Bonjour,
J'ai reçu il y a quelques jours un e-mail provenant de OVH me signalant l'hébergement d'un contenu abusif sur mon VPS. Les détails du mail indiquent qu'il s'agit d'un film diffusé par Bittorrent. Or, je n'ai à ma connaissance aucun logiciel de torrent installé sur le VPS.
Hier, j'ai reçu un deuxième e-mail me signalant qu'OVH coupait l'accès à mon serveur tant que je n'aurai pas résolu ce problème.
Mon VPS est donc en mode rescue. Que puis-je faire pour résoudre cette situation?
Salut,
Tu peux chercher le dit .torrent sur ton VPS et ensuite trouver comment il a pu être téléchargé vu que tu n'as aucun client BT. Ou alors ça peut être l'exploitation d'une faille de ton serveur Web, en mode proxy.
D'après le mail, le fichier concerné serait "The Hateful Eight (2015) TRUEFRENCH BDRip XviD FUNKKY"
J'ai donc fait une recherche find -iname "*hateful*" mais aucun résultat.
J'ai aussi fait une recherche find -iname "*torrent*" et le seul résultat est ./usr/share/mime/application/x-bittorrent.xml
Qu'as-tu d'installé sur cette machine ? Quels sont les ports ouverts en entrée dans IPtables ? Peut-être une exploitation d'un VPN/prox d'installé(s) ?
Maintenant que j'y pense, j'ai Resilio-Sync (anciennement appellé Bittorrent Sync) installé qui utilise en effet le protocole bittorrent mais uniquement pour synchroniser les backups de mon serveur.
Est-il possible que mon serveur sert de relai pour le téléchargement illégal?
A part ça, j'ai Apache2, php5, mysql, munin et openvpn_as installé sur mon serveur (je suis le seul à utiliser le vpn et je n'ai aucune connexion louche dans les logs)
Si c'est comme avec Synthing alors oui ton hub peut servir de relais pour les autres clients. Seulement c'est censé être chiffré et de toute manière ce genre de courrier ne vient que d'un relevé d'IP dans un client BitTorrent. Donc je suis comme toi : incompréhensible de ce côté.
Tu peux déjà bloquer la fonction "relais" de ton installation et donner cette réponse à OVH tout en leur disant que tu n'as pas ce fichier ni de client BitTorrent installé sur ton serveur (chose qu'ils peuvent logiquement deviner/corroborer d'après ton trafic).
Ensuite, vérifie que ton Apache est bien protégé : https://www.digitalocean.com/community/tutorials/how-to-protect-your-server-against-the-httpoxy-vulnerability
Puis ça devrait être bon. En général pour le 1er avis de ce genre ils se contentent d'une réponse bateau "j'ai retiré le fichier" ou "j'ai mis en place les mesures de sécurité adéquates afin que mon serveur ne soit plus utilisé pour échanger des fichiers piratés".
Merci pour cette réponse, je vais voir ça et attendre une réponse du support OVH à ma requête demandant s'ils ont plus d'informations sur le problème.
