oles@ovh.net
27-02-11, 6:56
Bom dia,
Melhoramos as protecções contra os ataques para a nossa
rede e nomeadamente os ataques spofados feitos com os
nossos IPs mas vindos da Internet. Agora este tipo de
ataques está bloqueado.
Isto fixa o problema de anti-hack que cerca de 300 clientes
receberam desde sexta feira à noite. Todos estes servidores
estão agora num estado normal de funcionamento.
Pedimos desculpa por este problema.
Amigavelmente,
Octave
Saber mais :
http://travaux.ovh.net/?do=details&id=5183
-----------------------------------------------------------------
Um cliente IT (um hackeur) encomendou 15 servidores. Utilizava certos
servidores para lançar ataques e scans. Foi colocado várias vezes em
"anti hack" (rescue) afim de proteger a nossa rede e as redes Internet.
Até la, nada de novo. O costume.
Um dos servidores 94.23.4.70 foi utilizado para atacar outros
hackeurs na net. Recebemos então ataques no 94.23.4.70
Implementamos protecções habitualmente utilizadas pelas
equipas 24/24 para bloquear estes ataques.
Nada de novo.
Como os bloqueamentos foram muito eficientes e os hackeurs que
atacaram 94.23.4.70 não satisfeitos pelo resultado dos seus
ataques, lançaram um ataque spoofado a partir de Internet mas com
os IP da Ovh. É um (bela) maneira de passar pelas seguranças e as
limitações automáticas de tráfego em caso de ataque. Porque o pacote
iniciado por um IP na Internet (seja onde for) ao spoofar a fonte
94.23.4.70 e a porta 80 chegavam à um IP de um servidor dedicado
na Ovh. Este servidor (que não pediu nada) respondia à 94.23.4.70
na porta 80 "não te pedi nada, anula a ligação". Ao lançar este spoof
de maneira massiva, os hackeurs provocaram um ataque feito pela rede
Ovh para um IP vítima94.23.4.70:80.Este ataque de 500Mbps foi lançado
sexta-feira de 25 por volta das 19h (20h em França).
A Ovh analisa o tráfego interno da rede e detecta os ataques e intervém
para bloquear os ataques. Detectamos assim que cerca de 300 servidores
na lançaram um ataque para 94.23.4.70 e passamos-os em rescue para
proteger a rede.
Neste caso, trata-se de um caso muito particular de um falso positivo
e voltamos a colocar estes servidores em estado normal.
Para evitar esta falha, implementamos uma protecção suplementar
no tráfego entrando para a nossa rede a partir de Internet. Já não
é possível enviar-nos pacotes a partir dos IPs fontes que nos
pertencem. Está bloqueado. O problema está fixado.
Pedimos desculpa pelos problemas ocasionados.
Em paralelo, apenas por informação, todos os servidores dedicados
na nossa rede ligados aos nossos switchs têm o mesmo tipo de
protecções ou seja que não podem iniciar tráfego com os IPs que
são atribuídos ao servidor (a porta do switch). Resumindo, em cada
porta de cada switch existe uma access-list com os IPs que podem
enviar tráfego. Não podem ser utilizados para spoofar e enviar este
tipo de ataque para a rede Ovh ou para Internet.
Melhoramos as protecções contra os ataques para a nossa
rede e nomeadamente os ataques spofados feitos com os
nossos IPs mas vindos da Internet. Agora este tipo de
ataques está bloqueado.
Isto fixa o problema de anti-hack que cerca de 300 clientes
receberam desde sexta feira à noite. Todos estes servidores
estão agora num estado normal de funcionamento.
Pedimos desculpa por este problema.
Amigavelmente,
Octave
Saber mais :
http://travaux.ovh.net/?do=details&id=5183
-----------------------------------------------------------------
Um cliente IT (um hackeur) encomendou 15 servidores. Utilizava certos
servidores para lançar ataques e scans. Foi colocado várias vezes em
"anti hack" (rescue) afim de proteger a nossa rede e as redes Internet.
Até la, nada de novo. O costume.
Um dos servidores 94.23.4.70 foi utilizado para atacar outros
hackeurs na net. Recebemos então ataques no 94.23.4.70
Implementamos protecções habitualmente utilizadas pelas
equipas 24/24 para bloquear estes ataques.
Nada de novo.
Como os bloqueamentos foram muito eficientes e os hackeurs que
atacaram 94.23.4.70 não satisfeitos pelo resultado dos seus
ataques, lançaram um ataque spoofado a partir de Internet mas com
os IP da Ovh. É um (bela) maneira de passar pelas seguranças e as
limitações automáticas de tráfego em caso de ataque. Porque o pacote
iniciado por um IP na Internet (seja onde for) ao spoofar a fonte
94.23.4.70 e a porta 80 chegavam à um IP de um servidor dedicado
na Ovh. Este servidor (que não pediu nada) respondia à 94.23.4.70
na porta 80 "não te pedi nada, anula a ligação". Ao lançar este spoof
de maneira massiva, os hackeurs provocaram um ataque feito pela rede
Ovh para um IP vítima94.23.4.70:80.Este ataque de 500Mbps foi lançado
sexta-feira de 25 por volta das 19h (20h em França).
A Ovh analisa o tráfego interno da rede e detecta os ataques e intervém
para bloquear os ataques. Detectamos assim que cerca de 300 servidores
na lançaram um ataque para 94.23.4.70 e passamos-os em rescue para
proteger a rede.
Neste caso, trata-se de um caso muito particular de um falso positivo
e voltamos a colocar estes servidores em estado normal.
Para evitar esta falha, implementamos uma protecção suplementar
no tráfego entrando para a nossa rede a partir de Internet. Já não
é possível enviar-nos pacotes a partir dos IPs fontes que nos
pertencem. Está bloqueado. O problema está fixado.
Pedimos desculpa pelos problemas ocasionados.
Em paralelo, apenas por informação, todos os servidores dedicados
na nossa rede ligados aos nossos switchs têm o mesmo tipo de
protecções ou seja que não podem iniciar tráfego com os IPs que
são atribuídos ao servidor (a porta do switch). Resumindo, em cada
porta de cada switch existe uma access-list com os IPs que podem
enviar tráfego. Não podem ser utilizados para spoofar e enviar este
tipo de ataque para a rede Ovh ou para Internet.