logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 09-12-2015 22:26:47

spartiate
Membre
Distrib. : Buster (laptop) / Buster (serveur)
Noyau : Linux 4.19.0-5-amd64 (serveur)
Inscription : 19-06-2015

[SITE WEB DOWN]: site perso plus accessible

Bonjour à toutes et à tous,

Depuis quelques jours (environs une semaine), mon petit site perso n'est plus accessible à l'adresse www.leblais.net

Pouvez-vous me donner quelques pistes pour chercher où le problème peut se situer svp? Peux-être ai-je été la cible d'une attaque réseau??

Merci d'avance

Hors ligne

#2 09-12-2015 23:16:51

sogal
Black Metal Modo
Lieu : Nord Isère
Distrib. : openSUSE Leap 42.3
Noyau : Linux 4.4.76
(G)UI : GNOME
Inscription : 09-05-2013
Site Web

Re : [SITE WEB DOWN]: site perso plus accessible

Bonjour,

Peut-être pourrais-tu nous en dire plus sur le site en question, par exemple quel type de serveur l'héberge ? une machine physique ? une VM ? un dédié chez un prestataire tiers ? autohébergé ? il est conçu comment ? quel serveur (logiciel) le propulse ? tu as fait des mises à jours ? des mises à jour ont-elles être pu faites automatiquement ? as-tu accès (ssh par exemple) à la machine ? as-tu essayé de redémarrer les services relatifs à ton site ? as-tu accès aux logs ? peux-tu pinguer le serveur ?

Au boulot. cool

1485418338.png Hello IT ! Have you tried turning it off and on again ?

Hors ligne

#3 09-12-2015 23:32:30

Patriboom
Membre
Lieu : Arctique canadien
Distrib. : Bookworm (12)
Noyau : Linux 6.1.0-13-amd64
(G)UI : MATE
Inscription : 25-12-2008
Site Web

Re : [SITE WEB DOWN]: site perso plus accessible

Si c'est en PHP, active les messages d'erreurs et porte attention aux erreurs mentionnées
La commande:

error_reporting(E_ALL);
 


Portez la paix
Patrick Allaire, ptre

Hors ligne

#4 10-12-2015 09:31:04

raleur
Membre
Inscription : 03-10-2014

Re : [SITE WEB DOWN]: site perso plus accessible

www.leblais.net pointe vers l'adresse 81.66.203.113. Le reverse DNS et whois indiquent qu'elle appartient à Numericable.

Une tentative de connexion TCP aux ports 80 (HTTP) et 443 (HTTPS) de cette adresse retourne "connexion refusée", indiquant que ces ports ne sont pas en écoute ou filtrés par un pare-feu qui rejette explicitement les paquets entrants, au lieu de les bloquer silencieusement. Idem pour le port 22 (SSH) et quelques autres.

L'adresse ne répond pas au ping ICMP.

Un scan des ports TCP avec nmap rapporte que parmi les ports référencés et scannés, seuls les ports 666 et 9001 sont ouverts en écoute.
Le port 666 renvoie l'identification du serveur OpenSSH de Debian 7/Wheezy.
La plupart des autres ports sont bloqués silencieusement.

Un traceroute TCP sur un port ouvert ou fermé (qui répond) n'a pas permis d'établir si la machine qui répond est derrière un routeur qui fait des redirections de ports (type box internet), l'avant-dernier saut ne répondant pas.

Est-ce bien la bonne adresse IP ? Si oui, alors il semble que c'est le serveur HTTP (apache ?) qui n'écoute pas, donc qui ne tourne peut-être pas.
Si ce n'est pas la bonne adresse, peut-être est-ce une adresse IP dynamique qui a changé et le nom de domaine n'a pas été mis à jour avec la nouvelle adresse ?

Dernière modification par raleur (10-12-2015 09:33:28)


Il vaut mieux montrer que raconter.

Hors ligne

#5 10-12-2015 23:03:02

spartiate
Membre
Distrib. : Buster (laptop) / Buster (serveur)
Noyau : Linux 4.19.0-5-amd64 (serveur)
Inscription : 19-06-2015

Re : [SITE WEB DOWN]: site perso plus accessible

Bonsoir à vous,

J'ai un nom de domaine acheté chez OVH, je fais de l'auto-hébergement sur un PC tournant sous Wheezy derrière une Box Numericable.

Mon serveur web est sur Nginx.

L'adresse IP mentionnée ci dessus est bien renseignée sur mon dashboard OVH.

Effectivement, la commande

nmap -v -A www.leblais.net

ne révèle pas les ports 80/443 notamment.

Ils font l'objet d'une redirection de ports sur ma Box.

J'accèdes en ssh sur ce serveur via un autre PC en local (pas tenté de l'extérieur) et la connection en sftp fonctionne également.

Cela ne semble pas, a priori?, se caractériser par un piratage? Les dégâts seraient tout autre non??

Merci à vous pour votre assistance!

Dernière modification par spartiate (10-12-2015 23:09:32)

Hors ligne

#6 11-12-2015 00:52:58

raleur
Membre
Inscription : 03-10-2014

Re : [SITE WEB DOWN]: site perso plus accessible

Evidemment que l'adresse IP est renseignée chez OVH, sinon le nom de domaine ne pointerait pas dessus. La question était : est-ce bien l'adresse IP actuelle de ton serveur (ou de ta box qui redirige vers ton serveur) ? Ce ne serait pas la première fois qu'un nom de domaine avec une adresse IP dynamique n'est pas mis à jour et pointe encore vers une ancienne adresse IP qui est maintenant attribuée à un autre abonné.

Pourquoi te focalises-tu sur un piratage ? Commence par vérifier si nginx tourne et s'il écoute sur les ports sur lesquels il est censé écouter.

Il vaut mieux montrer que raconter.

Hors ligne

#7 11-12-2015 01:10:07

lagrenouille
CA Debian-Facile
Lieu : Toulouse
Distrib. : bookworm
Noyau : d'olive
(G)UI : xfce4 et awesome
Inscription : 28-03-2012
Site Web

Re : [SITE WEB DOWN]: site perso plus accessible

sur la page on voit ceci avec "IP"

IPv4 root -> 81/8 -> 81.66.0.0/16 -> 81.66.203.113
IP information 81.66.203.113
IP address    81.66.203.113
Description    End-User NUMERICABLE
Location    France (FR) flag
Registry    ripe
Network information
IP address    81.66.203.113
Reverse DNS (PTR record)    81-66-203-113.rev.numericable.fr
DNS server (NS record)    ns1.numericable.fr (82.216.111.75)
ns2.numericable.fr (82.216.111.76)
ns.ripe.net (193.0.9.6)
ASN number    21502
ASN name (ISP)    NC Numericable S.A.
IP-range/subnet    81.66.0.0/16
81.66.0.0 - 81.66.255.255
my external ip 86 199 68 110
my provider France telecom orange
dns200.anycast.me    3225
mailbox :tech.ovh.net

Ce à quoi l'on a pas accès par l'expérience vécue, on a pas d'oreilles pour l'entendre ..Nietzsche
Cela dit, bien que toute notre connaissance s’amorce avec l’expérience, il n’en résulte pas pour autant qu’elle découle dans sa totalité de l’expérience.  E.Kant
une compréhension insane est elle forcément irrationnel ? ..lagrenouille

En ligne

#8 11-12-2015 20:50:37

spartiate
Membre
Distrib. : Buster (laptop) / Buster (serveur)
Noyau : Linux 4.19.0-5-amd64 (serveur)
Inscription : 19-06-2015

Re : [SITE WEB DOWN]: site perso plus accessible

L'IP est bien celle-ci

lynx -dump www.monip.org


IP : 81.66.203.113



Un script vérifie régulièrement cette IP et met à jour l'IP sur OVH.

De l'extérieur, mon serveur sftp est accessible, et mon serveur bien dans la liste des serveurs du réseau TOR

http://torstatus.blutmagie.de/router_de … 97f53c19f2

Le problème est donc spécifique à Nginx.

service nginx status



[ ok ] nginx is running.



Les commandes autour de Netstat permettent de vérifier que les ports 80/443 ne sont pas ouvert, je ne vois pas ce qui a pu les mettre sur Off....Il ne me semble pas avoir fait de configuration particulière....

Dernière modification par spartiate (11-12-2015 20:51:32)

Hors ligne

#9 12-12-2015 10:34:47

tatave
Membre
Lieu : France-Belgique
Distrib. : Debian / Pfsense / esxi / hyper-v
Noyau : debian / windows Srv
(G)UI : aucun
Inscription : 23-06-2014

Re : [SITE WEB DOWN]: site perso plus accessible

numéricable on la vilaine habitude de lancer des mises a jour de leur box en douce comme d'autre et tu te retrouve avec une box qui a pour partie ou totalement des param par defaut.


c'est du vécu avec beton telecom, noos, pour du perso, et pour du client chez ilsélefaire, betontelecom, ainsi que chez l'agrum.

bon courrage quand meme.
en passant installe un outils de supervision qui remontera l'état de ta box, et autre éléments que tu jugeras interessant, et qui t'alertera quand tu preds la cnx sur la box qui pourrait plus tard te permettre de gagner du temps et éviter des soucis.

1 Cluster Pare-feu sous Pfsense 2.3.x (2wan,1wifi,1dmz,1lan)
1 Cluster Data center maison sous debian en cours de refonte
2 Cluster Labo de Virtualisation 1 sous esxi et 1 sous hyper-v
----- vm prod debian, windows serveur 2012/2016, freebsd

Hors ligne

#10 12-12-2015 10:48:49

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : [SITE WEB DOWN]: site perso plus accessible

tatave a écrit :

en passant installe un outils de supervision qui remontera l'état de ta box, et autre éléments que tu jugeras interessant, et qui t'alertera quand tu preds la cnx sur la box qui pourrait plus tard te permettre de gagner du temps et éviter des soucis.

Pour l'agrume, on s'y prend comment ?


I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#11 12-12-2015 11:00:34

tatave
Membre
Lieu : France-Belgique
Distrib. : Debian / Pfsense / esxi / hyper-v
Noyau : debian / windows Srv
(G)UI : aucun
Inscription : 23-06-2014

Re : [SITE WEB DOWN]: site perso plus accessible

version pro ou end user ?

Version pro dans certain secteur l'intervenant repart la plupart du temps avec la CF qui porte la conf.
Du coup tu l'as dans l'os, faut les faire réintervenir. du moins dans mon coin.

Version end user, comme j'avais deja eu un soucis avec les pro j'ai exigé une sauvegarde du la box sur support externe car si je ne n'avais pas je cassais le contrat et passait chez la concurrence ou que je posais un bon vieux routeur non agrume (cisco, hp, voir d-link ou autres...).

pensez a activer le snmp pour monitorer vos box si vous le pouvez comme sur tout éléments actifs de votre réseaux, conseil qui m'a sauvé la mise plus d'une fois.

1 Cluster Pare-feu sous Pfsense 2.3.x (2wan,1wifi,1dmz,1lan)
1 Cluster Data center maison sous debian en cours de refonte
2 Cluster Labo de Virtualisation 1 sous esxi et 1 sous hyper-v
----- vm prod debian, windows serveur 2012/2016, freebsd

Hors ligne

#12 12-12-2015 11:07:15

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : [SITE WEB DOWN]: site perso plus accessible

C'est pour mon paternel et je voudrais faire ça à distance ...

I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#13 12-12-2015 11:33:38

tatave
Membre
Lieu : France-Belgique
Distrib. : Debian / Pfsense / esxi / hyper-v
Noyau : debian / windows Srv
(G)UI : aucun
Inscription : 23-06-2014

Re : [SITE WEB DOWN]: site perso plus accessible

pour l'instant j'ai pas mieux que du teamviewer qui bien que non open est assez usité pour de la maintenance sur les pc et prendre la mains sur des actifs via un pc derrière.

Le hic est comme toutes les solutions si la box est en vrac l’accès distant est mort; a moins de brancher sont gsm au cul du pc et s'en servir de backdoor qui pourrait en pas être aussi déconnant que cela.

coté box tu as les outils type dyndns ou no-ip qui sont pas mal pour avoir une ip remonté auto sur un domaine type tagada.no-ip.org avec les ports open vers ton serveur ou pc, c'est plus ou moins payant et cher en fonction de ce que tu veux faire.

pour la sauvegarde de ta box chez l'agrume c'est plus ou moins simple a faire, je ne me souvient plus comme j'avais fait a l'époque.

1 Cluster Pare-feu sous Pfsense 2.3.x (2wan,1wifi,1dmz,1lan)
1 Cluster Data center maison sous debian en cours de refonte
2 Cluster Labo de Virtualisation 1 sous esxi et 1 sous hyper-v
----- vm prod debian, windows serveur 2012/2016, freebsd

Hors ligne

#14 12-12-2015 11:36:45

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : [SITE WEB DOWN]: site perso plus accessible

Merci.  smile

J'oubliais que si c'est en vrac, mon accès ssh est mort.  hmm

I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#15 12-12-2015 20:43:54

raleur
Membre
Inscription : 03-10-2014

Re : [SITE WEB DOWN]: site perso plus accessible

spartiate a écrit :

Les commandes autour de Netstat permettent de vérifier que les ports 80/443 ne sont pas ouvert, je ne vois pas ce qui a pu les mettre sur Off....Il ne me semble pas avoir fait de configuration particulière.


Peut-être un plantage de nginx, malgré ce qu'en dit le statut. As-tu regardé dans les logs et essayé de redémarrer nginx ?


Il vaut mieux montrer que raconter.

Hors ligne

#16 12-12-2015 23:21:32

spartiate
Membre
Distrib. : Buster (laptop) / Buster (serveur)
Noyau : Linux 4.19.0-5-amd64 (serveur)
Inscription : 19-06-2015

Re : [SITE WEB DOWN]: site perso plus accessible

Bon! je viens de faire le ménage dans le /etc/nginx/site-enabled et relancer le fichier de sauvegarde avec un ln -s dans ce dossier, relancé nginx et le revoilou big_smile

J'ai dû m'emmêler les pinceaux roll

Merci à vous pour votre assistance en tout cas!:cool:

Hors ligne

#17 13-12-2015 08:40:29

bendia
Chadministrateur
Distrib. : openSUSE Tumbleweed, Buster
Noyau : Linux 5.9.1-2-default + Linux 4.19.0-12-amd64
(G)UI : Gnome + Console et un peu Fluxbox
Inscription : 20-03-2012
Site Web

Re : [SITE WEB DOWN]: site perso plus accessible


Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.

En ligne

Pied de page des forums