[Netdata] mail alerte : the number of times the TCP SYN queue of the kernel was full and sent SYN cookies

Altaris · August 19, 2019, 6:27pm

Mon serveur YunoHost

Matériel: VPS acheté en ligne
Version de YunoHost: 3.6.4.6
J’ai accès à mon serveur : En SSH | Par la webadmin
Êtes-vous dans un contexte particulier ou avez-vous effectué des modificiations particulières sur votre instance ? : non

Description du problème

Bonjour a toutes et a tous
Je reçois un mail de netdata m’indiquant une erreur critique régulièrement, c’est assez aléatoire, cela peut prendre 1 heure comme 5 minutes pour recevoir le mail m’indiquant le problème résolu.

Je ne sais pas trop quel log vous donner

Je vous remercie d’avance pour la lecture de mon poste et votre éventuel aide

Voici le mail d’erreur :

ip.tcp_syn_queue
CHART
1m tcp syn queue cookies = 1 cookies 
the number of times the TCP SYN queue of the kernel was full and sent SYN cookies, during the last minute
ALARM
tcp
FAMILY
WARNING
SEVERITY
Mon Aug 19 15:10:41 CEST 2019
TIME
$this > 0
EVALUATED EXPRESSION
[ $this = 1 ]
EXPRESSION VARIABLES
The host has 1 WARNING and 0 CRITICAL alarm(s) raised.

Le mail de résolvation :

ip.tcp_syn_queue
CHART
1m tcp syn queue cookies (was warning for 1 minute and 10 seconds) 
the number of times the TCP SYN queue of the kernel was full and sent SYN cookies, during the last minute
ALARM
tcp
FAMILY
Recovered from WARNING
SEVERITY
Mon Aug 19 15:11:51 CEST 2019 
(was warning for 1 minute and 10 seconds)
TIME
$this > 0
EVALUATED EXPRESSION
[ $this = 0 ]
EXPRESSION VARIABLES
The host has 0 WARNING and 0 CRITICAL alarm(s) raised.

Edit :
Voici une partie de mon syslog ( les heures correspondent avec les mails pour certains, “domain” remplace mon vrai domaine ^^ )

Aug 19 21:10:35 domain postfix/smtpd[5291]: connect from unknown[185.234.216.144]
Aug 19 21:10:36 domain postfix/smtpd[5291]: disconnect from unknown[185.234.216.144] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4
Aug 19 21:10:43 domain postfix/smtpd[5291]: connect from unknown[193.169.252.174]
Aug 19 21:10:43 domain postfix/smtpd[5291]: lost connection after AUTH from unknown[193.169.252.174]
Aug 19 21:10:43 domain postfix/smtpd[5291]: disconnect from unknown[193.169.252.174] ehlo=1 auth=0/1 commands=1/2

thierry56 · August 19, 2019, 7:07pm

Bonjour Altaris,

D´après ce que j´ai compris sur les forums spécialisés du web, il s´agit d´attaques DDOS par des Hackers non pas pour s´infiltrer dans ton serveur mais pour le paralyser en envoyant de multitudes de demandes de requêtes de connexions au serveur. En tout cas cela ne paralyse pas le mien!

Altaris · August 19, 2019, 7:14pm

Ah ? Pour le petit usage que j’en ai ( 3-4 mail ) par mois et un site en construction, cela ne devrait pas etre dérangeant du coup, mais bon, sa semble coïncider avec ce que je vois dans syslog ( je vais les rajouter d’ailleurs ) Merci de m’y avoir fait penser

thierry56 · August 19, 2019, 7:35pm

Oups, J´avais pas vu les derniers logs concernant Postfix, Il me semble que c´est un autre type d´attaque concernant une tentative d´intrusion au serveur de mail mais il me semble que c´est géré par Fail2ban qui doit t´indiquer des banissements dans NETDATA (en temps réel+voir logs de Fail2ban), A vérifier! Pour information j´ai de ce temps là des tentatives d´attaque au scanner Zmeu qui s´attaque à Phpmyadmin (non installé!).
Keep cool y a plein de robots sur le Web qui scannent ton serveur

Altaris · August 19, 2019, 8:54pm

Tu saurais me dire la manip pour vérifier les bans s’il te plait ? J’ai fait un iptables -L mais les seuls qui y sont, sont ceux que j’ai ajouter ( a la suite d’avoir vu ces tentatives )

thierry56 · August 20, 2019, 6:27am

Bonjour,

La commande pour afficher les IP bannies:
fail2ban-client status nom de la prison

Exemple pour la prison sshd:
fail2ban-client status sshd

Altaris · August 20, 2019, 6:46am

Bonjour,

Merci pour la commande mais comment puis je savoir dans quel prison ils les met ? :confuse:

Je suis au travail, je n’ai pas d’accès ssh à mon serveur je regarderai ce soir

thierry56 · August 20, 2019, 7:09am

Altaris,

D´abord il faut trouver les prisons actives pour savoir lesquelles d´entre elles sont concernées par les bannissemets:
fail2ban-client status
et ensuite consulter les prisons pour trouver l´IP soupçonnée

Altaris · August 20, 2019, 7:52am

Je te remercie je check cela à mon retour !

anonyme18 · August 20, 2019, 10:27am

Bonjour,
Juste pour compléter, il y a un excellent tutoriel yunohostien ici sur le (dé)bannissement des adresses par Fail2ban.
Bonne journée.

system · September 4, 2019, 10:27am

This topic was automatically closed 15 days after the last reply. New replies are no longer allowed.