Bonjour,
je possède un petit serveur dédié (dedibox).
Hier j'ai reçu un mail du système de surveillance 'monit' :
Si j'ai bien compris, cela veut que quelqu'un a réussi à se connecter en ssh à mon serveur?Connection passed Service sshd
Date: Tue, 15 May 2012 01:42:37 +0200
Action: alert
Host: sd-00000
Description: 'sshd' connection passed to INET[127.0.0.1:22] via TCP
Your faithful employee,
monit
De plus hier midi j'ai regardé l'activité du processeur, celui-ci était de 17% ce qui est largement supérieur à d'habitude, et c'est le service mysql qui consommait ces 17% de ressources. (est-ce une attaque par injection sql?)
Enfin plus tard dans la journée, online.net à suspendu mon serveur. Après un appel ils m'expliquent que mon serveur subis un flood entrant. Et qu'ils attendent que ça soit finis avant de le relancer.
Je suis loin d'être un expert en réseau, donc je me pose plusieurs questions:
-quel type d'attaque ai-je reçu?
-est-ce que la personne a effectivement réussi à se connecter en ssh sur mon dédié? (donc récupérer du contenu? elle connait donc mon mot de passe ? ou un autre moyen est possible?)
-Que puis-je faire pour empêcher que cela se reproduise?
Merci,
Adrien
Partager