Journal Nessus depuis un VPS chez OVH, pas possible ?

Posté par  (site web personnel, Mastodon) . Licence CC By‑SA.
Étiquettes :
15
30
jan.
2014

Bonjour tous,

Voilà une petite mésaventure qui m'est arrivée la semaine dernière: j'ai lancé depuis mon VPS des scans Nessus sur des machines auxquelles j'ai tous les accès qu'il faut, afin de savoir si elles étaient vulnérables, et surtout à quoi.

Après quelques minutes, j'ai reçu un mail automatisé d'OVH indiquant l'activation d'un protocole "Anti-hack" concernant mon serveur. Le scan que j'ai lancé a été repéré et mon VPS a été considéré par OVH comme compromis: rebooté en mode rescue, le disque en lecture seule, afin que je puisse récupérer le contenu et le réinstaller. Après quelques mails - et pas loin d'une semaine de downtime - j'ai obtenu du support qu'ils remette mon VPS en production tel quel.

Irrité, j'ai ensuite contacté l'assistance technique qui m'a dit qu'il était précisé dans les contrats que les scans et attaques étaient interdits. J'ai cherché dans les documents légaux, sans succès. Je suis d'autant plus surpris que par le passé, j'ai souvent utilisé mon VPS de cette façon, sans que ça pose le moindre problème. Ayant tous les accès et droits nécessaires pour faire ces audits, je suis bien agacé, d'autant plus que c'est principalement pour ça que j'ai pris un VPS.

Ça vous dit quelque chose, cette restriction ? Et vous, vous faites comment pour faire vos scans ?

Aurel, agacé

  • # Nagios non plus

    Posté par  (Mastodon) . Évalué à 10.

    J’ai eu la même mésaventure il y a quelques années avec un Kimsufi parce que mon Nagios testait que le ssh d’une cinquantaine de mes serveurs répondait bien. OVH a répondu que leur système de détection était automatisé, qu’il ne feraient aucune exception même si on apportait la preuve que les machines testées étaient à nous (et chez eux en plus, sur le même compte…). Du coup, on a du déménager le serveur de supervision…

    • [^] # Re: Nagios non plus

      Posté par  (site web personnel, Mastodon) . Évalué à 2.

      Merci pour le témoignage, même si savoir que je ne suis pas le seul à être enquiquiné ne me console pas vraiment. Chez qui est-ce que vous avez déménagé, si ce n'est pas indiscret?

      • [^] # Re: Nagios non plus

        Posté par  . Évalué à 0.

        Il est peut-etre possible que tu puisses faire ton scan, apres les avoir prevenu. Tu devrais contacter leur departement securite et voir avec eux.

        • [^] # Re: Nagios non plus

          Posté par  (site web personnel) . Évalué à 9. Dernière modification le 30 janvier 2014 à 20:09.

          Je cite :

          OVH a répondu que leur système de détection était automatisé, qu’il ne feraient aucune exception même si on apportait la preuve que les machines testées étaient à nous

          OVH, c'est du low cost, et en low cost ben c'est tout dans un moule ou tu cherches ailleurs (et perso, ça ne me choque pas plus que ça et si tu veux jouer avec des tests d'attaque je pense que leur prendre une baie virtuelle ou physique devrait faire l'affaire afin de séparer leur réseau public et ton réseau privé), surtout que le low cost attire les admins du dimanche et qu'il faut donc éviter que son réseau se fasse pourrir sa réputation envers l'extérieur.

          • [^] # Re: Nagios non plus

            Posté par  . Évalué à 6.

            Bah en même temps quand tu gère des dizaines de millier de serveurs, tu ne t'amuse pas à créer des exceptions, sinon tu t'y perd… il faut que le parc soit homogène.

            • [^] # Re: Nagios non plus

              Posté par  . Évalué à 4.

              C'est pas un probleme forcement, Amazon et Azure le permettent sur demande.

              • [^] # Re: Nagios non plus

                Posté par  (site web personnel) . Évalué à 3. Dernière modification le 31 janvier 2014 à 09:35.

                Oui, bon, après, on ne peut pas vraiment dire que Amazon et Azure sont low cost (en plus d'avoir un réseau vraiment pas top au moins pour Amazon, au point où j'ai des clients qui préfèrent faire USA Ouest -> OVH en France chez moi --> USA sud plutôt que de passer par leur VM Amazon, quand ils sont pressés pour faire des gros transferts, en plus c'est moins cher avec moi, tout comme je récupère des fichiers à 0.3 Mo/s chez Amazon et 3 Mo/s chez OVH Canada cherchez l'erreur)…

        • [^] # Re: Nagios non plus

          Posté par  (site web personnel) . Évalué à 3.

          Typiquement sur la gamme «Infrastructure» d'OVH tu as ton propre VLAN (privé et/ou public), sur lequel ces robots n'interviennent pas.

          Selon les besoins, ça peut vite être intéressant de franchir le pas.

          alf.life

          • [^] # Re: Nagios non plus

            Posté par  (site web personnel) . Évalué à 1.

            Cela revient à combien un VLAN privé avec 2 frontaux relié à 2 backends privé par exemple ? J'ai l'impression que les prix commencent bas (à 50€/mois tu un I5/32Go/SSD), mais que cela monte vite : proxy web à plus de 100€, plusieurs carte réseau, etc… Il faut compter ~1k€/mois?

            "La première sécurité est la liberté"

            • [^] # Re: Nagios non plus

              Posté par  (site web personnel) . Évalué à 2.

              Depuis leur dernière mise à jour, le VLAN est essentiellement inclus dans le tarif des serveurs de la gamme «Infrastructure». Tu es donc limité à cette gamme, mais le seul autre coût est le VLAN à 30€ par mois.
              Et avec leur «Vrack 1.5», le VLAN est maintenant sur une deuxième carte réseau.

              Donc si les «EG-32 Infrastructure» te suffisent, c'est donc 30 + 4 * 82 = 358 € HT.

              alf.life

  • # paragraphe 7.4 du contrat des VPS

    Posté par  (site web personnel, Mastodon) . Évalué à 7.

    Visiblement c'est le paragraphe 7.4 du contrat des VPS qui interdit les intrusions et tentatives d'intrusions, qui sont de toute façon illégale, et ce à travers leurs technique… qui sont aussi celles utilisées pour faire des audits même si ces derniers sont légaux. La barbe.

  • # Le vrai problème...

    Posté par  (site web personnel) . Évalué à 3.

    Le vrai problème est que si tu ne peux pas faire ton audit de sécurité, tu ne dois (devrait) pas utiliser leurs serveurs pour héberger des services "critiques".

    Du coup, ne risquent-ils pas de perdre une (grande ?) partie de leur clientèle si les gens ne peuvent avoir confiance dans la sécurité de leur serveur (faute de pouvoir la tester) ?

  • # La sécurité de ta terre brulée !

    Posté par  . Évalué à 3.

    « Chérie, j'ai entendu du bruit en bas, où sont les allumettes ? »

    Please do not feed the trolls

  • # bon, une chose de faite

    Posté par  . Évalué à 2.

    Moi qui avait posé la question pour un hébergeur, je viens de rayer ovh :

    mon VPS a été considéré par OVH comme compromis: rebooté en mode rescue, le disque en lecture seule,

    un de moins sur la liste.

    • [^] # Re: bon, une chose de faite

      Posté par  . Évalué à 7.

      T'as regardé DigitalOcean [1] ? Les tarifs sont très abordables, et les perfs sont excellentes. J'ai rarement eu un VPS aussi rapide, et j'en ai testé pas mal (Amazon EC2, Gandi, …)

      [1] https://www.digitalocean.com/?refcode=da1492cb5285 (lien de parrainage… tant qu'a faire ;-)

      • [^] # Re: bon, une chose de faite

        Posté par  . Évalué à 2.

        Je t'ai pertinenté pour avoir l'honnêteté de reconnaitre que tu donnes un lien de parrainage. C'est bien rare.

        • [^] # Re: bon, une chose de faite

          Posté par  . Évalué à 2.

          Sur linuxfr aussi ? Il me semblait que la pub intéressée était suffisamment rare et pertinente…

    • [^] # Re: bon, une chose de faite

      Posté par  . Évalué à 10.

      un de moins sur la liste.

      C'est vrai qu'un prestataire qui fait attention à ce qui se passe sur son réseau, c'est forcément un connard et/ou un mauvais.

      La quantité de serveurs qui se font hacker est importante. Les faux positifs ça arrive. Ça doit être un pouillème des cas. Chez OVH ils stoppent la machine sans se poser de question (rappel, c'est du bas prix. Sur les machines à 200 € par mois c'est autre chose). Tu as une meilleure solution ?

      • [^] # Re: bon, une chose de faite

        Posté par  . Évalué à -3.

        euh….
        je suis pas une bête de sys admin, mais un mail à l'admin du serveur avant toute chose me semble un poil la moindre des choses.

        Parce que tu vois, la politique que tu as vis à vis de ton client est la même à 30 euros et à 200 euros par mois. Ce qui change c'est la machine, le service, le support. A 30 euros si ton serveur lague un peu, tu fermes ta gueule, à 200 euros tu râles.

        Si ils te coupent la machine sans se poser de question lors d'un truc qu'ils ne comprennent pas à 30 euros, tu peux être certains qu'ils le feront de la même manière à 200 ou 500 (même si pas forcément pour les même raisons).

        Parce que mettre en place une procédure intelligente et automatisée est peut être un peu plus complexe que tirer une prise, mais
        1 - c'est ton métier
        2 - c'est le respect de ton client
        3 - C'est une seule fois pour toutes tes machines pendants des années.

        Je peux accepter que parfois ca marche mal (parce que personne n'est parfait, parce que rien n'est certain à 100%…) je peux accepter que des réponses n'arrivent pas immédiatement (car il y a plein de monde), mais en aucune manière et à aucun tarif je ne peux accepter les manières petit juge de province, je coupe sans me poser de question.

        Alors effectivement c'est la seule solution si tu héberges des gens qui n'en ont rien à foutre, et se servent de ton réseau pour foutre la merde. Maintenant si c'est cette politique que tu mènes, il ne restera que les gens qui n'en ont rien à foutre. les autres partant ailleurs. C'est un choix marketing.

        Mais ils sont maîtres chez eux, juste que, pour moi, ce n'est pas du low cost. Le low cost c'est 35 vserver sur une machine qui peut normalement en contenir 25-30, du low cost c'est 40 machine sur une baie dont la bande passante est confortable pour 30, du low cost c'est un proc ou un temps proc inférieur à ce que l'on pourrait attendre.

        Le fournisseur qui coupe ton serveur paff comme cela sans se/te poser de question, ce n'est pas du low cost, c'est bien autre chose.

        • [^] # Re: bon, une chose de faite

          Posté par  . Évalué à 8.

          Moi, perso ca ne me choque pas.

          un email ne garantie pas que la machine arrete de faire des "conneries" si tu as été piraté.
          ni que tu vas pouvoir te connecter et reagir dans la demi-heure.

          donc ils isolent la machine, et t'envoie un email.

          • [^] # Re: bon, une chose de faite

            Posté par  . Évalué à -1.

            enfin chacun ses goûts.

            moi non plus ca ne me choque pas, mais pas pour mes prestataires, je le ferais pas à mes clients, je ne veux pas qu'on me le fasse, c'est tout.

            maintenant c'est peut être une super idée.. sauf que… ca semble une super idée pour du low cost tandis que pour un serveur plus cher cela ne serait plus une super idée…

            Ca me laisse dubitatif.

            • [^] # Re: bon, une chose de faite

              Posté par  . Évalué à 8.

              si tu es sur de pouvoir etre plus reactif que la VAC pour te connecter à ta machine pour l'isoler et la traiter, alors oui, c'est embetant.

              Perso si un serveur est compromis, je n'ai pas une equipe qui attend les alertes 24/24 pour reagir dans les 5 minutes à un envoi massif de spams, ou à une tentaive de DDOS

              donc meme à 200euros par serveur, le reflexe d'isoler le serveur du reseau de production me semble une bonne idée pour :

              • toi qui n'est pas connecté 24/24h pour détecter et bloquer ces usages non conformes.
              • ta reputation et celle de ta boite (ne pas se retrouver dans les blacklists mondiales)
              • la securité du web en general (moins de spam, moins de serveurs zombies attaquant DDOS ou piratages)
            • [^] # Re: bon, une chose de faite

              Posté par  . Évalué à 6.

              Même en non low cost, je préfère 1h de downtime que de passer une semaine à me faire retirer de toutes les blacklist du monde.

  • # anti Spam

    Posté par  (site web personnel) . Évalué à 3.

    Je ne sais pas si ça a un rapport, mais sur son compte twitter, oles (le fondateur) parle avec fierté de leur antispam qui se met en route super vite.

    ウィズコロナ

  • # Bienvenu dans l'univers du low cost

    Posté par  (site web personnel) . Évalué à 10.

    En gros OVH on y va parce que c'est pas cher. Maintenant qu'est ce qui fait que c'est pas cher ?

    Aucune possibilité de customisation et des règles uniforme. En gros ça permet d'avoir moins de personne pour gérer l'ensemble car si chacun a sa petite règle à soit c'est vite très compliqué à gérer.

    En gros si tu veux un hébergeur souple, il faudra payer plus cher.

    • [^] # Re: Bienvenu dans l'univers du low cost

      Posté par  . Évalué à -5.

      euh….

      Le passage en mode rescue automatiquement, c'est pas une "customisation" c'est même pas du low cost, c'est du low hosting

      • [^] # Re: Bienvenu dans l'univers du low cost

        Posté par  (site web personnel) . Évalué à 10.

        C'est un peu n'importe quoi comme mot juste parce qu'on n'aime pas leur gestion des attaques.
        Non, ce n'est pas due low hosting, c'est de la gestion d'attaque. Que tu aimes ou pas, ça reste du hosting. Si tu n'aimes pas, pas de soucis tu vas voir ailleurs. Perso je comprend vu le nombre d'admin pas doué qu'il y a, ça sécurise le serveur en attendant que tu rentres chez toi, dans le cas où tu te fais pourrir l'accès.

        Pour la petite histoire, OVH m'a mis mon adresse mail en mode rescue aussi, et ben… j'ai apprécié. Car comme un con j'avais mis un pass faible et me l'était fait piraté, et le fait que mon adresse mail soit bloqué m'a permis de tout récupérer sans me faire blaklister de partout. J'ai corrigé le pass, contacté OVH comme dans la procédure donnée et il ont repassé en mode "normal". Toi tu dirais que c'set du low hosting, moi je dis qu'ils ont bien fait.

        • [^] # Re: Bienvenu dans l'univers du low cost

          Posté par  (site web personnel) . Évalué à 1.

          C'est bien pour ça que je parle de low cost et non de low hosting. D'ailleurs je ne me permettrai pas de critiquer leurs installations qui sont plutôt très correct mais effectivement pour faire du low cost avec une qualité convenable il faut vendre beaucoup en réduisant les coups au maximum.

          D'où forcement un manque de possibilité de customisation ce qui ne les empêches pas de faire leur travail derrière.

          Pour faire un parallèle on peut appliquer ça à l'aviation : un avion air france et un avion easyjet sont exactement les même avec le même entretient. C'est le service autour et certaines astuce qui font que les prix sont différents même si les deux nous transporte d'un point A à un point B.

  • # Bon, mais alors....

    Posté par  (site web personnel, Mastodon) . Évalué à 3.

    … quel hébergeur choisir ?

    • [^] # Re: Bon, mais alors....

      Posté par  . Évalué à 2.

      Pour de l'hébergement web/mail j'ai entendu pas mal de bien de o2switch.
      Je déconseille OVH, sans vouloir faire de la mauvaise pub c'est clairement de l'industriel/lowcost.
      J'ai essayé online.net (location d'un dell r210), j'ai été assez satisfait (acces idrac, bons tarifs, commandes rapides, et quand tu resilie on t'appelle pour te demander pourquoi et te proposer de rester).

    • [^] # Re: Bon, mais alors....

      Posté par  (site web personnel) . Évalué à 2.

      Jamais été déçu chez online.net

      • [^] # Re: Bon, mais alors....

        Posté par  . Évalué à 1.

        J'ai eu une mauvaise expérience avec le support. Pas ouvert le weekend. Question techniques : réponses laconiques et imprécises.

      • [^] # Re: Bon, mais alors....

        Posté par  (site web personnel) . Évalué à 3.

        Jamais été déçu chez online.net

        Tant qu'aucun utilisateur de ton serveur est en dehors de France… Ca limite la population ciblée, mais si c'est la tienne alors oui ça va.

        • [^] # Re: Bon, mais alors....

          Posté par  (site web personnel) . Évalué à 2.

          Je suis en Chine en ce moment, et tout passe par mon serveur chez Online.

          Les sites que j'ai sur mon serveur chez Online sont bien visibles depuis la Chine.

          Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

          • [^] # Re: Bon, mais alors....

            Posté par  (site web personnel) . Évalué à 4.

            Je n'ai jamais dit qu'ils étaient invisible. Ils sont visibles, pas de soucis la dessus.
            Tu as sans doute pris l'habitude d'avoir des débits moyens (pour être gentil)…

        • [^] # Re: Bon, mais alors....

          Posté par  (site web personnel) . Évalué à 2.

          Oui c'est le gros problème de online.net. J'avais un serveur avec 1000mbits/s de bande passante (non garantie évidemment) et pour transférer des fichiers entre online.net et du renater aucun problème. Mais dès que ça part à l'étranger ça devient très mauvais.

          Aujourd'hui j'ai un serveur à 100mbits/s chez OVH et en usage VPN, la connexion est bien plus performante.

  • # Audit chez Amazon

    Posté par  (site web personnel) . Évalué à 1.

    Dans le cadre d'un projet étudiant, on avait monté un audit sur une application web posée sur une machine virtuelle chez amazon. La grande différence, c'est que ceux-ci ont un formulaire (je n'arrive pas à retrouver le lien) pour déclarer l'audit, les dates, les personnes / ip qui feront ce travail, etc.

    Certes ce n'est pas vraiment le même contexte (scan automatisé régulier VS audit ponctuel et humain) mais il n'existe pas un équivalent chez OVH ?

  • # Linode

    Posté par  . Évalué à 7.

    Un feedback supplémentaire: nous avons plusieurs machines chez linode pour le projet nmap, dont scanme.nmap.org (qui se fait beaucoup scanner) et des machines de recherche qui scannent beaucoup. Ça ne pose pas de problème à l'hébergeur et le service est bon.

    • [^] # Re: Linode

      Posté par  (site web personnel) . Évalué à 1.

      un serveur web dans une VM linode, cela peut servir quel genre de débit ? Et une base de donnée, combien d'IO elle peut faire ? (cela change tout si le disque est local, un SSD, ou un serveur de fichier)

      "La première sécurité est la liberté"

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.