Investigations sur le BUG / VERS / DDOS de delain

[blackrider]

Bonjour,

voici quelques reflexions qui j'epere vous aideront :

1. j'ai interrogé la communauté LINUX (un copain à moi en fait)

Ils ne sont pas au courant d'un quelconque nouveau vers et pas d'attaque referencée...

Aucun bulletin d'information de la communauté Debian GNU LINUX.

2. Les sites Mounty Hall et Delain tournent tres bien depuis qu'il n'y a plus de page de Login. Forum fluide etc.

Conclusion si c'etait une attaque non premeditée, hasardeuse, d'un Ver, le site complet serait mort, forum compris.

j'en déduis donc que la cible des attaques etait la page de login et pourquoi me direz vous?? certainement pour cracker un ou plusieurs comptes. He oui, il suffit de lancer un prog qui essaye des milliers de combinaisons sur un login pour en trouver le mot de passe hum...

plausible n'est ce pas ?? cela expliquerait (vu le bug du compteur de connecté) la montée en charge du serveur et du nombre de connectés.

Maintenant ma solution au probleme :

memoriser l'ip de la personne qui tente de se connecter, au bout de 3-4 connexions successives, le mettre dans une table de base de données en hacker.

parallelement faire tourner un script php qui lit la table des hackers, quand une IP est marquée en Hacker, le script PHP qui tourne en root, ajoute la commande IPTABLE qui permet de bloquer l'ip du hacker au niveau de la carte réseau. on le banni quoi. toutes les 15 minutes on clear IPTABLE pour que ll'ip soit a nouveau autorisée, sinon on risque de griller des personnes qui jouent réellement, car les providers on des plages d'ip attribuées a la connexion.

Voilà les personnes qui essayeront de se connecter trop souvent seront bannis pour un quart d'heure, ca calme....

et si ils changent d'ip il faut qu'il se deconnecte et reconnecte, ca les fera plus c.... que le serveur.

Bon courage
Blackrider en manque....

[blackrider]

PS : si j'embete vous me le dites, je supprimerai mes posts , je voudrais pas m'imposer, déjà que ca doit être chiant de chercher...

[liloo]

*** Liloo à Trollhyène***
Je t'avais dit que ca se verrait... La prochaine fois on évitera d'effacer Akitene, et on le tue, c'est plus simple... Et pour les 10 niveaux qu'on s'est rajoutés, j'espère que ca se verra moins

[Arkdoz]

Comme Mountyhall a été attaqué en même temps je trouve que c'est une drôle de coîncidence.

[blackrider]

oui peut etre un ou plusieurs joueurs qui jouent aux deux jeux...

tant qu'a faire de toruver un login mot de passe valide autant essayer els deux....

[Serena]

Si c'est ca, alors ca se verra dans les logs du serveur.

[blackrider]

oui tout a fait mais ca peut etre subtile...

du style la page est appellée et c'est un programme qui entre les données dans le formulaire, c'est moins facile que si le gars envoies directement l'appel au formulaire avec les parametres...

enfin on a pas vu les logs alors on peut pas trop dire , tout cela n'est que supposition.

[Grizzly]

Manquerait plus qu'on attaque Démange en plus et mes 3 jeux préférés seraient OUT.

J'suis en manque là!!!!

J'vais me faire un dém vite!!!

Grizzly "alias "StormWatch" sur démange

[little grey]

Je compense avec du RISK II
Je compte plus combien de fois j'ai tué les computer

[Merrick]

Comme expliqué précédemment, on bosse dessus. Le problème est que ça prend du temps pour être "propre" et on ne reouvrira pas avant.
Pour ce qui est des symptomes : plusieurs pages ont bien été "attaquées" mais le problème se pose sur les pages de jeu uniquement, à cause des sessions. La base n'arrive plus à écrire les sessions assez vite et s'écroule, entrainant le serveur. Si il n'y pas d'écriture en base, alors tout se passe à peu près bien, et la machine ne s'effondre pas.

[gorbach]

Je pense que je vais poser la question que tout le monde se pose :

Merrick, as-tu une idée même approximative de la date de réouverture du site ????

[Merrick]

Pas avant plusieurs jours c'est certain. Comme je suis surbooké au taf....

[yohman]

prend ton temps ......

de toute façon on ma placé sous assistance respiratoire,
avec deux perf de morphine
et une jolie chemise avec des manches super longues qui s'attachent dans le dos (tres elegant J'adooôoore).

donc mon sevrage delainistique se passe tres tres bien.

je suis blindé de patience.

je peux tenir ........

arg !!!!! non pas la douche froide, pas la douche froide, pas la douche froide, je serais sage..............;

[Serena]

Vu sur mountyhall:

Je ne sais pas si ça va aidé en tous cas je suis moi même hébergeur d'un serveur NWN, et apparament mon serveur a été pollué par le Trojan que vous avez identifié si vous n'aviez pas prévenut et si je ne jouez pas à MH je l'aurrais vu bien plus tard, j'ai utilisé the Cleaner que vous avez conseillé dans un autre post qui a détécté le trojan et grâce à une mise à jour de MacCaffee Virusscan j'ai sollutionné mon probléme, qui plus est j'ai sécurisée mon serveur Apache, grâce aux mises à jours et étrangements ma Charge Uc et Ram à diminuer de 20%, bilan je remercie tous ceux qui ont aidé le DM de la part de mes joueurs(environ 40 heureux^^), voilà c'est dit. Qui plus est j'ai réussit à loggé 2 IPS différentes grace à Keryo professional apparament celui ci a laissé passer, une faille de sécurité apparament, j'ai bien sur coupé l'accés grâce à la derniere mise à jour Keryo, j'ai scanné les IPS et une n'existe plus et l'autre est un site de mise à jour MSN + , bizarre bizarre...

[Sasuke Uchiha]

2. Les sites Mounty Hall et Delain tournent tres bien depuis qu'il n'y a plus de page de Login. Forum fluide etc.

oui j'ai remarqué cela aussi