Bonjour,

Nous continuons notre travail pour purger le réseau de tous les clients qui essaient d'utiliser les ressources de nos datacentres pour une activité illégale.

Après le turnover et avant de s'attaquer au spam, nous avons repéré 3 revendeurs qui se sont spécialisés dans le revente de nos serveurs à des hackers en tout genre. Il y a 1 client UK et 2 clients ES ce qui représente environ 600 serveurs. Ils ont reçu une lettre recommandée disant qu'ils ne peuvent plus commander les nouveaux serveurs et ils ne peuvent plus renouveler le service qu'ils ont chez Ovh. Ils vont donc être purger tranquillement jusqu'à la fin de l'année environ.

Nous avons mis en place un "aspirateur" de packets ce qui nous permet d'aspirer le trafic d'une IP précise. C'est très utile dans la lutte contre les botnet: quand on détecte un serveur hacké qui est connecté sur une IP botnet, nous aspirons le trafic vers ce botnet et on retrouve tous les serveurs qui sont également hackés et ceci en moins de 60sec. Nous sommes en cours d'automatisation d'envoi des alertes pour ce genre de cas.

Nous allons attaquer sous peu la lutte contre le spam et le phishing ce qui va consister à bloquer le port 25 ou le port 80 (dans le bon sens) en cas de détection de spam ou d'un site phishing. Avant le blocage on laissera au client un certain temps pour réagir et fixer le problème mais passer un délai nos robots vont intervenir automatiquement pour fermer mais aussi pour reouvrir le port. Tout le reste du serveur va continuer à fonctionner.

Enfin, toute cette activité de lutte va se retrouver sous peu sur un site Internet où nous allons raconter de manière automatique ou manuelle tout ce qu'on subit et ce qu'on fait. Ainsi, tout sera beaucoup plus transparent et totalement public. Ceci aura de conséquence car par exemple, nous avons trouvé de réseaux entier spécialisés dans le scan. Avec ce genre de statistiques on pourra voir où se situe le danger et donc on pourra préconiser les protections.

Amicalement
Octave