Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 09-12-2015 23:26:47

spartiate
Membre
Distrib. : Jessie (laptop) / Wheezy (serveur)
Noyau : 3.16.0-4-amd64 / 3.2.0-4-amd64
(G)UI : SpectrWM
Inscription : 19-06-2015

[SITE WEB DOWN]: site perso plus accessible

Bonjour à toutes et à tous,

Depuis quelques jours (environs une semaine), mon petit site perso n'est plus accessible à l'adresse www.leblais.net

Pouvez-vous me donner quelques pistes pour chercher où le problème peut se situer svp? Peux-être ai-je été la cible d'une attaque réseau??

Merci d'avance

Hors ligne

#2 10-12-2015 00:16:51

sogal
Black Metal Modo
Distrib. : Debian Testing
Noyau : 4.7
(G)UI : Gnome
Inscription : 09-05-2013
Site Web

Re : [SITE WEB DOWN]: site perso plus accessible

Bonjour,

Peut-être pourrais-tu nous en dire plus sur le site en question, par exemple quel type de serveur l'héberge ? une machine physique ? une VM ? un dédié chez un prestataire tiers ? autohébergé ? il est conçu comment ? quel serveur (logiciel) le propulse ? tu as fait des mises à jours ? des mises à jour ont-elles être pu faites automatiquement ? as-tu accès (ssh par exemple) à la machine ? as-tu essayé de redémarrer les services relatifs à ton site ? as-tu accès aux logs ? peux-tu pinguer le serveur ?

Au boulot. cool

Machine perso : Thinkpad x230 Debian Stretch | Machine pro : Thinpad T450 openSUSE Leap 42.2

Hors ligne

#3 10-12-2015 00:32:30

Patriboom
Membre
Lieu : Arctique canadien
Distrib. : Jessie
Noyau : Linux 3.16.0-4-686-pae
(G)UI : MATE
Inscription : 25-12-2008
Site Web

Re : [SITE WEB DOWN]: site perso plus accessible

Si c'est en PHP, active les messages d'erreurs et porte attention aux erreurs mentionnées
La commande:

error_reporting(E_ALL);
 


Portez la paix
Patrick Allaire, ptre

Hors ligne

#4 10-12-2015 10:31:04

raleur
Membre
Inscription : 03-10-2014

Re : [SITE WEB DOWN]: site perso plus accessible

www.leblais.net pointe vers l'adresse 81.66.203.113. Le reverse DNS et whois indiquent qu'elle appartient à Numericable.

Une tentative de connexion TCP aux ports 80 (HTTP) et 443 (HTTPS) de cette adresse retourne "connexion refusée", indiquant que ces ports ne sont pas en écoute ou filtrés par un pare-feu qui rejette explicitement les paquets entrants, au lieu de les bloquer silencieusement. Idem pour le port 22 (SSH) et quelques autres.

L'adresse ne répond pas au ping ICMP.

Un scan des ports TCP avec nmap rapporte que parmi les ports référencés et scannés, seuls les ports 666 et 9001 sont ouverts en écoute.
Le port 666 renvoie l'identification du serveur OpenSSH de Debian 7/Wheezy.
La plupart des autres ports sont bloqués silencieusement.

Un traceroute TCP sur un port ouvert ou fermé (qui répond) n'a pas permis d'établir si la machine qui répond est derrière un routeur qui fait des redirections de ports (type box internet), l'avant-dernier saut ne répondant pas.

Est-ce bien la bonne adresse IP ? Si oui, alors il semble que c'est le serveur HTTP (apache ?) qui n'écoute pas, donc qui ne tourne peut-être pas.
Si ce n'est pas la bonne adresse, peut-être est-ce une adresse IP dynamique qui a changé et le nom de domaine n'a pas été mis à jour avec la nouvelle adresse ?

Dernière modification par raleur (10-12-2015 10:33:28)

Hors ligne

#5 11-12-2015 00:03:02

spartiate
Membre
Distrib. : Jessie (laptop) / Wheezy (serveur)
Noyau : 3.16.0-4-amd64 / 3.2.0-4-amd64
(G)UI : SpectrWM
Inscription : 19-06-2015

Re : [SITE WEB DOWN]: site perso plus accessible

Bonsoir à vous,

J'ai un nom de domaine acheté chez OVH, je fais de l'auto-hébergement sur un PC tournant sous Wheezy derrière une Box Numericable.

Mon serveur web est sur Nginx.

L'adresse IP mentionnée ci dessus est bien renseignée sur mon dashboard OVH.

Effectivement, la commande

nmap -v -A www.leblais.net

ne révèle pas les ports 80/443 notamment.

Ils font l'objet d'une redirection de ports sur ma Box.

J'accèdes en ssh sur ce serveur via un autre PC en local (pas tenté de l'extérieur) et la connection en sftp fonctionne également.

Cela ne semble pas, a priori?, se caractériser par un piratage? Les dégâts seraient tout autre non??

Merci à vous pour votre assistance!

Dernière modification par spartiate (11-12-2015 00:09:32)

Hors ligne

#6 11-12-2015 01:52:58

raleur
Membre
Inscription : 03-10-2014

Re : [SITE WEB DOWN]: site perso plus accessible

Evidemment que l'adresse IP est renseignée chez OVH, sinon le nom de domaine ne pointerait pas dessus. La question était : est-ce bien l'adresse IP actuelle de ton serveur (ou de ta box qui redirige vers ton serveur) ? Ce ne serait pas la première fois qu'un nom de domaine avec une adresse IP dynamique n'est pas mis à jour et pointe encore vers une ancienne adresse IP qui est maintenant attribuée à un autre abonné.

Pourquoi te focalises-tu sur un piratage ? Commence par vérifier si nginx tourne et s'il écoute sur les ports sur lesquels il est censé écouter.

Hors ligne

#7 11-12-2015 02:10:07

lagrenouille
Adhérent(e)
Lieu : toulouse
Distrib. : debian stretch
Noyau : GNU/Linux Debian -amd64 - bépo_TypeMatrix
(G)UI : xfce4
Inscription : 28-03-2012
Site Web

Re : [SITE WEB DOWN]: site perso plus accessible

sur la page on voit ceci avec "IP"

IPv4 root -> 81/8 -> 81.66.0.0/16 -> 81.66.203.113
IP information 81.66.203.113
IP address    81.66.203.113
Description    End-User NUMERICABLE
Location    France (FR) flag
Registry    ripe
Network information
IP address    81.66.203.113
Reverse DNS (PTR record)    81-66-203-113.rev.numericable.fr
DNS server (NS record)    ns1.numericable.fr (82.216.111.75)
ns2.numericable.fr (82.216.111.76)
ns.ripe.net (193.0.9.6)
ASN number    21502
ASN name (ISP)    NC Numericable S.A.
IP-range/subnet    81.66.0.0/16
81.66.0.0 - 81.66.255.255
my external ip 86 199 68 110
my provider France telecom orange
dns200.anycast.me    3225
mailbox :tech.ovh.net

Celui qui ignore l’histoire se retrouvera sur une rive solitaire,d’où il épiera en vain les lumières d’un bateau.
Ce bateau ne viendra pas.
---------------------------
auto-hébergement chezlagrenouille.fr

Hors ligne

#8 11-12-2015 21:50:37

spartiate
Membre
Distrib. : Jessie (laptop) / Wheezy (serveur)
Noyau : 3.16.0-4-amd64 / 3.2.0-4-amd64
(G)UI : SpectrWM
Inscription : 19-06-2015

Re : [SITE WEB DOWN]: site perso plus accessible

L'IP est bien celle-ci

lynx -dump www.monip.org


IP : 81.66.203.113



Un script vérifie régulièrement cette IP et met à jour l'IP sur OVH.

De l'extérieur, mon serveur sftp est accessible, et mon serveur bien dans la liste des serveurs du réseau TOR

http://torstatus.blutmagie.de/router_de … 97f53c19f2

Le problème est donc spécifique à Nginx.

service nginx status



[ ok ] nginx is running.



Les commandes autour de Netstat permettent de vérifier que les ports 80/443 ne sont pas ouvert, je ne vois pas ce qui a pu les mettre sur Off....Il ne me semble pas avoir fait de configuration particulière....

Dernière modification par spartiate (11-12-2015 21:51:32)

Hors ligne

#9 12-12-2015 11:34:47

tatave
Membre
Lieu : France-Belgique
Distrib. : Debian 8.4x / Pfsense 2.3.x / esxi 5.5 / nas4free
Inscription : 23-06-2014
Site Web

Re : [SITE WEB DOWN]: site perso plus accessible

numéricable on la vilaine habitude de lancer des mises a jour de leur box en douce comme d'autre et tu te retrouve avec une box qui a pour partie ou totalement des param par defaut.


c'est du vécu avec beton telecom, noos, pour du perso, et pour du client chez ilsélefaire, betontelecom, ainsi que chez l'agrum.

bon courrage quand meme.
en passant installe un outils de supervision qui remontera l'état de ta box, et autre éléments que tu jugeras interessant, et qui t'alertera quand tu preds la cnx sur la box qui pourrait plus tard te permettre de gagner du temps et éviter des soucis.

1 Cluster Pare-feu sous Pfsense 2.3.x (2wan,1wifi,1dmz,1lan)
1 Cluster Data center maison sous nas4free 10.3.x
2 Cluster Labo de Virtualisation 1 sous esxi et 1 sous hyper-v
----- vm prod debian, windows serveur 2012/2016, freebsd

Hors ligne

#10 12-12-2015 11:48:49

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : [SITE WEB DOWN]: site perso plus accessible

tatave a écrit :

en passant installe un outils de supervision qui remontera l'état de ta box, et autre éléments que tu jugeras interessant, et qui t'alertera quand tu preds la cnx sur la box qui pourrait plus tard te permettre de gagner du temps et éviter des soucis.

Pour l'agrume, on s'y prend comment ?


I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#11 12-12-2015 12:00:34

tatave
Membre
Lieu : France-Belgique
Distrib. : Debian 8.4x / Pfsense 2.3.x / esxi 5.5 / nas4free
Inscription : 23-06-2014
Site Web

Re : [SITE WEB DOWN]: site perso plus accessible

version pro ou end user ?

Version pro dans certain secteur l'intervenant repart la plupart du temps avec la CF qui porte la conf.
Du coup tu l'as dans l'os, faut les faire réintervenir. du moins dans mon coin.

Version end user, comme j'avais deja eu un soucis avec les pro j'ai exigé une sauvegarde du la box sur support externe car si je ne n'avais pas je cassais le contrat et passait chez la concurrence ou que je posais un bon vieux routeur non agrume (cisco, hp, voir d-link ou autres...).

pensez a activer le snmp pour monitorer vos box si vous le pouvez comme sur tout éléments actifs de votre réseaux, conseil qui m'a sauvé la mise plus d'une fois.

1 Cluster Pare-feu sous Pfsense 2.3.x (2wan,1wifi,1dmz,1lan)
1 Cluster Data center maison sous nas4free 10.3.x
2 Cluster Labo de Virtualisation 1 sous esxi et 1 sous hyper-v
----- vm prod debian, windows serveur 2012/2016, freebsd

Hors ligne

#12 12-12-2015 12:07:15

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : [SITE WEB DOWN]: site perso plus accessible

C'est pour mon paternel et je voudrais faire ça à distance ...

I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#13 12-12-2015 12:33:38

tatave
Membre
Lieu : France-Belgique
Distrib. : Debian 8.4x / Pfsense 2.3.x / esxi 5.5 / nas4free
Inscription : 23-06-2014
Site Web

Re : [SITE WEB DOWN]: site perso plus accessible

pour l'instant j'ai pas mieux que du teamviewer qui bien que non open est assez usité pour de la maintenance sur les pc et prendre la mains sur des actifs via un pc derrière.

Le hic est comme toutes les solutions si la box est en vrac l’accès distant est mort; a moins de brancher sont gsm au cul du pc et s'en servir de backdoor qui pourrait en pas être aussi déconnant que cela.

coté box tu as les outils type dyndns ou no-ip qui sont pas mal pour avoir une ip remonté auto sur un domaine type tagada.no-ip.org avec les ports open vers ton serveur ou pc, c'est plus ou moins payant et cher en fonction de ce que tu veux faire.

pour la sauvegarde de ta box chez l'agrume c'est plus ou moins simple a faire, je ne me souvient plus comme j'avais fait a l'époque.

1 Cluster Pare-feu sous Pfsense 2.3.x (2wan,1wifi,1dmz,1lan)
1 Cluster Data center maison sous nas4free 10.3.x
2 Cluster Labo de Virtualisation 1 sous esxi et 1 sous hyper-v
----- vm prod debian, windows serveur 2012/2016, freebsd

Hors ligne

#14 12-12-2015 12:36:45

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : [SITE WEB DOWN]: site perso plus accessible

Merci.  smile

J'oubliais que si c'est en vrac, mon accès ssh est mort.  hmm

I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#15 12-12-2015 21:43:54

raleur
Membre
Inscription : 03-10-2014

Re : [SITE WEB DOWN]: site perso plus accessible

spartiate a écrit :

Les commandes autour de Netstat permettent de vérifier que les ports 80/443 ne sont pas ouvert, je ne vois pas ce qui a pu les mettre sur Off....Il ne me semble pas avoir fait de configuration particulière.


Peut-être un plantage de nginx, malgré ce qu'en dit le statut. As-tu regardé dans les logs et essayé de redémarrer nginx ?

Hors ligne

#16 13-12-2015 00:21:32

spartiate
Membre
Distrib. : Jessie (laptop) / Wheezy (serveur)
Noyau : 3.16.0-4-amd64 / 3.2.0-4-amd64
(G)UI : SpectrWM
Inscription : 19-06-2015

Re : [SITE WEB DOWN]: site perso plus accessible

Bon! je viens de faire le ménage dans le /etc/nginx/site-enabled et relancer le fichier de sauvegarde avec un ln -s dans ce dossier, relancé nginx et le revoilou big_smile

J'ai dû m'emmêler les pinceaux roll

Merci à vous pour votre assistance en tout cas!:cool:

Hors ligne

#17 13-12-2015 09:40:29

bendia
Admin stagiaire
Distrib. : Jessie
Noyau : 3.16.0-4-amd64
(G)UI : Gnome + XFCE + Console
Inscription : 20-03-2012
Site Web

Re : [SITE WEB DOWN]: site perso plus accessible


Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.
file-Re06858991f6f328b4907296ac5cea283

Hors ligne

Pied de page des forums