Les scans sur le =?ISO-8859-15?Q?r=E9seau?=

Good morning,

On the network, it can detect up to 60 scans every 5 minutes.
The scans are performed by servers or PC hackés to research
new victims. These PC scan anything and everything in all
the senses. Our network is also scanned. Sometimes servers at Ovh
are used to scan.

3 years ago, we established the detection by scans
servers hosted by Ovh. This means that when a server hosting
In Ovh was used to scan, we were able to detect and arrested
scanning / server.

We have 2 detections systems. On the one hand, we have placed
probes (false servers) who listen to the network. Traffic to the
probes is by definition zero. And so if someone launches a connection
to the probe, by definition it is a scan. On the other hand, routers
send logs of traffic on our network (ongoing) on servers
which would examine (every 5 minutes). This means all packets
passing through our network are logged (!) and then analyze every 5
minutes (!!!). This represents a lot of data. Several servers
working on this task. We developed scripts that allow
detect suspicious behavior such as scan, attacks, spoof, and
all types of abuse and then our alert system allows the administrator
network to be aware of these problems. Then they intervene.

In 3 years, the problem has become broader. We had to improve these
2 systems. Car outside security on our own network, we
had to set up the detection of scans from outside. This
has been done there is about 3 months. The scan is automatically blocked
for 6 hours. Then if it again, again it is blocked. Thanks
these protections, our network is much safer than in the past,
since self protected against the scans from outside.

Since 1 week, we introduced a wider system who knows
analyse all the scans on all ports. This means that if a
IP on the Internet scans at the same time a little different ports at once,
we find now, whereas before the trigger does
not permitted. We grew from a 60-80 deadlock at the same 290-350
weather.

On our network it is "clean" for 2 weeks. The detections
scans on port SSH, FTP, WEB, POP3 work perfectly well.
With the improvement of the system, since 1 week we have a lot more
information. Through these detection scans, we closed
all servers hackers who have since ordered servers
1-3 months (and which have generated enormous unpaid at Ovh). Example:
3 days since we closed 64 servers available in 1-3 months
by these hackers. The last recorded scan was done this morning at 4:34.
It is believed that there is still a 10ène servers to close.

Also, we still have the last 30 servers that scan the network.
These are old customers who have servers for several months / years.
It is looking at each case quietly with them.

We believe that our network will be "VERY clean" in about 1 week.
If there is a clean network, I postulates with Ovh

With improved detection scans, we were able to detect
servers that were hackés and send spam. From a coup server
connects to dramatically SMTP ports and can be seen. It is in the process
to see case by case basis if it generates false positives. But this
detection will enable us to block all servers used to
spammer 5 minutes after the start of spam and therefore before the evil is
does.

It will prove logs to the support that our network is not unique ...

Yours
Octave

Bonjour,
Sur le réseau, on peut détecter jusqu'à 60 scans toute les 5 minutes.
Les scans sont effectués par des serveurs ou de PC hackés à la recherche
de nouvelles victimes. Ces PC scannent tout et n'importe quoi dans tous
les sens. Notre réseau est aussi scanné. Parfois les serveurs chez Ovh
sont utilisés pour scanner.

Il y a 3 ans, nous avons mis en place les détections de scans fait par
les serveurs hébergés chez Ovh. C'est à dire que quand un serveur hébergés
chez Ovh a été utilisé pour scanner, nous avons pu le détecter et arrêté
le scan/serveur.

Nous avons 2 systèmes de détections. D'un côté, nous avons placés des
sondes (des faux serveurs) qui écoutent le réseau. Le trafic vers les
sondes est par définition nulle. Et donc si quelqu'un lance une connexion
vers la sonde, par définition c'est un scan. De l'autre côté, les routeurs
envoient les logs de trafic de notre réseau (en permanence) sur de serveurs
qui les analysent (tous les 5 minutes). C'est à dire l'ensemble de packets
qui passent par notre réseau sont loggés (!!) puis analyser toutes les 5
minutes (!!!). Ceci représente beaucoup de données. Plusieurs serveurs
travaillent sur cette tache. Nous avons développé les scripts qui permettent
détecter le comportement suspect comme le scan, les attaques, le spoof, et
tous les types d'abus puis notre système d'alerte permet aux administrateur
réseau d'être au courant de ces problèmes. Puis ils interviennent.

En 3 ans, le problème est devenu plus large. Nous avons dû améliorer ces
2 systèmes. Car en dehors de sécurité sur notre propre réseau, nous avons
dû mettre en place la détection de scans provenant de l'extérieur. Ceci
a été fait il y a 3 mois environ. Le scan est bloqué automatiquement
pendant 6 heures. Puis si ça recommence, à nouveau il est bloqué. Grâce
à ces protections, notre réseau est nettement plus sûr que dans le passé,
puisqu'il s'auto protégé contre les scans de l'extérieur.

Depuis 1 semaine, nous avons mis en place un système plus large qui sait
analyser l'ensemble des scans sur tous les ports. C'est à dire que si une
IP sur l'Internet scanne en même temps différents ports un peu à la fois,
on le retrouve maintenant, alors qu'avant le seuil de déclenchement ne
le permettait pas. Nous sommes passées de 60-80 blocages à 290-350 en même
temps.

Concernant notre réseau il est "propre" depuis 2 semaines. Les détections
de scans sur le port SSH, FTP, WEB, POP3 fonctionnent parfaitement bien.
Avec l'amélioration du système, depuis 1 semaine nous avons beaucoup plus
d'informations. Grâce à ces détections de scans, nous avons fermés
l'ensemble de serveurs de hackeurs qui ont commandés les serveurs depuis
1-3 mois (et qui ont généré des impayées énormes chez Ovh). Exemple:
depuis 3 jours, nous avons fermés 64 serveurs commandés depuis 1-3 mois
par ces hackeurs. Le dernier scan enregistré a été fait ce matin à 4h34.
On pense qu'il y a encore une 10ène de serveurs à fermer.

Aussi, nous avons encore les derniers 30 serveurs qui scannent le réseau.
Il s'agit de vieux clients qui ont de serveurs depuis plusieurs mois/années.
On est en train de regarder cas par cas tranquillement avec eux.

On pense que notre réseau sera "TRÈS propre" dans environ 1 semaine.
S'il y a un concours de propreté du réseau, je postule avec Ovh

Avec la détection des scans améliorée, nous avons pu détecter les
serveurs qui ont été hackés et envoient du spam. D'un coup le serveur
se connecte sur énormément des ports SMTP et on le voit. On est en train
de voir cas par cas si cela génère des faux positives. Mais cette
détection nous permettra de bloquer tous les serveurs utilisés pour
spammer 5 minutes après le début du spam et donc avant que le mal soit
fait.

Il faudra prouver logs à l'appui que notre réseau n'est pas propre ...

Amicalement
Octave