Bonjour à tous,

Mon serveur a utilisé à mon insu pour une attaque par déni de service (ATTACK:TCP_SYN). Mon hébergeur a mis mon serveur en mode rescue et m'a transmis les informations suivantes.

Attack detail : 20Kpps/6Mbps
dateTime srcIp:srcPort dstIp:dstPort protocol flags bytes reason
2016.08.22 02:34:46 CEST *.*.*.*:1615 *.*.*.*:28 TCP SYN 40 ATTACK:TCP_SYN
Je ne sais pas malheureusement par quel biais ces requêtes ont été envoyées.

Le serveur étant complètement dépassé techniquement, j'ai prévu de transférer les sites tous les sites qu'ils hébergent sur un nouveau serveur. Néanmoins, j'aimerais pouvoir le remettre en marche temporairement, afin que mes sites restent accessibles le temps que j'effectue le transfert.

Cela dit, j'ai peur que le problème recommence. Que faut-il faire pour empêcher que mon serveur soit à nouveau utilisé pour une attaque par déni de service ? Est-il possible d'empêcher mon serveur d'envoyer des requêtes externes (sachant qu'aucun de mes sites ne nécessite de le faire) ?

Pour info, mon serveur est sous Debian et utilise Apache, PHP et MySQL.

Merci beaucoup à tous celles et ceux qui ont pris le temps de lire ce message, et peut-être même d'y répondre !