Arret du serveur par Online : OUTPUT INVALID PACKET

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Arret du serveur par Online : OUTPUT INVALID PACKET

Malakai

Salut,

La semaine derniere mon serveur heberge chez Online a ete arrete pour cause de "trafic reseau non autorise" (je ne me souviens plus exactement du message mais l'idee est la).
Une fois le reboot fait, je suis alle verifier du cote des logs et comme j'avais mis une regle iptables pour enregistrer les paquets invalide j'ai ca juste avant l'arret du serveur (c'est le nombre exact de logs qui ont ete enregistres avant l'arret du serveur, les xxx represente l'ip publique du serveur) :

Jun 15 15:56:00 monserver kernel: [13031479.962036] OUTPUT INVALID PACKET : IN= OUT=eth0 SRC=xxx.xxx.xx.xx DST=45.79.74.233 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=62918 DF PROTO=TCP SPT=80 DPT=34586 WINDOW=0 RES=0x00 RST URGP=0 
Jun 15 15:56:01 monserver kernel: [13031480.949325] OUTPUT INVALID PACKET : IN= OUT=eth0 SRC=xxx.xxx.xx.xx DST=45.79.74.233 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=63106 DF PROTO=TCP SPT=80 DPT=34586 WINDOW=0 RES=0x00 RST URGP=0 
Jun 15 15:56:03 monserver kernel: [13031483.004007] OUTPUT INVALID PACKET : IN= OUT=eth0 SRC=xxx.xxx.xx.xx DST=45.79.74.233 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=63525 DF PROTO=TCP SPT=80 DPT=34586 WINDOW=0 RES=0x00 RST URGP=0 
Jun 15 15:56:07 monserver kernel: [13031487.060148] OUTPUT INVALID PACKET : IN= OUT=eth0 SRC=xxx.xxx.xx.xx DST=45.79.74.233 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=63531 DF PROTO=TCP SPT=80 DPT=34586 WINDOW=0 RES=0x00 RST URGP=0 
Jun 15 15:56:15 monserver kernel: [13031494.962609] OUTPUT INVALID PACKET : IN= OUT=eth0 SRC=xxx.xxx.xx.xx DST=45.79.74.233 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=64222 DF PROTO=TCP SPT=80 DPT=34586 WINDOW=0 RES=0x00 RST URGP=0 
Jun 15 15:56:31 monserver kernel: [13031511.398938] OUTPUT INVALID PACKET : IN= OUT=eth0 SRC=xxx.xxx.xx.xx DST=45.79.74.233 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=103 DF PROTO=TCP SPT=80 DPT=34586 WINDOW=0 RES=0x00 RST URGP=0 
Jun 15 15:57:04 monserver kernel: [13031543.842873] OUTPUT INVALID PACKET : IN= OUT=eth0 SRC=xxx.xxx.xx.xx DST=45.79.74.233 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=5898 DF PROTO=TCP SPT=80 DPT=34586 WINDOW=0 RES=0x00 RST URGP=0

Donc arret du serveur le "Jun 15 15:57:04", 1 minute apres l'apparition des premieres logs.
D'apres ce que je comprends c'est mon apache (port source 80) qui a cherche a realiser une connexion sur l'ip 45.79.74.233 (que je n'ai pas pu identifier, le FAI est Linode et cette ip se trouve en Californie).

Le serveur est installe depuis pas mal de temps sans modifications logiciel depuis au moins un mois (pour precisions le serveur ne fait pas office de seedbox). Et c'est la premiere fois que ca arrive.

Est-ce que vous avez une idee sur comment investiguer plus cette situation afin de trouver le "coupable" et eviter que ca ne se reproduise?

Malakai

Rien dans les logs d'apache qui expliquerait les paquets invalides en sortie, en meme temps je ne pense pas que ce soit apache qui ait fait la requete. Il ecoute sur le port 80 mais s'il doit faire une requete externe je pense que le port source sera aleatoire (non?).
Bref, j'arrive pas a me rendre compte ce qui s'est passe et c'est assez embetant.

Wagner

Salut,

désolé mais j'ai cru bon d'attendre encore quelques jours. Parce qu'au premier abord, il me vient des questions à l'esprit. Alors il faudrait nous indiquer (par exemple) :

sur quoi repose la sécurité ? (Non, comme tel c'est trop flou...)
il n'y aurait qu'une seule règle ? Ni d'extrait ou une liste complète des dites règles iptables ?
parmi ces logiciels (Plex, Fail2Ban, PHP, PortSentry, MySQL, etc), il y a probablement une piste à creuser ?
etc

Et puis, j'imagine cela pourrait provenir soit d'un robot (malware, badbots, etc) à la recherche d'une faille, soit c'est le système du prestataire.

Malakai

Effectivement j'ai quelques services d'installes et je vais regarder dans les logs de chacun s'il n'y a pas une piste.
Cependant je voudrais essayer de comprendre quelque chose d'etrange (selon ma comprehension d'iptables).
Sur le serveur j'ai la partie OUTPUT d'iptables comme suit :

Chain OUTPUT (policy DROP 138 packets, 6174 bytes)
 pkts bytes target     prot opt in     out     source               destination         

 1644  112K ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0
 218K  185M ACCEPT     all  --  *      eth0    0.0.0.0/0            0.0.0.0/0            state NEW,RELATED,ESTABLISHED
  138  6174 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            state INVALID LOG flags 0 level 6 prefix "OUTPUT INVALID PACKET : "

Donc selon ma comprehension d'iptables, le paquet INVALID arrive a la 3eme regle (qui log l'info, jusque la c'est impec), puis devrait normalement etre DROP grace a la regle generale sur la chaine OUTPUT. Cependant ca ne semble pas etre le cas ; ou bien le paquet a bien ete DROP et du coup c'est pas ca qui a fait qu'Online a bloque le serveur (meme si je ne pense pas que ce soit une coincidence que le serveur ait ete arrete juste apres le log des paquets INVALID).
Est-ce que j'ai bien compris et en fait les paquets ont ete (ou auraient du etre) DROP?

Aerya

Malakai Coucou 🙂
Logique, et vu les infos, IPtables à bien dropé les paquets en sortie. Pour autant "tu" peux avoir envoyé des paquets qui n'étaient pas invalides mais jugés dangereux pas le bot d'Online.
A chaud je penche pour une tentative d'abus de ton Apache : https://www.digitalocean.com/community/tutorials/how-to-protect-your-server-against-the-httpoxy-vulnerability

Wagner

Désolé mais je te conseil d'attendre le passage de quelqu'un d'autre (comme Aerya).