en ingress du réseau chez nous, pour info. > > Merci pour l’avertissement. > > Le 21 sept. 2015 à 17:23, Dominique Rousseau > <d.rouss...@nnx.com<mailto:d.rouss...@nnx.com>> a écrit : > > Le Mon, Sep 21, 2015 at 04:59:24PM +0200, Xavier ROCA > [x.r...@sdi.fr<mailto:x.r...@sdi.fr>] a écrit: > Bonjour, > > On subit une attaque depuis une IP 149.202.52.150 > > iptables -I INPUT -s 149.202.52.150 -j REJECT > > (je l'ai vu passer aussi :) > > > -- > Dominique Rousseau > Neuronnexion, Prestataire Internet & Intranet > 21 rue Frédéric Petit - 80000 Amiens > tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - > http://www.neuronnexion.coop > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
