Valse melding attack door OVH + reboot in rescue mode.
Draaide tot daarnet nog steeds met de aangepaste exit policy. (d.w.z. port 443 rejected) Alleen toevallig een uurtje terug schijnbaar per ongeluk die line uit mijn config verwijderd, want de server is om de oude reden een paar minuten geleden offline getrapt.
edit: Vaag.. exit policy ongewijzigd.. ff bughunten morgen.
Mooi staaltje Franse koppigheid idd Ben benieuwd hoe dit afgelopen is en of TOR nog steeds draait.
Oorspronkelijk geplaatst door
coevoet
Vast niet, want Octave is verantwoordelijk voor het netwerk en hoe hij er over denkt moge inmiddels duidelijk zijn en is verder geen discussie over mogelijk.
Dat er een verschil zit tussen een service die daadwerkelijk connect met andere servers en een scan die dat gedrag "immiteert" middels een (enkele) three-way handshake interesseert hem kennelijk niets. (Evenmin dat er goede argumenten zijn tegen scans middels die methode.)
dat met duidelijk is typisch frankrijk :P
Oorspronkelijk geplaatst door
coevoet
omdat het probleem ook gewoon een willekeurige andere service kan treffen.
dat denk ik niet , niet veel andere services zijn steeds bezig op poort 443
(of nu dan 110 zoals bij die andere persoon)
Oorspronkelijk geplaatst door
Praetorian
En ondertussen is er nog steeds niet vermeld wat je nou precies doet
De op één na laatste alinea van mijn eerste post laat anders niets aan de verbeelding over. Verder gaan de laatste posts in deze thread er ook nog eens inhoudelijk op in. Iets dat ik persoonlijk wilde voorkomen, omdat het probleem ook gewoon een willekeurige andere service kan treffen.
Praetorian
18-04-09, 19:15
En ondertussen is er nog steeds niet vermeld wat je nou precies doet
Oorspronkelijk geplaatst door
suddenbunny
Neem contact op met service center
Die kunnen je er veel beter bij helpen
Vast niet, want Octave is verantwoordelijk voor het netwerk en hoe hij er over denkt moge inmiddels
duidelijk zijn en is verder geen discussie over mogelijk.
Dat er een verschil zit tussen een service die daadwerkelijk connect met andere servers en een scan die dat gedrag "immiteert" middels een (enkele) three-way handshake interesseert hem kennelijk niets. (Evenmin dat er goede argumenten zijn tegen scans middels die methode.)
suddenbunny
18-04-09, 15:37
Neem contact op met service center
Die kunnen je er veel beter bij helpen
Vannacht weer hetzelfde gezeik. Nu met poort 110....
Oorspronkelijk geplaatst door
oles@ovh.net
coevoet a écrit:
*knip* I'm the network
admin in Ovh and I decide what is the legitime trafic and
what I allow on my network. not you. You can't not to agree
with me, but I have nothing to do with, because my responsability
here is to route the packets with no lost. If you have any
lost, you can tell me that I make the bad job. But telling me
that my network's protection are bad ... well tell it if it's
make you better. *knip*
Ofcourse you decide what is legitime traffic for your network. That's why I carefully read the "Algemene voorwaarden" and the "Bijzondere voorwaarden voor verhuur van een dedicated server". As long as they nor laws state it's "not legitime", I usually consider a service to be legitime like your other clients. That is why exactly why I told you about this error(imo).
See I don't have a problem if you don't allow the service I'm running or don't allow much connections on port 443. If you think it's ok to make running some services impossible so your monitoring application may keep track on (possibly) more common (but actually retarded) activities in some/this way, it's ok for me. I respect your choice. What bothers me is that you didn't point that out anywhere (i.e. not in your faqs or in the agreements), starts telling absolute lies about my activities and after that shows us what the dutch proverb "franse arrogantie" actually means. Just cause I informed you about it and try to be helpfull.
As you may see in my first post I made about this issue I'm absolutely clear about what I'm running (including the version numbers), pointing out to documentation and even run some stats. Further I gave you the feedback on your own request, in the topic about searching beta testers, and gave a possible walkthrough for this problem in this thread, which could be usefull for other clients. (ie. rejecting connections to port 443.)
I hope this all was just a misunderstanding, you're the nice guy I thought you were and you didn't show your attitude towards your clients in general. All I was doing was giving feedback btw since I already pointed out the problem...
Oorspronkelijk geplaatst door
bfs789
*knip*
NOTA BENE: ik beschuldig niemand van wat dan ook, dit is alleen een reactie op dat TOR gebeuren...
*knip*
Maar hoe groot is eigenlijk de kans dat die mensen uit bijv. China / Tibet / Noord-Korea langs je server komen en hoe groot is de kans
dat bijvoorbeeld pedofielen uit west-europa langs je server komen...
Ik wil de goede bedoelingen van de initiële poster best geloven. Toch vind ik het een beetje raar dat velen roepen dat er absoluut niets duisters / raar is aan dit systeem. Je gaat toch ook niet van een anonieme P2P systeem zeggen dat het nooit voor duistere praktijken wordt gebruikt, of wel?
Het is een welbekend gegeven dat dit systeem reeds actief gebruikt wordt door o.a. overheidsinstanties bezig met opsporing danwel actief op het gebied van "defensie". Daarnaast uiteraard door vrijheidsminnende mensen, journalisten, dissidenten etc. Andere bijkomstigheid is dat grote delen van het internet ontsloten worden, net als bij bijv. Blossom. (hoewel bij Tor de focus op anonimitieit ligt en bij Blossom op connectiviteit.)
Ik maak me geen illusies dat de dienst niet misbruikt wordt. Dat is nl. iets dat hoe dan ook gebeurt als je verkeer transporteert. Daar is m.i. niets duisters aan. Dat is de keiharde realiteit. Afweging die je dan kunt maken is hoe waarschijnlijk het is of de dienst (grootschalig) wordt misbruikt, of je hier iets aan kunt doen en of je hier iets aan wilt doen.
In principe zijn er een aantal betere en evengoed bekende (geanonimiseerde) alternatieven voor de verspreiding van kinderporno. Daarnaast maakt het capaciteitsprobleem van Tor plus het by default rejecten van filesharingverkeer de dienst nauwelijks aantrekkelijk voor dat doel. (Zoals je weet wordt kinderporno voornamelijk verspreid via P2P diensten en spelen websites nauwelijks een rol hierin.) Het is dan ook hoogstonwaarschijnlijk dat de dienst vooral daarvoor gebruikt wordt.
Zouden we dan omwille van een marginaal groepje mensen dit soort diensten moeten tegenwerken? Ik denk persoonlijk van niet. Voor een hele grote groep mensen is het heel belangrijk vrij en anoniem toegang te hebben tot het internet. Dit kan een dissident zijn in Turkije of een niet veroordeelde activist die genante informatie wil delen met zijn vrienden, maar evengoed een Nederlandse tiener die eerlijke informatie niet kan bereiken omdat pa en ma een filternet account hebben.
Ik vind dat zolang je een mate van vrijheid geniet je best een handreiking kunt doen richting mensen die deze vrijheid niet hebben. Hierin zouden we in Nederland ook best een voortrekkersrol kunnen spelen. Dit in tegenstelling tot onszelf steeds te slachtofferen en de vrijheden steeds verder in te willen perken, omwille van een marginaal clubje mensen die kwaadwillend is.
Ik heb hier ook last van gehad. Nu 443 uit de exitpolicy van tor is geen problemen meer gehad
Hebben we het hier over de TOR service of een van de aanverwanten? Het zou me namelijk verbazen als dat als scam gezien zou worden. Ik draai zelf een TOR service binnen het hetzner netwerk (OVH's duitse conculega) en die maken er -na enige uitleg- geen punt van gezien er niets duisters / raars of wat dan ook aan is.
(
http://www.torproject.org/overview.html)
@coevoet
bel ze op en spreek het uit met ze , geef aan dat je een anomiteits server gebruikt.
Of te wel dat mensen jouw server gebruiken om anoniem te blijven tijdens het webserver , enja waarom doet men dat kun je je dan ook weer afvragen
Denk er aan het is hun server die ze weggaven , dus kunnen ermee doen wat ze willen.
tja.
ik heb er geen vraag tekens bij.
Als je het 1e bericht van coevoet leest dan weet je ook donders goed wat ie kan.
dus enige twijvel kan maar is niet nodig lijkt mij.
Oorspronkelijk geplaatst door
Alexander
@jesper.
Het maakt niet uit wat voor service coevoet draait op zijn server.
Het gaat erom dat er in het ronde word gebleerd door oles.
De service die coevoet gebruikt is ook niet belangrijk voor dat monitoring shit.
En het het lijkt wel alsof je iets verbergt klopt niet.
Kennelijk heeft coevoet geen zin om te vertellen aan jan en alleman wat hij doet met zijn server, al weet ik zeker dat het normale dingen zijn.
Zeggen is anders dan zijn.
Het blijft een verhaal, ik beschuldig hier niemand, maar als hij niet wil vertellen wat hij draait dan is het toch logisch dat mensen hier hun vraagtekens bij zetten?
@jesper.
Het maakt niet uit wat voor service coevoet draait op zijn server.
Het gaat erom dat er in het ronde word gebleerd door oles.
De service die coevoet gebruikt is ook niet belangrijk voor dat monitoring shit.
En het het lijkt wel alsof je iets verbergt klopt niet.
Kennelijk heeft coevoet geen zin om te vertellen aan jan en alleman wat hij doet met zijn server, al weet ik zeker dat het normale dingen zijn.
Oorspronkelijk geplaatst door
coevoet
Well, you never did detect a scan from my server and you never will detect a scan from it, so no problem for me. Never the less you probably should ask an networkengineer with clue to examin traffic. (Or just stop making insults when you don't know what you're talking about.)
As I mentioned before there was no such thing as an TCP connect() scan. Who do you think I am? A 16 year old scriptkiddie who is very pleased with a free server to do loats of ridiculous TCP connect() scans with it? I bet even a 16 year old scriptkiddie shouldn't do that. You have to lag any form of common sense to do something like that.
The only thing you proved is that I'm running an application which is using the system call connect() or in less technical terms is connecting with other servers at port 443. When connected the servers are just doing their stuff, like it should be. Completely normal traffic for a specific service, you probably never heard of. (So I don't bother you with it.)You're suggesting a shitload of connections on port 443 is the same as scanning. How did you came up with that silly idea.
So again. Please fix your monitoring system, gain some knowledge and let someone with clue examin the traffic instead making false accusations. Serious, it makes me very sad when people are claiming I'm having some lameass scriptkiddo activities. It really, really sucks.
Zoals gezegd. Ik doe geen scans. Het enige dat er gebeurt is dat een bepaalde service die ik run een shitload aan verbindingen open heeft staan, waaronder een aantal op poort 443. (De service gebruikt zeg maar regelmatig de poorten 80 en 443 uit firewall technische overwegingen.)
Voor w.b.t. deze toepassing is er geen alternatief behalve de verbindingen naar poort 443 in de configuratie te rejecten, zoals ik gedaan heb. Maakt de service niet helemaal kapot, maar het is weldegelijk een concessie.
Verder is het absoluut niet relevant welke service ik exact run. Punt is dat er onterecht mensen, N.B. publiekelijk(!), beschuldigd worden van het maken van scans wat tot op heden bij nog geen enkele ISP gebeurd is. (En OVH is heus niet de enige partij die actief monitorred op vreemde activiteiten.) Een grote verscheidenheid aan ISP's hebben deze (beste nobele) service overigens in hun netwerk draaien kan ik je verzekeren.
Ik weet niet wat je draait, dus ik gokte ook maar wat, en gebruikte dat scan gebeuren omdat Octave dat zei,
Waarom is het niet relevant wat voor service je draait, het lijkt net wel alsof je iets verbergt hoor (niet dat ik je beschuldig...)
@ oles.
zeuren is ook een vak.
inplaats dat je hem nou is mailt dan continu hem erop wijzen op jou zogenoemde baan of wat dan ook, doe het is via de mail en niet via forum.
En voor zover heb ik het gevoel dat coevoet gewoon normaal bezig is, en donders goed weet wat hij doet.
oles@ovh.net
16-04-09, 19:00
coevoet a écrit:
I've already anwsered. You know what will happen if I detect
again any scan from your server. you can tell me that it's
the legitime trafic, for me it's a scan. I'm the network
admin in Ovh and I decide what is the legitime trafic and
what I allow on my network. not you. You can't not to agree
with me, but I have nothing to do with, because my responsability
here is to route the packets with no lost. If you have any
lost, you can tell me that I make the bad job. But telling me
that my network's protection are bad ... well tell it if it's
make you better.
I don't discute about the security on my network. No hope.
And I shutdown any server that make something that I don't
like.
Oorspronkelijk geplaatst door
oles@ovh.net
coevoet a écrit:
>
your test will finish next time I detect any scan from your
server. understood ? right ...
Well, you never did detect a scan from my server and you never will detect a scan from it, so no problem for me. Never the less you probably should ask an networkengineer with clue to examin traffic. (Or just stop making insults when you don't know what you're talking about.)
As I mentioned before there was no such thing as an TCP connect() scan. Who do you think I am? A 16 year old scriptkiddie who is very pleased with a free server to do loats of ridiculous TCP connect() scans with it? I bet even a 16 year old scriptkiddie shouldn't do that. You have to lag any form of common sense to do something like that.
The only thing you proved is that I'm running an application which is using the system call connect() or in less technical terms is connecting with other servers at port 443. When connected the servers are just doing their stuff, like it should be. Completely normal traffic for a specific service, you probably never heard of. (So I don't bother you with it.)You're suggesting a shitload of connections on port 443 is the same as scanning. How did you came up with that silly idea.
So again. Please fix your monitoring system, gain some knowledge and let someone with clue examin the traffic instead making false accusations. Serious, it makes me very sad when people are claiming I'm having some lameass scriptkiddo activities. It really, really sucks.
Oorspronkelijk geplaatst door
Jesper
Nou coevoet, blijkbaar ben je gedwongen te stoppen met wat je nu doet, helaas pindakaas blijkbaar!
Ik weet niet wat je precies doet, en waarom je uberhaupt scans nodig hebt, maar Octave geeft behoorlijk goed argument om hackers van hun netwerk te houden, dus ook scans (Nee, ik wijs je niet aan als hacker!)
Als je ons nou verteld wat je exact op je server doet, misschien dat we een alternatief kunnen bedenken!
Zoals gezegd. Ik doe geen scans. Het enige dat er gebeurt is dat een bepaalde service die ik run een shitload aan verbindingen open heeft staan, waaronder een aantal op poort 443. (De service gebruikt zeg maar regelmatig de poorten 80 en 443 uit firewall technische overwegingen.)
Voor w.b.t. deze toepassing is er geen alternatief behalve de verbindingen naar poort 443 in de configuratie te rejecten, zoals ik gedaan heb. Maakt de service niet helemaal kapot, maar het is weldegelijk een concessie.
Verder is het absoluut niet relevant welke service ik exact run. Punt is dat er onterecht mensen, N.B. publiekelijk(!), beschuldigd worden van het maken van scans wat tot op heden bij nog geen enkele ISP gebeurd is. (En OVH is heus niet de enige partij die actief monitorred op vreemde activiteiten.) Een grote verscheidenheid aan ISP's hebben deze (beste nobele) service overigens in hun netwerk draaien kan ik je verzekeren.
ik weet wel wat slecht is.
Dat ze niet meteen beginnen te zeuren en kijken wat ze beweren.
Giant a écrit:
>
> Hierbij mijn code 5547528
done !
500/500
it's over.
now, we are waiting for the feedback. please use the forum to give us
the feedback, what is good, what is bad, what do you want and we don't
propose, what should be done in a different way ... any feedback is
welcome !
Thanks !
Octave
Tja, Ik heb er geen.. Was ook niet van plan om het te doen eingelijk. ben al eerder in zo'n grapje getrapt.
Oorspronkelijk geplaatst door
nibbit
haha, oke jongen.
ik heb trouwens gehoord dat het aanroepen van béta testers afgelopen is :O
500/500 ?
Dan ben ik blij dat ik me servert heb
haha, oke jongen.
ik heb trouwens gehoord dat het aanroepen van béta testers afgelopen is :O
500/500 ?
Mag dan een lutser zijn van 15.
maar heb wel geleerd altijd te kijken waar je mee bezig bent, en ander mans advies/ commentaar soms te gebruiken.
kennelijk kent ovh dat niet. :P
Goed argument alexander, ik denk dat ovh er probeert om te draaien.
dus de boel wil gaan ontkennen dat het misschien hun fout is.
Ik denk eerder dat die eerste trap met dat hackers gemekker al fout was.
Meteen lopen roepen boehoe wij zien het niet!:O
En meteen komen aanzetten met ja wij houden het graag hackers vrij bestaat niet.
Lijkt mij beter dat die ovh lui is rustig gaan mailen met coevoet, dat is misschien nog wel het beste.
Jesper, bij deze heb je promotie gekregen tot Oj, :P
Praetorian
16-04-09, 16:05
Jesper, waarom ga je nou hier de politieagent spelen? Ik kan je natrap echt niet waarderen. Denk dat oles@ovh zijn post al genoeg was....
Oorspronkelijk geplaatst door
oles@ovh.net
coevoet a écrit:
>
your test will finish next time I detect any scan from your
server. understood ? right ...
Nou coevoet, blijkbaar ben je gedwongen te stoppen met wat je nu doet, helaas pindakaas blijkbaar!
Ik weet niet wat je precies doet, en waarom je uberhaupt scans nodig hebt, maar Octave geeft behoorlijk goed argument om hackers van hun netwerk te houden, dus ook scans (Nee, ik wijs je niet aan als hacker!)
Als je ons nou verteld wat je exact op je server doet, misschien dat we een alternatief kunnen bedenken!
oles@ovh.net
15-04-09, 23:42
coevoet a écrit:
>
your test will finish next time I detect any scan from your
server. understood ? right ...
Oorspronkelijk geplaatst door
oles@ovh.net
> Heeft iemand hier ervaring met onterechte meldingen m.b.t. attacks en
> wat hier tegen te doen? Of zou iemand van OVH hier zelf iets over kunnen
> zeggen?
it doesn't exist. we see all scans and we close the server. if you
have a border activity, you won't be happy on our network. we have
a very clean network and we keep to remove all hackers from our
network.
Please gain some knowlegde about scanning and network monitoring rather then insulting me of having border activities and performing scans. It's a really serious insult! It makes absolutely no sense to perform TCP connect() scans on a server with root privileges. More appropiate way should be performing TCP SYN scans, agreed?
I was initiating connections with services on port 443 in an appropiate manner like it should be, as you can see in your monitoring application. Not just doing a single three-way handshake and nothing more, to gain some information about running services. (This shouldn't make sense anyway, since you will appear in the servers logfiles after that.)
So please fix your monitoring application and stop making insults.
Oorspronkelijk geplaatst door
oles@ovh.net
> Heeft iemand hier ervaring met onterechte meldingen m.b.t. attacks en
> wat hier tegen te doen? Of zou iemand van OVH hier zelf iets over kunnen
> zeggen?
it doesn't exist. we see all scans and we close the server. if you
have a border activity, you won't be happy on our network. we have
a very clean network and we keep to remove all hackers from our
network.
I wanted to say something, but i forgot..
oles@ovh.net
13-04-09, 20:24
> Heeft iemand hier ervaring met onterechte meldingen m.b.t. attacks en
> wat hier tegen te doen? Of zou iemand van OVH hier zelf iets over kunnen
> zeggen?
it doesn't exist. we see all scans and we close the server. if you
have a border activity, you won't be happy on our network. we have
a very clean network and we keep to remove all hackers from our
network.
Mijn wijziging gisteren waardoor er geen verbindingen meer worden geïnitieerd op poort 443 heeft z'n vruchten afgeworpen. Tot nu toe is de server niet opnieuw offline gehaald.
Mocht iemand dus soortgelijke problemen ondervinden. Het monitoringsysteem van OVH trapt servers die een shitload aan verbindingen openen met verschillende servers op poort 443 zonder pardon offline. Vermijd in zo'n geval dus poort 443, ook al is dat eigenlijk gewoon een consessie die je misschien helemaal niet wilt maken.
Bedankt dat je het even melde van die ssh keys. Waren me helemaal ontgaan.
Heb hier de configuratie vandaag even aangepast zodat we niet meer connecten met port 443. Ben benieuwd of het monitoringsysteem de bak weer offline gaat trappen, of dat het nu wel blijft draaien. Een mooie oplossing is het echter niet.
Die RealTimeMonitoring heb ik er ook afgegooid want joost mag weten wat ze allemaal loggen. De SSH keys zodat ze zonder wachtwoord kunnen connecten naar je server heb ik ook weggehaald. Beetje jammer allemaal.
Oorspronkelijk geplaatst door
Jesper
Als je ons toelicht wat je op je server hebt draaien, kunnen wij je pas helpen denk ik...
Het zou ook kunnen zijn dat jij iets geinstalleerd hebt wat tegen de OVH Algemene Voorwaarden is, en dat ze daarom deze actie uitvoeren!
OVH motiveert zelf het offline halen van de server aan de hand van hun uit de lucht gegrepen aanname dat er een worm actief zou zijn. Lijkt mij dan ook zeer onaannemlijk dat het opeens om een andere reden is. (Waarom zouden ze dat dan immers op deze wijze motiveren?)
In hun Algemene Voorwaarden en Bijzondere voorwaarden voor verhuur van een server wordt met geen woord gerept over de software die ik geïnstalleerd heb. Not to mention dat zij geen idee hebben van welke service ik hoe dan ook draai omdat ik dat RTM-spyware dingetje dat ze ongevraagd installeren removed heb.
Oorspronkelijk geplaatst door
coevoet
Lijkt mij niet relevant. Het is volstrekt legitiem verkeer en een beetje monitoringsysteem maakt dat ook prima inzichtelijk. Het verkeer vertoont continue hetzelfde patroon. Er is niet opeens uit het niets een vreemde uitgaande datastroom of zo.
Vanmorgen is wederom de server in alle vroegte opnieuw opgestart. Begint zo wel heel erg hinderlijk te worden. OVH heeft zich tot dusver nog steeds onthouden van commentaar op mijn reactie over deze zogenaamde attack.
Ik hoop alsnog dat OVH de dienstverlening op dit vlak nog gaat verbeteren. Voor mijzelf is het (nog) geen productiesysteem, maar daarvoor is m.i. de dienstverlening ook te benedenmaats. Op dit moment zie ik mij nog geen zaken migreren of (andere) diensten bij OVH afnemen... Heel jammer dit.
Als je ons toelicht wat je op je server hebt draaien, kunnen wij je pas helpen denk ik...
Het zou ook kunnen zijn dat jij iets geinstalleerd hebt wat tegen de OVH Algemene Voorwaarden is, en dat ze daarom deze actie uitvoeren!
Oorspronkelijk geplaatst door
Praetorian
Wat doe jij precies met jouw machine op ssl poorten van andere mensen? :S
Lijkt mij niet relevant. Het is volstrekt legitiem verkeer en een beetje monitoringsysteem maakt dat ook prima inzichtelijk. Het verkeer vertoont continue hetzelfde patroon. Er is niet opeens uit het niets een vreemde uitgaande datastroom of zo.
Vanmorgen is wederom de server in alle vroegte opnieuw opgestart. Begint zo wel heel erg hinderlijk te worden. OVH heeft zich tot dusver nog steeds onthouden van commentaar op mijn reactie over deze zogenaamde attack.
Ik hoop alsnog dat OVH de dienstverlening op dit vlak nog gaat verbeteren. Voor mijzelf is het (nog) geen productiesysteem, maar daarvoor is m.i. de dienstverlening ook te benedenmaats. Op dit moment zie ik mij nog geen zaken migreren of (andere) diensten bij OVH afnemen... Heel jammer dit.
Praetorian
12-04-09, 10:33
Wat doe jij precies met jouw machine op ssl poorten van andere mensen? :S
Zojuist wederom een reboot van de server in rescuemode en een mail over een vermeende attack. Een compleet ongegrond vermoeden. Een reactie op de geheel franstalige mail over de eerste rebootactie heeft tot dusver geen reactie opgeleverd.
De afhandeling van dit soort kwestie's vind ik dan ook ver benedenmaats en verdient zeker verbetering.
Na gisteren een dienst op de server geconfigureerd en geadverteerd te hebben ben ik niets vermoedend gaan slapen. Toen ik daarnet wilde inloggen was dat tot mijn grote verbazing niet mogelijk.
OVH had de server gereboot in rescuemode. Getuige een mailtje in mijn mailbox vanwege een attack.
Bewijs voor de attack uit de mail wordt als volgt aangevoerd:
------- DEBUT DES INFORMATIONS COMPLEMENTAIRES SUR L'ATTAQUE -------
Watch for network scanning or Worm diversify. Many connections to different machines, to the same port from the same source IP. TCP.
startime endtime scrort dstort
----------------------------------------------------------------------------------------------
2009-04-11 08:24:46 2009-04-11 08:24:46 213.251.185.81:56128 64.12.161.153:443
2009-04-11 08:24:55 2009-04-11 08:24:55 213.251.185.81:60157 205.188.251.43:443
2009-04-11 08:25:10 2009-04-11 08:25:11 213.251.185.81:36203 64.12.161.185:443
2009-04-11 08:25:06 2009-04-11 08:25:06 213.251.185.81:47960 205.188.251.16:443
2009-04-11 08:25:06 2009-04-11 08:25:06 213.251.185.81:44387 64.12.200.89:443
2009-04-11 08:25:14 2009-04-11 08:25:14 213.251.185.81:52589 205.188.153.98:443
2009-04-11 08:25:11 2009-04-11 08:25:11 213.251.185.81:60228 205.188.251.1:443
2009-04-11 08:25:33 2009-04-11 08:25:36 213.251.185.81:50498 205.188.96.138:443
2009-04-11 08:25:27 2009-04-11 08:25:27 213.251.185.81:35180 205.188.251.26:443
2009-04-11 08:25:39 2009-04-11 08:25:42 213.251.185.81:37720 64.12.130.200:443
2009-04-11 08:25:53 2009-04-11 08:25:54 213.251.185.81:53440 205.188.251.6:443
------- FIN DES INFORMATIONS COMPLEMENTAIRES SUR L'ATTAQUE -------
Als je verder kijkt naar het bandbreedte patroon kan je niet anders dan concluderen dat er gewoon een legitieme service gedraaid wordt op deze server. Iets dat op de httpd die op deze server draait verder toegelicht wordt.
Heeft iemand hier ervaring met onterechte meldingen m.b.t. attacks en wat hier tegen te doen? Of zou iemand van OVH hier zelf iets over kunnen zeggen?
