ovh - Le hack, le spam et les scans : la suite

Bonjour,

Nous continuons notre travail pour purger le réseau de tous
les clients qui essaient d’utiliser les ressources de nos
datacentres pour une activité illégale.

Après le turnover et avant de s’attaquer au spam, nous avons
repéré 3 revendeurs qui se sont spécialisés dans le revente
de nos serveurs à des hackers en tout genre. Il y a 1 client
UK et 2 clients ES ce qui représente environ 600 serveurs.
Ils ont reçu une lettre recommandée disant qu’ils ne peuvent
plus commander les nouveaux serveurs et ils ne peuvent plus
renouveler le service qu’ils ont chez Ovh. Ils vont donc
être purger tranquillement jusqu’à la fin de l’année environ.

Nous avons mis en place un "aspirateur" de packets ce qui
nous permet d’aspirer le trafic d’une IP précise. C’est très
utile dans la lutte contre les botnet : quand on détecte un
serveur hacké qui est connecté sur une IP botnet, nous
aspirons le trafic vers ce botnet et on retrouve tous les
serveurs qui sont également hackés et ceci en moins de 60sec.
Nous sommes en cours d’automatisation d’envoi des alertes
pour ce genre de cas.

Nous allons attaquer sous peu la lutte contre le spam et
le phishing ce qui va consister à bloquer le port 25 ou
le port 80 (dans le bon sens) en cas de détection de spam
ou d’un site phishing. Avant le blocage on laissera au
client un certain temps pour réagir et fixer le problème
mais passer un délai nos robots vont intervenir automatiquement
pour fermer mais aussi pour reouvrir le port. Tout le reste
du serveur va continuer à fonctionner.

Enfin, toute cette activité de lutte va se retrouver sous
peu sur un site Internet où nous allons raconter de manière
automatique ou manuelle tout ce qu’on subit et ce qu’on
fait. Ainsi, tout sera beaucoup plus transparent et totalement
public. Ceci aura de conséquence car par exemple, nous avons
trouvé de réseaux entier spécialisés dans le scan. Avec ce
genre de statistiques on pourra voir où se situe le danger
et donc on pourra préconiser les protections.

Amicalement
Octave

Envie de recevoir nos dernières nouvelles? Inscrivez-vous à notre newsletter