Détection de traffic HTTP suspect besoin d'avis

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Détection de traffic HTTP suspect besoin d'avis

j0k5i

Bonjour,

Merci d'avance de me lire car ça m'inquiète un peu...

Voilà ma config :

-Debian 8
-Rutorrent (tuto seedbox de a à z)
-Plex
-Owncloud
-BIND
-Postfix (smpt listen)

HTTPS activé partout avec let'sencrypt et plusieurs sous-domaines eux aussi en HTTPS avec let'sencrypt.

Alors voila mon problème qui m'inquiète un peu, j'ai commencé récemment à sécuriser mon serveur j'ai donc installé et configuré :

-Portsentry
-OSSEC
-Snort (en IDS avec active response activé) + barnyard2
-Prelude (lml - correlator + manager) + Prewikka

Hier et aujourd'hui Snort à commencé à afficher des alertes HTTP_INSPECT classé en gravité low, je n'y ai pas prêté attention tous de suite. Et puis j'ai vu que systématiquement les IP source du trafic sont des serveurs situés sur la même tranche IP que le mien tous chez Online et surtout que la destination du trafic n'est pas mon serveur mais une autre adresse IP ?!? Je n'avais jamais logé de trafic ou la cible n'était pas mon serveur on dirait vraiment que du traffic HTTP transite par mon serveur.

La ou ça devient plus inquiétant c'est que toutes les adresses cible ont de très mauvaise réputation quand je les check sur internet...Ce que je ne comprend pas c'est que j'ai fait tous mes logs je ne trouve rien d'anormal et je ne trouve surtout aucune trace de ce trafic. J'ai ensuite pensé au proxy intégré à seedbox-manager que j'ai supprimé mais les logs continus...Ce qui est intéressant c'est qu'avant de le supprimer j'ai essayé le proxy pour voir si cela générait un log de snort et OUI j'ai eut exactement le même genre de log sauf que l'ip cible était celui de mon serveur et que le contenu était en clair.

-Le message d'erreur est le suivant :

http_inspect: NO CONTENT-LENGTH OR TRANSFER-ENCODING IN HTTP RESPONSE

-Le contenu :

log

-Le port source 80, le port cible change tous le temps du genre 60536

Je ne m'y connais pas trop en réseaux alors il y à peut être une explication très simple à ce trafic mais ça m'inquiète suffisamment pour vous demander de l'aide car je n'est pas trouvé grand chose sur google...

Merci d'avance !!

j0k5i

Pour tester je viens de créer une règle iptables pour bloquer une des adresse source :

iptables -I INPUT -s 62.210.110.231 -j DROP

DROP       all  --  62-210-110-231.rev.poneytelecom.eu  anywhere

Je log encore le même trafic de cette adresse vers l’extérieur de mon serveur, donc si je dis pas de bêtise ce trafic ne transit pas par mon serveur il serait sinont automatiquement bloqué par iptables??

log

Peut il s'agir de trafic sur le réseau de mon serveur que snort attraperait au passage?? Je ne sais absolument pas si cela est techniquement possible... Quelqu'un pour me le confirmer??

j0k5i

J'ai tenté de verrouiller mon serveur avec iptables, j'ai suivi ce tuto Tuto iptables. Tous fonctionne mais je log toujours ce trafic HTTP... Vraiment personne n'a une petite idée??

Hardware

Si tu désactives l'ip forwarding, tu log toujours ce traffic ?

sysctl -w net.ipv4.ip_forward=0

j0k5i

Je vais essayer je te dit ça d'ici une petite heure le temps de voir ça log encore (c'est pas 24h/24h).

j0k5i

ça continu à loger...Je coupe rtorrent pendant quelques heures pour voir si ce trafic peut venir des torrent, tracker, clients...

j0k5i

Bon j'ai discuté avec l'assistance d'Online (très rapide d'ailleurs) voilà son explication :

"Il est possible que snort fonctionne comme un sniffer mais attention, ceci est vite bloqué par notre switch si c'est le cas.

Sinon les attaque peuvent être envoyé à un ensemble de réseau depuis l'extérieur, vous voyez éventuellement ceci.

Pour avoir un autre avis, je vous invite à envoyer un post sur le forum afin de comparer les résultats avec d'autres."