OVH Community, your new community space.

Los nuevos avisos "AntiHack"


rafael78
10/07/2013, 18:15
Cita Publicado inicialmente por Samael
Tengo una BD con más de 90.000 correos (todos clientes) envié un aviso a todos repartidos en 4 días, todos los correos llegaron bien y no fui dado por spam, igual deje en el correo opciones para que me avisaran si no querían mas avisos de ese tipo pero todo funciono bien, repito todos eran clientes registrados, use phplist.

Es la primera vez que envio correos así y fue por una buena razón (aviso importante).

Saludos...
Obvio un soft bueno o el Interspire Email Marketer que es el que uso yo , obvio que si se puede

Samael
10/07/2013, 16:58
Tengo una BD con más de 90.000 correos (todos clientes) envié un aviso a todos repartidos en 4 días, todos los correos llegaron bien y no fui dado por spam, igual deje en el correo opciones para que me avisaran si no querían mas avisos de ese tipo pero todo funciono bien, repito todos eran clientes registrados, use phplist.

Es la primera vez que envio correos así y fue por una buena razón (aviso importante).

Saludos...

MatiasS
10/07/2013, 09:59
Hola.

Cuidad las formas y no nos calentemos, que el tema es interesante y de interés. Si sube el nivel de agresividad sabemos lo que pasa.

Podemos seguir discutiendo tranquilamente.

Un saludo.

Siliconworld
10/07/2013, 02:49
Cita Publicado inicialmente por rafael78
No tergiverses la realidad para ser el prota de una película en donde no hay que ser prota de nada , ovh solo avisa a efectos de servidores que violen las leyes en cuanto a derechos de autor , etc , no vengas con historias para no dormir ni cambies el mensaje
Dada su falta de respeto y formas, no me molesté en responderle a nada del anterior post y con este último lo mismo.

El hilo original es este: http://foros.ovh.es/showthread.php?t=9809 NO se ha modificado nada de la parte extraída del original.

El resultado final para el autor se desconoce, pero se puede ver en el último reply como un usuario directamente afirma que OVH le cerró el servidor por meter una IP en lista negra y no darle solución, entrar en listas negras es fácil, salir de ellas no tanto, se le está ayudando a "chencho" avisándole de las posibles consecuencias si no gestiona correctamente este proyecto, ni más, ni menos, igualmente recordándole que con quien tiene contrato es con OVH Hispano en España, no con OVH Francia, que su empresa y la de su cliente suponemos que son Españolas y los destinatarios posiblemente también serán Españoles, por lo tanto la ley, en este caso, si es aplicable, no estamos diciendo que sea ilegal el envío masivo de emails, estamos diciendo que se han de cumplir ciertas normas, como tener el consentimiento del destinatario y dar opción clara a desuscribirse o no recibir más emails de ese remitente, entre otras cosas en lo que se refiere a la parte legal y en lo que se refiere a la parte técnica no se ha dicho nada, seguramente por que en su primer reply a la pregunta de "chencho" ya le explicó los puntos básicos a tener en cuenta, buenas gestión del servicio, configuración correcta del SPF, agregar a las cabeceras la key DKIM, etc...

Un Saludo.

rafael78
10/07/2013, 02:20
Nos ponemos en contacto con usted para informarle de que nos han
notificado que su servidor dedicado está efectuando envío masivo de emails.

Le recordamos que conforme con las normas generales de alojamiento :

"El Cliente declara aceptar plenamente todas las obligaciones legales
emanadas de la propiedad de sus servicios, OVH HISPANO no puede ser
requerido por esta causa sea cual sea el motivo, especialmente en caso
de violación de las leyes o reglamentos aplicables a los servicios del
cliente. El incumplimiento por el Cliente de los puntos aceptados más
abajo y de los puntos aceptados en las condiciones particulares y
especialmente toda actividad susceptible de engendrar una
responsabilidad civil y/o particular entrañará el derecho por OVH
HISPANO a desconectar y/o a interrumpir, sin demora y sin previo aviso,
los servicios del Cliente y suspender inmediatamente y de pleno derecho
el contrato, sin perjuicio del derecho a reclamar todos los daños e
intereses a los cuales OVH HISPANO podría pretender."

Este es sólo un mensaje de aviso. Requerimos de su intervención para que
dicho contenido sea eliminado en el menor tiempo posible, de lo
contrario nos es de obligado cumplimiento tramitar el cierre del servicio



No tergiverses la realidad para ser el prota de una película en donde no hay que ser prota de nada , ovh solo avisa a efectos de servidores que violen las leyes en cuanto a derechos de autor , etc , no vengas con historias para no dormir ni cambies el mensaje , yo he tenido y tengo clientes con servidores para envio masivo de emails y sin problema ninguno , con sus programas profesionales , etc , asi qeu no mientas ni intentes tergiversar la realidad coño , lejos de ayudar parece que quereís joder , ala que lo paseís bien y dejad de contar las cosas a medias , por otro lado los servidores están en Francia y acatan la ley francesa en materia ya sea de p2p , etc , cuando en españa ovh tenga un datacenter ya será otra cosa , pero mientras tanto un servidor acata las leyes del país donde está el datacenter y punto y esto es lo que se prohibe , lo cual en cierta medida es lógico :

- shells, boucers o servidores IRC,
- servidores de P2P,

Siliconworld
10/07/2013, 02:12
Extraído de otro hilo:

Código:
Nos ponemos en contacto con usted para informarle de que nos han 
notificado que su servidor dedicado está efectuando envío masivo de emails.

Le recordamos que conforme con las normas generales de alojamiento :

"El Cliente declara aceptar plenamente todas las obligaciones legales 
emanadas de la propiedad de sus servicios, OVH HISPANO no puede ser 
requerido por esta causa sea cual sea el motivo, especialmente en caso
de violación de las leyes o reglamentos aplicables a los servicios del 
cliente. El incumplimiento por el Cliente de los puntos aceptados más 
abajo y de los puntos aceptados en las condiciones particulares y 
especialmente toda actividad susceptible de engendrar una
responsabilidad civil y/o particular entrañará el derecho por OVH 
HISPANO a desconectar y/o a interrumpir, sin demora y sin previo aviso, 
los servicios del Cliente y suspender inmediatamente y de pleno derecho 
el contrato, sin perjuicio del derecho a reclamar todos los daños e 
intereses a los cuales OVH HISPANO podría pretender."

Este es sólo un mensaje de aviso. Requerimos de su intervención para que 
dicho contenido sea eliminado en el menor tiempo posible, de lo 
contrario nos es de obligado cumplimiento tramitar el cierre del servicio
No son necesarias más explicaciones.

Suerte con el servidor.

Un Saludo.

chencho
09/07/2013, 17:52
Muchas gracias a todos.

El tema de la ip está controlado, y las recomendaciones ya las hicimos al cliente, que es del perfil " a mi me da igual".

Lo que no quería bajo ningún concepto es que este dedicado en cuestión, con sus ips separadas, nos afecten al resto de dedicados.

rafael78
09/07/2013, 11:41
Tampoco nos pongamos con mariconadas y exageraciones , estamos hablando a nivel técnico y punto , la LSSI no es aplicable ni de lejos para servidores fuera de España asi que dejémonos de hacernos eco de "cosas" que ponen por ahí adelante y si ahora me vendreís con lo del administrador y territorio español y todas las chorradas que cagaís muchos newbies , todas las empresas y webs envian emails y ya está y a nadie le van a hacer nada por eso , asi que ya está bien de monsergas que no son reales , - y ahora ponedme 400 casos si como no -

El problema que tienes es a nivel técnico y ya está puesto que es complicado hacer esto sin más , asegúrate de que los emails que tienes no son extraidos sino listas limpias , utiliza un programa como Interspire E-Mail Marketing y ya está bien de largar legalismos y de andar diciendo cosas que solo son aplicables en "algunos" casos , si todo dios se pone a pensar en esas chorradas que se inventan los políticos de mierda de turno aqui no salía ni dios de casa

Las cosas que te puse en mi post son para hacerlas bien , puesto que aunque intentes enviar tu o tu cliente spam no vas a conseguir nada porque eso está por las compañias principales como gmail y hotmail , muy controlado , haz lo que te comento y con eso no tendrás problemas

Un saludo

dcampoy
09/07/2013, 10:15
Al margen de que tengas problemas con OVH, debes saber que lo que pretendes es ilegal en España. Con estas cosas no se andan con tonterias, las sanciones pueden ser de hasta 600.000 euros. Te recomiendo que leas la LSSI (la Ley).

Siliconworld
08/07/2013, 22:55
Cita Publicado inicialmente por chencho
Aprovecho el hilo con una duda referente al envio masivo de correos

UN cliente quiere un servidor para el envio diario de unos 14000 correos; al parecer no está muy por la laborar de comprobar si los destinatarios son correctos o si se quieren desuscribir de la lista, ... (intentaremos hacerles entrar en razón) y lo que no quiero es que afecte al resto de los servidores que tengo en la cuenta.

Por temas de spam, ¿pueden cerrar un servidor/cuenta?
A lo primero, tal y como te indican en el anterior post, importantísimo que le asignes una IP exclusiva para ese cometido, pues no va a durar ni una semana funcional antes de entrar en listas negras o que te la quiten si es reportada al "abuse" de una manera excesiva y por el otro tema de: "si se quieren desuscribir de la lista", que sepas que el SPAM de ese tipo y el envío de correo comercial sin consentimiento del destinatario u opción de desuscripción, es delito, al menos en España (creo) y aparte de encontrase ellos con un problema legal, puede afectarte a ti también, no estoy seguro.

Un Saludo y suerte con el tema este.

rafael78
07/07/2013, 16:06
Con tu servidor dedicado puedes hacer lo que te venga en gana , otra cosa es si se ataca a la red de OVH , esto ya es otra cosa , por lo demás si haces spam y lo haces desde una única ip que es la del server pues te joderás tu , porque en definitiva al momento de comenzar a enviar esa cantidad ya te van a bloquear , le dices a tu cliente que los tiempso en los cuales se hacía eso ya pasaron .....

Va bien jodido si quiere hacer eso , al momento se van a tomar por culo a spam sin más , y en hotmail en menos uno a spam si es que llegan ... en otros casos como google tienes más cancha o a yahoo , pero chungo , muy chungo es el tema del envio

Hay que usar un programa bueno , firmar los dominios con spf y dkim y otras cosillas más como la reputación de tu ip que enseguida vas a las black lists y luego están las lisas negras internas , en concreto los más chungos los de hotmail , es que es un sin viviir con esa gente ya te puedes matar a meterte en programas de afiliación que nanai , lo mejor que puedes hacer pues , tener cuidado con los contenidos en el body del mensaje , eso es lo que escanean

Un truco para que los emails entren más masivamente , eliminar los emails con formato html , si los metes en formato html peor porque el body es lo primero que miran , luego si vas a enviar mucho meterte a un servidor con proxmox y le cambias la ip al contenedor es mejor y más barato que andar pillando bloques de ips , cada mes le pillas 2 o 3 ips y pista

Es mi consejo ahora tu decides pero ni loco pongas tu ip a su servicio o te la banearán para los demás servicios de tus usuarios o privados

chencho
03/07/2013, 13:34
Aprovecho el hilo con una duda referente al envio masivo de correos

UN cliente quiere un servidor para el envio diario de unos 14000 correos; al parecer no está muy por la laborar de comprobar si los destinatarios son correctos o si se quieren desuscribir de la lista, ... (intentaremos hacerles entrar en razón) y lo que no quiero es que afecte al resto de los servidores que tengo en la cuenta.

Por temas de spam, ¿pueden cerrar un servidor/cuenta?

mikelgonza
13/04/2013, 15:34
Cita Publicado inicialmente por max
es que eso no lo pusiste. Devottee tampoco puso lo del puerto inseguro dle antihack, y si no se leen pues es que no cuadra lo que se explica. Luego lo ha aclarado mejor poniendo el mensaje del puerto y ya se entiende.

Pero por ejemplo ahora comentas:



pues eso puede pasar porque el email está mal confeccionado, porque no tiene bien la ip inversa, etc.. varias cosas.

O igual es como funciona mi cabeza, pero con eso que leo yo lo primero que pienso no es que falla OVH, igual que en el día a día no es la máquina la que falla sino que en el 90% de veces hay algo mal configurado. Pero en todo caso mejor no me meto mas cuando vea comentarios así tan a la brava porque el problema quizás es mío.

De todos modos no entiendo lo de permanecer en un proveedor que da fallos tan graves. Yo al menos una la pasaría, pero a la segunda ya me empiezo a mirar otro sitio. No entiendo bien que puede retener a alguien con unos fallos continuados tan serios.


saludos,


Entiendo que tu creas que eres super listo y los demás tontos pero va a ser que no , con OVH los problemas de spam siemre se dan y con la ip inversa bien puesta y con las formas dkin puestas y con los spf y todo , no pienses que si algo falla es que la culpa es de los que estamos aqui , puesto que hay gente que no tendrá dinero para hacerlo pero hay gente que tiene mas conocimientos aqui en este foro que el puto OLES , y no lo digo por mi ni mucho menos , asi que hombre un poquito de "por favor" que todos tus posts van en el mismo sentido y si tienes acciones en OVH aprovecha que hay crisis y luego se desvalorizan majete

Samael
12/04/2013, 07:29
Cita Publicado inicialmente por devotee
Ya está claro, alguien ha metido mi IP en la lista negra de spam de Trendmicro y por eso me han cerrado el servidor.
Yo apostaría que en este caso la IP se enlisto por el usuario anterior del servidor y de mala suerte (sigue el azar en OVH) se la dieron ya muerta.

En mi caso contrate un servidor el día 15 del mes, todo perfecto hasta que me llega un aviso importante de que tenia mal configurados los DNS secundarios y que era el primer aviso, ojo el correo da mucho miedo al leerlo, te preguntas tu mismo y que hice mal???

Pues miro el panel DNS secundario y la fecha de creación es del día 8 de ese mes.

Envío un correo de respuesta indicando esto y que miren bien que esa configuración yo nunca la he hecho ya que la fecha de creación es de antes de que yo contratara y me responden lo siguiente:
Efectivamente la creación es de antes que usted contratara, posiblemente sea un error del sistema de reciclaje de servidores que no genero todos los cambios, que se pedirá a soporte lo revise y vea que paso.

De eso hace vaaariosss meses y no e sabido nada de nada, pero la configuración aun está mal hecha, como no me afecta ya que no uso DNS en ese servidor no he cambiado nada, sin embargo no llego ningún otro aviso y sigo esperando de saber que paso.

Yo me pregunto qué pasa con todo eso, para que el aviso si luego no hicieron nada, será para solo joder y que uno crea que están pendientes de todo cuando solo mosquean por tonterías.

Moraleja, te llega un server y lo primero a mirarlo por todos lados, probar, testear, REVISAR todo cuanto puedas.

max
11/04/2013, 13:40
Cita Publicado inicialmente por mikelgonza
MAX , lee bien , los 150 euros , era lo que pagaba un cliente mio al mes por su servidor dedicado con Cpanel , no unos que tengo yo de gama baja para pruebas y backup
es que eso no lo pusiste. Devottee tampoco puso lo del puerto inseguro dle antihack, y si no se leen pues es que no cuadra lo que se explica. Luego lo ha aclarado mejor poniendo el mensaje del puerto y ya se entiende.

Pero por ejemplo ahora comentas:

Totalmente de acuerdo , yo tuve un cliente que quería enviar emails a un listado auténtico de clientes de su e-commerce y jamás ha podido desde OVH , todo en SPAM en las blacklists y la ip se supone que era "nueva"
pues eso puede pasar porque el email está mal confeccionado, porque no tiene bien la ip inversa, etc.. varias cosas.

O igual es como funciona mi cabeza, pero con eso que leo yo lo primero que pienso no es que falla OVH, igual que en el día a día no es la máquina la que falla sino que en el 90% de veces hay algo mal configurado. Pero en todo caso mejor no me meto mas cuando vea comentarios así tan a la brava porque el problema quizás es mío.

De todos modos no entiendo lo de permanecer en un proveedor que da fallos tan graves. Yo al menos una la pasaría, pero a la segunda ya me empiezo a mirar otro sitio. No entiendo bien que puede retener a alguien con unos fallos continuados tan serios.


saludos,

mikelgonza
11/04/2013, 12:25
Cita Publicado inicialmente por juanillo
Cuando tenga un rato libre revisaré todas mis IP´s de OVH. Las de máquinas físicas y las de virtuales. Y si encuentro alguna en la base de datos de trendmicro daré de baja el servidor antes de que me lo bloqueen ellos. Cosa que dudo porque si estuviesen en trendmicro supongo que ya me habrían "informado". En cualquier caso, tu servidor y/o cualquiera de los nuestros que devolvamos terminarán en manos de otro cliente con la IP blacklisteada.

Conclusión, revisar la IP en las bases de datos de spam antes de aceptar el servidor. Como por ley de comercio electrónico tenemos 7 días para plantear el desestimiento de contrato, hay tiempo de comprobarlo.

Mi recomendación es, si no has pagado 1 año por adelantado, que pierdas 1 día de trabajo y contrates otro servidor. El problema no es de "tu ip", es de "su ip".

Otra cosa al hilo de los "antihack". Recuerdo que hace tiempo se publicó una web en la que ovh era partner y que se dedicaba a chequeo de páginas web para reportar hacks. Más adelante alguien preguntó cuál era esa web; la intenté buscar por entre los hilos del foro y no la encontré.
Si alguien la recuerda que lo comente.
Totalmente de acuerdo , yo tuve un cliente que quería enviar emails a un listado auténtico de clientes de su e-commerce y jamás ha podido desde OVH , todo en SPAM en las blacklists y la ip se supone que era "nueva"

mikelgonza
11/04/2013, 12:19
Roza ya lo obsesivo-compulsivo.

OVH deberia empezar a planterase que NO es bueno que tus clientes sientan miedo de la empresa que les proveé, no servira de mucho, pero si al menos el post sirve para replantearse la forma de notificar este tipo de cosas, creo que todos ganaremos en salud.

Totalmente de acuerdo con Kenny , como diría el anuncio este de los seguros " Me siento segurooooo ..... "" pues No con OVH no , " Me siento ACOJONADO CADA DÍA "

mikelgonza
11/04/2013, 12:18
Yo uso el fail2ban y también programas para controlar el acceso por SSH como SShGuard , firewall csf lfd , etc

Te dejo un artículo que yo he usado y va de lujo :

http://www.cyberciti.biz/tips/linux-...practices.html


También mirarse mod_security de apache no está de más y a prender a manejar bloqueos por .htaccess para hotlink , etc , hay muchas cosas pero lo más importante lo evidente , control de accesos , mirar todo de vez en cuando , etc

Y algo qeu he estado usando ultimamente en vez de webmin es Ajenti Server Manager , para mi va de lujo y controla todo el servidor , logs y de todo


MAX , lee bien , los 150 euros , era lo que pagaba un cliente mio al mes por su servidor dedicado con Cpanel , no unos que tengo yo de gama baja para pruebas y backup


Saludos

juanillo
09/04/2013, 20:55
Cita Publicado inicialmente por sdzzds
Hola, estoy totalmente de acuerdo con el usuario @devotee. Es increible que cierren un servidor por esto. Da miedo tener aqui el negocio con OVH.

@juanillo, la página que dices creo que es http://www.c-sirt.org/
Muchísimas gracias , a esa me refería

max
09/04/2013, 17:10
Eso será en el modo rescue-pro o cuando no tienes el Anti-Hack activado, en caso contrario esto es lo que te pasa si intentas acceder por ssh
ah.. eso no lo habia visto. Entonces tienes toda la razón, eso funciona diferente y no es un puerto seguro. No es un error por tu parte

¿Qué te parece más probable/factible?
pues a mi por probable lo de la ip vieja. Las listas no suelen admitir un informe porque si. Lo admiten pero debe haber alguna una comprobación. Algunas listas como sabes las dejan ahí para pedir dinero por borrarte, pero por eso también caen en desuso. Que yo sepa Trendmicro no pide pasta.
Pero también dentro su RBL parece que meten a hosts comprometidas, no solo spam. Si la IP era de una host antes hackeada quizás el motivo no era el spam.

En los foros de TrendMicro hay personal de la empresa y algunos mensajes respondiendo por estos asuntos. Quizás si les pides la fecha por ahí saques algo en claro.


Por mi parte te pido disculpas si en algún momento no se ha entendido mi ironía
al contrario, te las pido yo que he salido un poco mosca por otros mensajes, no por el tuyo. Es que uno se lee mensajes y se mira alguna cosa al respecto porque parecen cosas probables y que pueden pasar. Pero luego resulta que son una invención. Y eso es lo que da rabia, que te hacen perder el tiempo por otros motivos.

Estaría bien saber como evoluciona tu problema. Si realmente te dieron una ip ya baneada, eso no sería un fallo tuyo. Es su responsabilidad dar una ip sin problemas. No te pueden dar algo que no está en condiciones de funcionar aunque te lo den, como pasa con cualquier otro producto. Eso ya es tu derecho como consumidor.

saludos y disculpas (las mias),

* de todos modos, supongo que ya has mirado cosas asi:
#grep -ir "SPT\=25" /var/log/*
#grep -ir "xxxxxx" /var/log/* (la otra maquina)
#grep -ir "ssh" /var/log/*

y ver si algo te parece incoherente

jack2
09/04/2013, 16:35
parece que el tema entre max y devotee ha terminado por inundar el hilo

devotee
09/04/2013, 15:48
Hola de nuevo,

Cita Publicado inicialmente por max
pues te aseguro que no pretendo ofenderte. Simplemente me he guiado por los datos que has puesto. Son los datos de un servidor mal asegurado.
¿Sólo porque el ssh estaba funcionando ya deduces que es un servidor mal asegurado?

Cita Publicado inicialmente por max
a ver, en la comunicación TLS lo único que va plano es el encabezado. El recorrido del mensaje es en principio seguro, pero claro depende también (como siempre) de la otra parte. De como tengas tu correo configurado y en donde.
Podemos darle vueltas a este tema todo lo que quieras en el apartado técnico, lo que yo digo es que esto podría ser más seguro facilitándote la clave en tu manager de OVH (HTTPS + identificador) y que me parece curioso el nivel de paranoia de OVH en ciertos temas y que luego vayan enviado claves de acceso a servidores con permisos de root por correo plano.

Cita Publicado inicialmente por max
pues los bots deben ser muy amigos tuyos. Eso es como anunciar una tienda de tangas en un presidio. Si le cambias el puerto y pones un firewall que bloquee los escaneos de puertos sería mucho mejor. Se pueden hacer mas cosas pero eso como mínimo, vaya.
Los bots pueden hacer lo que quieran, a veces son simpáticos. Lo más que hacen es toparse con el puerto 22 "abierto", se les deniega la conexión y se guarda el intento en los logs de acceso. Eso en otro servidor (no en mi caso) podría ser hasta positivo, porque si luego te entran por otro lado (web, ftp,..) no está de más tener la ip para demostrar que (también) lo intentaron por otros medios. De todas formas, te doy la razón en que es mejorable y probablemente instale el fail2ban para que, al menos, los bots no hagan tropecientosmil intentos de acceso y se les bloquee mediante firewall si se pasan en "simpatía".

Cita Publicado inicialmente por max
es que el modo Rescue es para SSH, no para hacer descargas. El modo rescue es para arreglar lo que haya ocurrido y luego poder reiniciar y ya operar. En el modo rescue puedes ver los logs de tu sistema y de los programas de seguridad de la fecha del evento y ver lo que ha pasado.
Eso será en el modo rescue-pro o cuando no tienes el Anti-Hack activado, en caso contrario esto es lo que te pasa si intentas acceder por ssh:

Código:
[SSH] Server Version OpenSSH_6.0p1 OVH-rescue
[SSH] Logged in (password)

Linux rescue.ovh.net 3.2.2-xxxx-std-ipv6-32 #1 SMP Fri Jan 27 14:06:03 UTC 2012 i686

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.


+------------------------------------------------------------+
|                                                            |
| SSH access disabled. To retrieve your files, please use a  |
| FTP client (like FileZilla).                               |
|                                                            |
| Accès SSH désactivé. Pour récupérer vos fichiers, veuillez |
| employer un client FTP (comme FileZilla).                  |
|                                                            |
| SSH-Zugang deaktiviert. Um auf Ihre Dateien zuzugreifen,   |
| benutzen Sie bitte einen FTP-Client (wie FileZilla).       |
|                                                            |
| Accesso SSH disattivato. Per recuperare i Vostri file,     |
| grazie di utilizzare un client FTP (come FileZilla).       |
|                                                            |
| Acceso SSH desactivado. Para recuperar sus ficheroos, por  |
| favor debe emplear un cliente FTP (como FileZilla)         |
| Gracias                                                    |
|                                                            |
| Acesso SSH desactivado. Para recuperar os ficheiro, queira |
| utilisar um cliente FTP (como FileZilla).                  |
|                                                            |
| Brak dostepu do ssh. Aby odzyskac dane, prosimy skorzystac |
| z klienta ftp (np. przy uzyciu aplikacji FileZilla)        |
|                                                            |
+------------------------------------------------------------+




[SSH] INFO: DISCONNECT
Cita Publicado inicialmente por max
pues allí puedes por ejemplo los bloqueos de firewall en messages, accesos en secure y etc.
Gracias, pero si te lees mis mensajes, verás que ya he dicho que los he revisado.

Cita Publicado inicialmente por max
Si yo fuera tú investigaría especialmente las conexiones entre las dos máquinas, porque si tenias configurado el host.allow quizás te puedan haber entrado desde allí. Y entonces la otra también estará comprometida.
Ya te aseguro yo que no ha sido así (sí, he revisado la otra máquina a fondo).

Cita Publicado inicialmente por max
pues si llevas 20 años en esto, decir que es "imposible" enviar un correo tan solo porque no está el correo activado o el log está vacío....
Perdona, debería de haber dicho "improbable". Pero ya dejé claro lo que comentas en mi mensaje:

Si por no tener, no tengo instalado ni el servidor de correo, que aunque no es imprescindible, sí que podría ser una explicación del spam.
Me refería, evidentemente, a que si tuviese instalado el servidor de correo, sería mucho más factible lo del spam. Pero que no es imprescindible que estuviese instalado porque hay mil formas de enviar un correo spam sin un servidor de correo (un shell script mismo te vale). Pero repito: con los pocos datos que me dan, me tengo que basar en pruebas y pistas. Es como tienes que tomar una decisión y haces una lista de los pros y los contras. El no tener el servidor de correo es un "contra" a la teoría de que se haya enviado spam desde esa ip.

Cita Publicado inicialmente por max
te pueden haber entrado, enviar lo que quieran y luego dejarlo como estaba.
Sí, podría haber sido Santa Claus (es broma )

Cita Publicado inicialmente por max
Pero debería haber rastro. Si han borrado los rastros entonces está el rastro de que se han borrado los rastros. Aunque sea mas laborioso se deduce. Es cosa de darle caña al grep en las dos máquinas y algo aparece.
Lo revisé y no habían tocado las galletas ni la leche, descartamos a Santa Claus (es otra broma ) Te insisto: no hay NADA. Sólo Trendmicro diciendo que se ha enviado spam desde esa IP.

Cita Publicado inicialmente por max
Pero Trendmicro y las grandes listas comprueban que la dirección es efectivamente de un spammer. Son procesos automáticos. Si no te lo crees intenta dar de alta a cualquier dirección ip como spam y ya verás si te hacen caso.
Eso no te lo niego, pero es que no me han dicho cuando se supone que se envió el spam, ni qué tipo de spam era. Vaya, que se agradecería una muestra (cabeceras, mensaje) con los datos pertinentes borrados (destinatario) para esclarecer lo que ha pasado.

Y aún así, ya te han comentado (me remito al comentario de Guille) que cerrar un servidor tan alegremente, simplemente porque tu ip aparece en una base de datos de terceros, es una medida un poco excesiva. Imagino que será un proceso automático, pero vuelvo a decir lo mismo: deberían de revisar la metodología para comprobar, como mínimo, la fecha del spam, para saber si el problema es de hoy o de hace un mes. Eso si Trendmicro les da ese dato, que a mí no me lo quieren dar

Cita Publicado inicialmente por max
La explicación de que te suspenden un servidor por la jeta aunque no hacia nada raro, eso en principio no puede ser.
Llevo 20 años en esto y te digo que a veces pasa

No estoy diciendo "por la jeta", estoy diciendo que puede haber sido un error. Que todo apunta a que lo ha sido, pero parece que no es posible debatir eso. Parece que eso sí que es imposible, no ha podido ser un fallo de OVH, al 99,99% es culpa mía.

Cita Publicado inicialmente por max
Porque el proveedor no come de que los servidores no funcionen, ni tampoco juega a la ruleta rusa con sus clientes.
Llevo desde el día 5 sin servidor, y caduca el día 15 (estoy pensando, como ha comentado juanillo, en no renovarlo, contratar uno nuevo, y migrar los datos), ahí está la incidencia: abierta, contestada y en espera. Si al final resulta que fue un error... ¿Que pasa con los días perdidos? ¿Me los reembolsan? En este caso OVH sí que está comiendo de ese servidor, aunque no funcione.

Cita Publicado inicialmente por max
Ellos tienen sus procesos y los aplican. ¿Se pueden criticar esos criterios?. Se puede. Pero algo habría en tu servidor que bajo esos parámetros lo consideran peligroso o no aceptable.
Y dale con que algo habría en mi servidor... Leete el mensaje de Guille, anda.

Cita Publicado inicialmente por max
Si te han dado una ip que antes ya era spam, entonces TrendMicro te lo ha de decir. ¿Te has dado de alta en su sistema para ver mas información?. Porque sino el acceso es más limitado.
La verdad es que en Trendmicro no me han dicho nada, sólo me han contestado al ticket que les envié para que retirasen la ip de su base de datos:

Código:
Date: Mon, 8 Apr 2013 13:21:53 -0700 (PDT)
Subject: [MAPS #xxxxxx] (rbl) WWW remove for x.x.x.x
Reply-To: Dionisio G via RT 
From: Dionisio G via RT 

Hello,

Thank you for contacting Trend Micro about this IP address x.x.x.xon the RBL. This IP was listed because we have seen recent spam activities from it. We have probated (temporarily remove) this IP address from RBL. Please note that if we receive spam from this IP address in any given time again, it will automatically get re-listed on RBL without further notice.

Please allow up to 48 hours for this change to reach all Trend Micro customers.

===
Kind regards,
Trend Micro Inc.
Spam Investigations Team


-------------------------------------------- Managed by Request Tracker
Lo único que saco en claro es: "This IP was listed because we have seen recent spam activities from it.", lo que no sé es que entiende Trendmicro por "recent". ¿Un día? ¿Una semana? ¿Un mes?

Voy a ver lo que comentas de registrarme, por si por ahí puedo sacar algún dato más.

Cita Publicado inicialmente por max
También hay unas recurrencias en la comprobación. ¿Qué día empezaste con el servidor?.
Hombre, por fin... Eso es lo que vengo diciendo desde el principio. Como ya he dicho anteriormente, contraté el servidor el 15 de Marzo. Mi teoría es:

1. El 3 de marzo (por ejemplo), alguien envía spam desde ese servidor, o desde esa IP
2. Trendmicro lo detecta y lo mete en su base de datos
3. OVH, en un control rutinario el día 5 de marzo, ve que la IP está en la base de datos de Trendmicro y aplica el AntiHack al servidor
4. OVH o el propietario acaba cancelando el servidor, o no lo renueva
5. El 15 de marzo, contrato un servidor, y me endosan ese, o esa IP
6. El 5 de abril, en su control rutinario mensual OVH ve que la IP está en la lista negra de Trendmicro y aplica el AntiHack (lo de "Your ip is still listed with Trendmicro." me mosquea)
7. Apañatelas como puedas.

Otra de mis teorías, si Trendmicro permite que se le envíen muestras de spam para incluirlas en su base de datos, es:

1. El 3 de marzo (por ejemplo), alguien envía spam desde ese servidor, o desde esa IP
2. El propietario cancela el servidor, o no lo renueva antes del 15 de Marzo
3. El 15 de marzo, contrato un servidor, y me endosan ese, o esa IP
4. En algún momento entre la última comprobación rutinaria de OVH y el 5 de Abril, alguien detecta el spam en su bandeja de entrada y lo denuncia a Trendmicro
5. Trendmicro incluye la IP en la base de datos, sin tener en cuenta la fecha original del mensaje de spam (no tiene porqué, ya que no sabe si el propietario del servidor ha cambiado)
6. El 5 de abril, en su control rutinario semanal/quincenal/mensual/loquesea OVH ve que la IP está en la lista negra de Trendmicro y aplica el AntiHack
7. Apañatelas como puedas.

¿Qué te parece más probable/factible? ¿Una de mis teorías, o que alguien se haya colado vete a saber cómo en un servidor que prácticamente está cerrado a cualquier acceso externo (y en el que no hay ningún indicio de intrusión)?

Cita Publicado inicialmente por max
Que una cosa son los fallos del proveedor y otra los del administrador.
Pero es que tu has dado por hecho desde el primer momento que el fallo es mío, porque no soy un administrador competente y porque mi servidor no está bien asegurado. Parece que ni te planteas la posibilidad de que haya sido un fallo de OVH.

Cita Publicado inicialmente por max
Cuando el problema aparece, el proveedor ya se ha preocupado de tener todos los datos por su parte. ¿Tu tienes todos los tuyos en la tuya?. Eso incluye la seguridad, bastante seguridad.
Como ha comentado Guille, pocos datos puedo tener cuando el problema es un mensaje de spam detectado por un tercero, que no tiene que ver conmigo ni con OVH. Yo puedo inspeccionar mi máquina y decirte que no hay nada raro. Pero de Trendmicro no puedo sacar nada más. Si hubiese sido una intrusión y OVH me dijese: "hemos pasado el rkhunter y nos ha dado este, este y este otro problema de seguridad" o "fíjate, hay un fichero /bin/lls setuidado con permisos de root con fecha del 4 de abril", entonces ahí no habría discusión posible. Pero el único dato que tiene OVH es una consulta a la base de datos de Trendmicro que le ha dicho "Sí, esta en nuestra lista", y han actuado en base a eso (dudo que tengan más información concreta sobre el mensaje enviado).

Cita Publicado inicialmente por max
Ya te decía que no se sobre tu asunto, que no es por tí especialmente. Pero es que leo algunos relatos de masoquismo en un proveedor que tiene interminables fallos e injusticias, pero del cual nunca nos marchamos.
Insisto en que desde el principio he dicho que es el primer problema que tengo con OVH. Tengo otros servidores con ellos y no tengo ni una queja. Al contrario, he estado en varios proveedores y OVH me parece el mejor en el que he estado. Me gusta bastante el manager, la cantidad de opciones de configuración que te dan (y que en otros proveedores es imposible), la información del estado de la red o de los servidores, el panel de incidencias,... Y mi relato no pretendía ser una acusación, como tampoco he dicho que OVH haya cometido una injusticia o que sean unos incompetentes. Sólo he contado lo que me ha pasado, a modo de reflexión y de ejemplo. Porque puede (y digo bien puede) que OVH no sea infalible con el tema AntiHack. Y si no lo es, creo que es bueno que lo sepan para que puedan solventar esos errores.

Cita Publicado inicialmente por max
Tu ahora sales registrado desde hace 3 dias diciendo que te han cerrado el servidor. Que no lo dudo, ojo. Pero es lo que hay.
Llevo en OVH más de tres años, y me he pasado por el foro bastantes veces, pero nunca me he registrado (no lo he necesitado). Mea culpa.

Cita Publicado inicialmente por max
Pero no te ofendas porque no me refiero a tu caso ni a ninguno concreto, sino a cosas que se leen y que son invenciones, una pérdida de tiempo. Aunque este espacio debería ser para problemas y fallos reales.
Te doy la razón en lo que has comentado, por eso he intentado aportar todos los datos que he podido (tickets, mensajes, correos,...) quitando la información personal. No pretendía entrar a lo bestia despotricando contra OVH, mi intención era decir "esto es lo que me ha pasado, y os puedo aportar este mail, este ticket, esto otro,..." porque aportando documentación se gana en veracidad.

Por mi parte te pido disculpas si en algún momento no se ha entendido mi ironía, que muchas veces al escribir se pierde el tono con el que pretendes decir las cosas (en este mensaje he puesto "caritas" ).

Cita Publicado inicialmente por max
Bueno, yo en tu caso intentaria sacar la informacion de TrendMicro sobre la antiguedad. Y sino coincide entonces ya tendrás seguro que algo ha pasado en tu máquina. Aunque como te decia, suele haber recurrencia y sino hubiera hecho nada durante un tiempo seguramente ya no estaría. Es cosa de mirar como funciona TrendMicro.
Gracias, voy a mirar lo del registro porque a pesar de pedirles en el ticket información adicional sobre el mensaje de spam detectado, no me han hecho caso.

kennysamuerto
09/04/2013, 14:20
Cita Publicado inicialmente por Guille
Si ahora resulta que dependemos de los caprichos y el funcionamiento de Trendmicro, pues estamos listos.

Uno no contrata un servidor dedicado para estar sometido a un listado arbitrario de un tercero con el que no tienen ninguna relación contractual.

Una cosa es que OVH sufra un problema en su red por culpa de un dedicado y otra que nos eche en cara las inclusiones de listas negras privadas de una empresa de seguridad de dudosísima eficiencia.

Hablando en plata: un relay abierto es algo que se puede probar y solucionar, una intrusión o un malware alojado también, ¿pero una inclusión en una lista negra privada? es algo tan arbitrario que da miedo que sea un criterio de cierre de un servidor, sin aviso previo....

Con OVH parece que jugamos diariamente a la ruleta rusa.
Complemente de acuerdo con la exposicion.

No se puede añadir ni quitar nada mas, independientemente de como tenga el cliente la maquina, la informacion que le muestran no es de nada interno, sino de un listado de una empresa externa de proteccion antispam.

Roza ya lo obsesivo-compulsivo.

OVH deberia empezar a planterase que NO es bueno que tus clientes sientan miedo de la empresa que les proveé, no servira de mucho, pero si al menos el post sirve para replantearse la forma de notificar este tipo de cosas, creo que todos ganaremos en salud.

manoleet
09/04/2013, 12:15
Cita Publicado inicialmente por Guille
Con OVH parece que jugamos diariamente a la ruleta rusa.
Y no con 1 sino con 5 balas.

Guille
09/04/2013, 12:07
Si ahora resulta que dependemos de los caprichos y el funcionamiento de Trendmicro, pues estamos listos.

Uno no contrata un servidor dedicado para estar sometido a un listado arbitrario de un tercero con el que no tienen ninguna relación contractual.

Una cosa es que OVH sufra un problema en su red por culpa de un dedicado y otra que nos eche en cara las inclusiones de listas negras privadas de una empresa de seguridad de dudosísima eficiencia.

Hablando en plata: un relay abierto es algo que se puede probar y solucionar, una intrusión o un malware alojado también, ¿pero una inclusión en una lista negra privada? es algo tan arbitrario que da miedo que sea un criterio de cierre de un servidor, sin aviso previo....

Con OVH parece que jugamos diariamente a la ruleta rusa.

3lk
09/04/2013, 11:28
Cita Publicado inicialmente por max
pues te aseguro que no pretendo ofenderte. [...]
Menuda bañada te han pegado por ir de sobrado.

Si no querías ofender desde luego tu fuerte no es la diplomacia, el post ofendía hasta al lector casual imagínate a devotee.

OVH cada día peor, y encima no se empapa de la mitad de lo que pasa y cuando pasa y se da cuenta actúa desmedidamente.

Y si, quedaste de supermegahyperfanboy

sdzzds
09/04/2013, 10:07
Hola, estoy totalmente de acuerdo con el usuario @devotee. Es increible que cierren un servidor por esto. Da miedo tener aqui el negocio con OVH.

@juanillo, la página que dices creo que es http://www.c-sirt.org/

juanillo
09/04/2013, 08:10
Cita Publicado inicialmente por devotee
Ya está claro, alguien ha metido mi IP en la lista negra de spam de Trendmicro y por eso me han cerrado el servidor. No tendría ninguna pega de no ser porque este servidor se utiliza para almacenar copias de seguridad y:

1. No tiene ningún servidor de correo instalado
2. No tiene ningún servidor web instalado (descartamos posible entrada por ahí)
3. Las copias se hacen mediante ssh y llave, y el único puerto accesible es el 22, del ssh. Si se han colado, es por ahí (y no veo muy bien cómo)
4. El servidor tiene todas las actualizaciones de Debian al día (menos el kernel, pero eso es otra historia que comentaré luego)
Cuando tenga un rato libre revisaré todas mis IP´s de OVH. Las de máquinas físicas y las de virtuales. Y si encuentro alguna en la base de datos de trendmicro daré de baja el servidor antes de que me lo bloqueen ellos. Cosa que dudo porque si estuviesen en trendmicro supongo que ya me habrían "informado". En cualquier caso, tu servidor y/o cualquiera de los nuestros que devolvamos terminarán en manos de otro cliente con la IP blacklisteada.

Conclusión, revisar la IP en las bases de datos de spam antes de aceptar el servidor. Como por ley de comercio electrónico tenemos 7 días para plantear el desestimiento de contrato, hay tiempo de comprobarlo.

Mi recomendación es, si no has pagado 1 año por adelantado, que pierdas 1 día de trabajo y contrates otro servidor. El problema no es de "tu ip", es de "su ip".

Otra cosa al hilo de los "antihack". Recuerdo que hace tiempo se publicó una web en la que ovh era partner y que se dedicaba a chequeo de páginas web para reportar hacks. Más adelante alguien preguntó cuál era esa web; la intenté buscar por entre los hilos del foro y no la encontré.
Si alguien la recuerda que lo comente.

max
09/04/2013, 04:56
pues te aseguro que no pretendo ofenderte. Simplemente me he guiado por los datos que has puesto. Son los datos de un servidor mal asegurado.

en vez de enviarlo en un correo (texto plano) y obligarte a entrar por FTP (sin cifrado) para acceder a los datos del servidor. Mi correo es "seguro" pero ¿puedes asegurarme que toda la red por la que pasa ese texto sin cifrar es segura?
a ver, en la comunicación TLS lo único que va plano es el encabezado. El recorrido del mensaje es en principio seguro, pero claro depende también (como siempre) de la otra parte. De como tengas tu correo configurado y en donde.

El puerto lo he dejado en el 22. No por error si no por vagancia, para mí es más cómodo.
pues los bots deben ser muy amigos tuyos. Eso es como anunciar una tienda de tangas en un presidio. Si le cambias el puerto y pones un firewall que bloquee los escaneos de puertos sería mucho mejor. Se pueden hacer mas cosas pero eso como mínimo, vaya.


No, conecto por FTP normal porque no me dejan por SFTP (ssh cerrado) y porque en OVH no se han preocupado de habilitar el FTP seguro cuando arrancas en rescue.
es que el modo Rescue es para SSH, no para hacer descargas. El modo rescue es para arreglar lo que haya ocurrido y luego poder reiniciar y ya operar. En el modo rescue puedes ver los logs de tu sistema y de los programas de seguridad de la fecha del evento y ver lo que ha pasado.

todos los logs originales del servidor que están en /mnt/var/log para comprobar accesos y demás historias.
pues allí puedes por ejemplo los bloqueos de firewall en messages, accesos en secure y etc. Si yo fuera tú investigaría especialmente las conexiones entre las dos máquinas, porque si tenias configurado el host.allow quizás te puedan haber entrado desde allí. Y entonces la otra también estará comprometida.

Lo sé perfectamente, llevo casi 20 años en esto. Pero lo que me fastidia es que me preocupe, un buen día me bloqueen un servidor hablando de "Hack", y que resulte que al final ha sido por un correo de spam que, para más inri, es imposible que se haya mandado desde mi servidor.
pues si llevas 20 años en esto, decir que es "imposible" enviar un correo tan solo porque no está el correo activado o el log está vacío....

Simplemente, Trendmicro dice que mi IP ha mandado spam[,,,]pero me parece raro que en un servidor que sólo tiene un servicio abierto (ssh) y filtrado (host_allow),
te pueden haber entrado, enviar lo que quieran y luego dejarlo como estaba. Pero debería haber rastro. Si han borrado los rastros entonces está el rastro de que se han borrado los rastros. Aunque sea mas laborioso se deduce. Es cosa de darle caña al grep en las dos máquinas y algo aparece.

Pero Trendmicro y las grandes listas comprueban que la dirección es efectivamente de un spammer. Son procesos automáticos. Si no te lo crees intenta dar de alta a cualquier dirección ip como spam y ya verás si te hacen caso.

La explicación de que te suspenden un servidor por la jeta aunque no hacia nada raro, eso en principio no puede ser. Porque el proveedor no come de que los servidores no funcionen, ni tampoco juega a la ruleta rusa con sus clientes. Ellos tienen sus procesos y los aplican. ¿Se pueden criticar esos criterios?. Se puede. Pero algo habría en tu servidor que bajo esos parámetros lo consideran peligroso o no aceptable.

Si te han dado una ip que antes ya era spam, entonces TrendMicro te lo ha de decir. ¿Te has dado de alta en su sistema para ver mas información?. Porque sino el acceso es más limitado. También hay unas recurrencias en la comprobación. ¿Qué día empezaste con el servidor?.


Y no soy ningun fanboy de OVH. Para mi por ejemplo una cosa especialmente mala de OVH es su politica confusa de sistema de pagos y de cierre de servidor. Pero es que si estuvieramos en otro proveedor te diría lo mismo. Que una cosa son los fallos del proveedor y otra los del administrador. Cuando el problema aparece, el proveedor ya se ha preocupado de tener todos los datos por su parte. ¿Tu tienes todos los tuyos en la tuya?. Eso incluye la seguridad, bastante seguridad.

Ya te decía que no se sobre tu asunto, que no es por tí especialmente. Pero es que leo algunos relatos de masoquismo en un proveedor que tiene interminables fallos e injusticias, pero del cual nunca nos marchamos.

Antes ha aparecido otra persona con lo del antihacking diciendo que tenía sólo 2 servidores de gama baja y luego resultó que era de 150 euros. Tu ahora sales registrado desde hace 3 dias diciendo que te han cerrado el servidor. Que no lo dudo, ojo. Pero es lo que hay.

Cuando se leen según que cosas (no lo digo por la tuya) el problema es que cantan mucho, pero no se sabe de donde salen, si de niños con una SL o quizás de empresas grandes. El caso es que crean un mal rollo de suciedad y de poca seriedad. Y luego el impulso natural al tener que cambiar a una nueva empresa es siempre evitar a una española. Y las hay muy buenas porque hay técnicos cojonudos y entornos menos masificados, y ademas nadie se pelea por 10 o 20 euros arriba o abajo. Si un día he de administrar un nuevo servidor puedo probar en otra, o me puede interesar tener otro servidor en otra red, etc. Pero es que ya ni se buscan. Y es lo único para lo que sirve ese tipo de cosas en mi modesta opinión.

Pero no te ofendas porque no me refiero a tu caso ni a ninguno concreto, sino a cosas que se leen y que son invenciones, una pérdida de tiempo. Aunque este espacio debería ser para problemas y fallos reales.

Bueno, yo en tu caso intentaria sacar la informacion de TrendMicro sobre la antiguedad. Y sino coincide entonces ya tendrás seguro que algo ha pasado en tu máquina. Aunque como te decia, suele haber recurrencia y sino hubiera hecho nada durante un tiempo seguramente ya no estaría. Es cosa de mirar como funciona TrendMicro.


saludos,

devotee
09/04/2013, 01:01
Como no dices a quién estás contestando, asumiré que lo hacías a mi relato.

Cita Publicado inicialmente por max
Me refiero a que es tu responsabilidad asegurar tu acceso a OVH. Dar una dirección de correo segura para recibir las alertas, y en caso de bloqueo del servidor, saber que el correo que llega en modo rescue sirve para acceder como root con SSH y acceder a los logs.
No te he entendido, pero intentaré contestarte: podrían dar perfectamente la clave de acceso al servidor en modo rescue en el panel de administración, al que accedes por HTTPS y con tu clave de forma segura, en vez de enviarlo en un correo (texto plano) y obligarte a entrar por FTP (sin cifrado) para acceder a los datos del servidor. Mi correo es "seguro" pero ¿puedes asegurarme que toda la red por la que pasa ese texto sin cifrar es segura? Y todo ello con permisos de root, con lo que cualquiera que intercepte el correo o el login de ftp podría obtener acceso total a los datos del servidor. Si OVH es tan paranoica para algunas cosas, me resulta curiosa su dejadez en este sentido.

Cita Publicado inicialmente por max
También es tu responsabilidad no cometer el tremendo error de no cambiar el puerto 22 para SSH, algo que es de principiante. Es evidente por lo que explicas que otras medidas más seguras como acotar el rango de IPs, port knocking, etc.. esto no existió.
El puerto lo he dejado en el 22. No por error si no por vagancia, para mí es más cómodo. El filtrado lo hago por host_allow y sólo tienen acceso por ssh muy pocas máquinas. Das por hecho cosas por el simple hecho de que no las he detallado (si quieres te escribo un libro, o un curso de seguridad en Unix como el que impartía en la Universidad).

Cita Publicado inicialmente por max
Dices que te conectas por FTP normal (porque has querido) para descargarte los logs y que no has visto nada raro. ¿Los logs de qué exactamente?.
No, conecto por FTP normal porque no me dejan por SFTP (ssh cerrado) y porque en OVH no se han preocupado de habilitar el FTP seguro cuando arrancas en rescue. Si hubiera podido entrar por SSH o STP, habría entrado por ahí (y lo primero que hubiera hecho es cambiar la clave de "rootftp"). Y más que "porque he querido" es porque desde OVH me han dicho "eh, tu servidor está en modo rescue, algo ha pasado, no te diremos el qué, ya lo arreglarás y si no te lo cerramos para siempre". Así que lo lógico es inspeccionar los logs del servidor para ver si hay algo raro en ellos, o darte un paseo por el árbol de directorios para ver si hay algún ejecutable extraño, algún directorio o fichero extraño que se haya creado recientemente en un lugar que no toca, etc. "¿Los logs de qué exactamente?" pues todos los logs originales del servidor que están en /mnt/var/log para comprobar accesos y demás historias.

Cita Publicado inicialmente por max
No se entiende tampoco que no protegieras a tu servidor limitando exclusivamente el acceso sólo orígen de las copias.
Eso lo dices tú

Cita Publicado inicialmente por max
No se entiende que no tuvieras ningún sistema de seguridad como OSSEC o cualquier otro. Si fuera así, entonces ahora tendrías por necesidad mucha más información. Tampoco parece que hayas desconectado los servicios innecesarios de la máquina para mantener un servidor que sólo hace copias.
La información me la tendría que dar OVH y no me la dió. Simplemente bloquearon el servidor en modo rescue. No sabía si habían detectado una intrusión, si habían hecho un DoS a mi máquina, si habían utilizado la mía para ello. NADA. Sólo a los 3 días me entero de que es porque, supuestamente, la IP está en la base de datos de Trendmicro por enviar spam. Una máquina que, por cierto y para responder a tu segunda parte (aunque ya lo he dicho), sólo tenía habilitado el servicio de SSH para hacer las copias. Ni web, ni FTP, ni siquiera un mísero servidor de correo con el que hubiera podido mandar el correo de spam que dice Trendmicro que se ha enviado desde ese servidor. De nuevo, afirmas cosas sin saber.


Cita Publicado inicialmente por max
Si hiciste esas cosas o similares (y algunas más) como cualquier administrador de sistemas mínimamente competente, entonces el hackeo de tu servidor sería bastante más complicado. Imposible nunca lo es, porque hay gente que entra y sale de los servidores como le da la gana. Pero no suelen dedicarse a perder el tiempo con nosotros.
Pero es que lo mío no fue un hackeo. Al principio no lo sabía. Me extrañaba por todo lo que he dicho, pero bueno, era cuestión de inspeccionar y ver qué podía haber sido. Y hoy (repito: tres días después) me entero que ni hackeo, ni DoS, ni nada medianamente grave. Simplemente, Trendmicro dice que mi IP ha mandado spam, pero ni siquiera me dicen cuando, ni me dan una muestra de dicho spam para saber en qué momento se envió. Ya sé que es imposible que un servidor sea seguro al 100%, dices que hay gente que entra y sale de los servidores como les da la gana (por ejemplo OVH con sus llaves ssh) pero me parece raro que en un servidor que sólo tiene un servicio abierto (ssh) y filtrado (host_allow), con todas las actualizaciones de seguridad al día, llegue alguien y se cuele tan alegremente, sobre todo para enviar spam. Que no tenía instalado ningún servidor web, ni ningún CMS por el cual pudieran colarse. Si por no tener, no tengo instalado ni el servidor de correo, que aunque no es imprescindible, sí que podría ser una explicación del spam.

Cita Publicado inicialmente por max
Entonces si que podrías pensar ¿como ha sido esto posible?.
Y eso he hecho, y con los pocos datos que tengo en la mano gracias a que OVH y Trendmicro no ayudan mucho, mi hipótesis es esa: que han incluido mi IP en su base de datos de spam por error y que OVH, mediante un proceso automático, ha bloqueado el servidor sin preocuparse de mucho más. El que el servidor haya sido contratado recientemente (hace menos de un mes) es otra pista.

Cita Publicado inicialmente por max
Y podrías acceder a logs que no tienes para saber que ha pasado. Y de paso también postearlos por aquí. Y tras todo eso, es entonces cuando lo que te ha pasado podría ser calificado de injusticia y de incompetencia por parte de OVH.
Me las he visto con todo tipo de fanboys. Fanboys de Windows. Fanboys de Linux. Fanboys de Apple. De Android. Fanboys hasta de Depeche Mode. Pero hasta ahora nunca me las había visto con un fanboy de una empresa de hosting, ¿tienes acciones en OVH?

Aquí te he posteado todo lo que he podido. Si quieres te posteo el log del servidor de correo:

.
(es ese, en serio, ocupa cero bytes porque NO TENGO NINGUNO INSTALADO)

Y del resto de logs NO HAY NADA RARO, únicamente los típicos intentos frustrados de acceso al puerto ssh, bloqueados porque en el hosts_allow sólo están las pocas máquinas que requieren acceso.

Y, te repito, no sé de qué me hablas... ¿Injusticia? ¿Incompetencia? ¿Cuándo he usado yo esas palabras? Si lo primero que he dicho es que es la primera vez que tengo un problema con OVH, y lo siguiente ha sido relatar mi experiencia. Una experiencia que no pretende decir que OVH sean incompetentes o injustos, pero que pone de manifiesto que no son infalibles y que, desde luego, podrían facilitar mucho más las cosas en estos casos dando más información (al menos en lo que respecta a lo que me ha pasado a mí).

Cita Publicado inicialmente por max
Pero si tú sólo alquilaste un servidor, le abriste el puerto el 22 y le pusiste a hacer copias con un cron, entonces ahora te quejas del proveeedor (lo cual es tu derecho). Pero yo al menos flipo. Flipo mogollón.
A mi me encanta tu imaginación y como sacas conclusiones de forma tan alegre. ¿Me conoces de algo?

Cita Publicado inicialmente por max
Además es que eso te volverá pasar, en OVH o en donde sea, a menos que apliques muchas más cosas para asegurar un servidor.
Lo sé perfectamente, llevo casi 20 años en esto. Pero lo que me fastidia es que me preocupe, un buen día me bloqueen un servidor hablando de "Hack", y que resulte que al final ha sido por un correo de spam que, para más inri, es imposible que se haya mandado desde mi servidor.

Cita Publicado inicialmente por max
Y ojo, que no es por defender a OVH. Que igual si un día yo soy el afectado por una cosa injusta y sin explicación entonces también me quejaré. Pero hombre, intentaré llenar el hilo de bastante más información sobre un servidor que no estará perfecto, pero sí mínimamente protegido para que la responsabilidad efectivamente sea achacable al proveedor.
Pues para no querer defender a OVH... La responsabilidad en este caso sería de OVH si, como creo, se han equivocado con el tema del spam. Y todos los indicios apuntan a que o bien me dieron un servidor cuya IP estaba en la lista negra de Trendmicro y que, en un proceso automático que realizan en OVH cada x tiempo, han detectado que la IP estaba en una lista negra y han optado por sus medidas "Anti-Hack". O bien me entregaron el servidor, a Trendmicro le denunciaron un correo de spam con fecha anterior a mi contratación, me incluyó en su base de datos, y OVH bloqueó el servidor sin tener en cuenta la fecha del mensaje en cuestión. En cualquier caso, OVH debería de revisar sus protocolos porque si ha sido por uno de estos motivos, desde luego lo ocurrido es un error suyo y, efectivamente, responsabilidad suya.

Cita Publicado inicialmente por max
Tu relato así tal como lo pones es el de alguien que no debería haberse alguilado un servidor, sino los servicios de una empresa o de alguien que se lo proteja y administre con un mínimo de competencia.
Tu respuesta parece la de alguien que ha visto demasiados episodios de "El Mentalista" y que cree que puede sacar conclusiones del aire y sin conocerme de nada.

Cita Publicado inicialmente por max
Es sin ánimo de ofender, de verdad. En caso de que tu relato sea real, entonces has de ser consciente de que hay que aplicar muchas más cosas antes de poner un servidor en internet. En OVH o en cualquier otro sitio.
Si era sin ánimo de ofender, lo has hecho. Empezando porque creo que no te has leído tan bien mi relato como para opinar. Primero, porque he dado los suficientes datos como para saber que es real (no, mi IP no te la voy a dar, ni mi identificador de OVH) y, segundo, porque has sacado unas conclusiones que, desde luego, no pueden deducirse de mi mensaje.

Te agradezco que te hayas tomado el tiempo de responderme, eso sí.

max
08/04/2013, 23:08
bueno, pero si te comentaré sobre las conclusiones que has sacado. Esa de la comprobación de la IP tiene bastante sentido porque te puede caer una IP baneada. Pero del resto que dices me temo que no sacas las conclusiones que deberías.

Me refiero a que es tu responsabilidad asegurar tu acceso a OVH. Dar una dirección de correo segura para recibir las alertas, y en caso de bloqueo del servidor, saber que el correo que llega en modo rescue sirve para acceder como root con SSH y acceder a los logs.

También es tu responsabilidad no cometer el tremendo error de no cambiar el puerto 22 para SSH, algo que es de principiante. Es evidente por lo que explicas que otras medidas más seguras como acotar el rango de IPs, port knocking, etc.. esto no existió.

Dices que te conectas por FTP normal (porque has querido) para descargarte los logs y que no has visto nada raro. ¿Los logs de qué exactamente?.

No se entiende tampoco que no protegieras a tu servidor limitando exclusivamente el acceso sólo orígen de las copias.
No se entiende que no tuvieras ningún sistema de seguridad como OSSEC o cualquier otro. Si fuera así, entonces ahora tendrías por necesidad mucha más información. Tampoco parece que hayas desconectado los servicios innecesarios de la máquina para mantener un servidor que sólo hace copias.

Si hiciste esas cosas o similares (y algunas más) como cualquier administrador de sistemas mínimamente competente, entonces el hackeo de tu servidor sería bastante más complicado. Imposible nunca lo es, porque hay gente que entra y sale de los servidores como le da la gana. Pero no suelen dedicarse a perder el tiempo con nosotros.

Entonces si que podrías pensar ¿como ha sido esto posible?.

Y podrías acceder a logs que no tienes para saber que ha pasado. Y de paso también postearlos por aquí. Y tras todo eso, es entonces cuando lo que te ha pasado podría ser calificado de injusticia y de incompetencia por parte de OVH.

Pero si tú sólo alquilaste un servidor, le abriste el puerto el 22 y le pusiste a hacer copias con un cron, entonces ahora te quejas del proveeedor (lo cual es tu derecho). Pero yo al menos flipo. Flipo mogollón.

Además es que eso te volverá pasar, en OVH o en donde sea, a menos que apliques muchas más cosas para asegurar un servidor.

Y ojo, que no es por defender a OVH. Que igual si un día yo soy el afectado por una cosa injusta y sin explicación entonces también me quejaré. Pero hombre, intentaré llenar el hilo de bastante más información sobre un servidor que no estará perfecto, pero sí mínimamente protegido para que la responsabilidad efectivamente sea achacable al proveedor.

Tu relato así tal como lo pones es el de alguien que no debería haberse alguilado un servidor, sino los servicios de una empresa o de alguien que se lo proteja y administre con un mínimo de competencia.

Es sin ánimo de ofender, de verdad. En caso de que tu relato sea real, entonces has de ser consciente de que hay que aplicar muchas más cosas antes de poner un servidor en internet. En OVH o en cualquier otro sitio.


saludos,

max
08/04/2013, 20:53
yo es que lo siento, pero es que como no pongas la ip ya no me creo nada.

En este hilo había una cosa igual de alguien que decía que sólo tenia 2 servidores de gama baja, pero 3 mensajes después resulta que el servidor le costaba 150 euros.

Insisto que quizás tu caso puede ser auténtico, pero a falta de más datos concretos yo por lo menos ya no me creo nada. Lamentablemente.

saludos,

devotee
08/04/2013, 19:24
Hola, aunque os leo frecuentemente, me he registrado para poder contaros mi caso. Que conste que es la primera vez que me pasa y es el primer problema que tengo con ovh.

El 5 de abril a las 10 de la noche recibo este mensaje de correo:

Código:
Subject: [xxxxx.kimsufi.com] Acceso a los datos de su servidor

Buenos días,

Su servidor acaba de iniciase de en un modo especial  con el fin de permitir recuperar su informaciones.

No dispone de un acceso FTP en lectura sólo. A continuación sus
parámetros:
  - nombre de ususario : rootftp
  - contraseña         : xxxxxxxx



OVH, Servicio de Atención al Cliente.
Al entrar en el manager me topo con esto:

Código:
Información importante :

	Su servidor "xxxxxxx.kimsufi.com" se ha hackedado 0 veces desde la entrega.

Esta es su primera advertencia, tras la detección de comportamientos anormales, su servidor ha sido desactivado y se inició el modo "Rescue".
Le invitamos a revisar los registros de su servidor, y corregir la falla de seguridad, causa del comportamiento anormal.

Si está seguro de haber corregido el problema, podría "clicar aquí" para reactivar su servidor dedicado.
A continuación, tendrá la opción de deshabilitar el "Netboot Rescue" y reiniciar su servidor.

Sin embargo, a pesar de su intervención, se detectó un comportamiento anormal. Su servidor será desactivado de nuevo sin posibilidad de recuperación a menos que se haga una reinstalación completa del servidor.
Ninguna explicación más del motivo por ningún lado, el mensaje que aparece en el manager desde luego no aclara nada (y su redacción es, cuanto menos, confusa).

Entro por ftp, me descargo los logs del servidor, los reviso y no veo nada extraño (salvo los típicos mensajes de intento de acceso al ssh).

Por si acaso, y sabiendo que si reinicio el servidor en modo normal y el problema (que no sé cual es) persiste me cerrarán el servidor definitivamente, opto por sacar los datos con calma, sin prisa pero sin pausa, y ya luego hacer los experimentos que haya que hacer.

Hoy, sobre las cinco, me llega este mensaje:

Código:
Subject: Ticket xxxxxxx - Anti-hack

Estimado(a) Cliente,


Un incidente acaba de ser detectado en xxxxxxx.kimsufi.com.

El ticket xxxxxxxx acaba de ser creado.

No responda a este email, procure utilizar la interfaz web :
https://www.ovh.es/managerv3/services-support-tickets.pl?ticketId=xxxxxxxx

Como recordatorio, su identificador de cliente es: xxxxxxxxx-ovh


OVH, Servicio de Atención al Cliente.
Entro en el ticket que me indican y... ¡Sorpresa! Por fin me entero del motivo del cierre del servidor:

Código:
De : OVH - Anti-hack Para : xxxxxx-ovh 
Fecha : 2013-04-08



Estimado(a) Cliente,

Se ha detectado una actividad irregular en su servidor xxxxxxx.kimsufi.com.

No dude en contactar con nuestro soporte tecnico para que esta situacion 
no se vuelva critica. 

Podra encontrar mas abajo los logs indicados por nuestro sistema que han 
dado lugar a esta alerta.  

- INICIO DE INFORMACIONES COMPLEMENTARIAS -

Your ip is still listed with Trendmicro.

Please contact Trendmicro via this link
in order to unlist your ip :

https://ers.trendmicro.com/reputations/block/x.x.x.x/

RBL

and keep us informed via this ticket.





-  FIN DE LAS INFORMACIONES COMPLEMENTARIAS  -

Cordialmente,

Soporte cliente OVH.
Y consultando la IP en la base de datos de Trendmicro:

Código:
Reputation:    Bad
Listed in:    RBL
Ya está claro, alguien ha metido mi IP en la lista negra de spam de Trendmicro y por eso me han cerrado el servidor. No tendría ninguna pega de no ser porque este servidor se utiliza para almacenar copias de seguridad y:

1. No tiene ningún servidor de correo instalado
2. No tiene ningún servidor web instalado (descartamos posible entrada por ahí)
3. Las copias se hacen mediante ssh y llave, y el único puerto accesible es el 22, del ssh. Si se han colado, es por ahí (y no veo muy bien cómo)
4. El servidor tiene todas las actualizaciones de Debian al día (menos el kernel, pero eso es otra historia que comentaré luego)

En resumen: han cerrado un servidor por enviar spam, cuando ese servidor no tiene posibilidad de recibir o enviar correo, sólo tiene el puerto del ssh abierto, tiene todas las actualizaciones al día y (en teoría) está completamente "cerrado" al exterior.

Como en Trendmicro no facilitan ninguna información sobre el spam detectado/reportado, no puedo saber cuando se incluyó el servidor en su lista negra. Este servidor en concreto se contrató el 15 de marzo, por lo que una de las hipótesis que me rondan la cabeza es que el anterior propietario del servidor fue el responsable del spam, que se le incluyó en la lista negra de Trendmicro, y que luego me pasaron ese servidor a mí. Eso explicaría por qué no me han enviado el primer mensaje Anti-Hack (el primer día) y porque insisten en que hubo una intervención anterior que no solucionó el problema ("Sin embargo, a pesar de su intervención, se detectó un comportamiento anormal. Su servidor será desactivado de nuevo sin posibilidad de recuperación a menos que se haga una reinstalación completa del servidor.") y que Trendmicro dice que la IP todavía sigue en su base datos ("Your ip is still listed with Trendmicro.").

Sea como sea, y a pesar de no estar seguro de mis conjeturas, lección aprendida: si en algún momento contrato un servidor con OVH debería de revisar la IP en las listas de spam para comprobar que no me han colado un servidor que, anteriormente, fuera usado con ese fin. Y, de aparecer en alguna de esas listas, solicitar a OVH que o solucionen ellos el problema con quien toque (en este caso Trendmicro), o que me cambien el servidor por otro cuya IP no aparezca en listas antispam (y que revisen sus protocolos de activación de servidores para comprobar ellos este punto antes de entregar un servidor).

Otra de las anécdotas curiosas que saco de toda esta historia es que resulta gracioso ver el grado de paranoia de OVH con el tema Anti-Hack, pero luego van y te envían la clave de acceso (root) al servidor bloqueado por correo electrónico, y que este acceso se hace mediante FTP sin cifrado. Un aplauso.

Ya sé que también envían la clave inicial del servidor por correo, pero ésta se puede cambiar, la del servidor bloqueado en modo rescate seguro no. Y aunque se pudiese cambiar, si la conexión no va cifrada, pues...

Cita Publicado inicialmente por Kilburn
Has eliminado la entrada del authorized_keys que les da acceso por ssh? Yo es lo primero que hago cuando pillo un server nuevo... Habiendo hecho eso, simplemente no tienen forma de entrar sin reiniciarte el server, así que como mínimo te enterarías si lo hicieran.
Este punto es interesante. Yo siempre quito eso cuando contrato o reinstalo un servidor. No porque no quiera que entren si fuese necesario, más bien es porque no me fío de ese sistema. ¿Cuánta gente tiene las llaves privadas? ¿Dónde se almacenan? ¿Qué pasaría si alguien se hiciese con esas llaves (troyano en el ordenador de un técnico de OVH, un ex-trabajador descontento,...)? ¿No es esto una verdadera amenaza para toda la red de OVH?

Por otro lado, aunque quites eso no puedes tener la certeza al 100% de que no exista algún método más que OVH haya diseñado para entrar en tu servidor. Desde el RTM que se ejecuta como root en todo servidor entregado por OVH, pasando por la instalación básica que ellos hacen (¿podemos estar seguros al 100% que no hay nada modificado?) y terminando por el kernel especial de OVH, que tampoco sabemos qué modificaciones tiene hechas y (al tratarse del kernel) podría dejar alguna puerta abierta a OVH sin que nadie lo sepa y sin que haya manera de desactivarla (como podemos hacer con las llaves ssh, o el RTM).

Y, hablando del kernel de OVH... Como ya he dicho tengo los servidores actualizados con los parches de mi distribución (Debian en mi caso), pero no tengo claro si el kernel que instala OVH se actualiza de alguna forma. Lo pregunto porque en casa tengo varios ordenadores con Debian y sí que en alguna ocasión, al hacer un upgrade, han instalado un kernel nuevo (linux-image-...) pero al actualizar los servidores de OVH nunca he visto que se toque eso. ¿Tienen algún repositorio propio de seguridad que haya que configurar? ¿No es peligroso tenernos con kernels que no se actualizan y que en algún momento pueden presentar algún problema de seguridad (local o, aún peor, remoto)?

juanillo
08/04/2013, 18:36
Eso del acceso ssh de ovh lo traen incluso los windows. Ahí sí que es un marrón. Un servidor windows con ssh instalado, una aplicación que no es nativa del sistema y que te puede provocar un agujero.
En ninguna otra empresa con las que trabajo, hablando de servidores windows, me instalan un acceso ssh por defecto con windows server.

Y los SSH de las distribuciones linux, en mi block de tareas cuando solicito un servidor a ovh lo primero que tengo anotado es cambiar la clave ssh, segundo bloquear esa key, tercero cambiar puerto ssh. Luego ya actualizar e instalar ...

Nosotros SÍ respondemos de la LOPD. SÍ garantizamos la seguridad de los datos de nuestros clientes. Y ese "agujero LOPD" que nos instala OVH a nosotros es a quienes nos puede perjudicar.
Hablando a lo bruto, es como tener HACKEADO el servidor si nos referimos a la protección de los datos de nuestros clientes. Porque otra cosa es que tengas contratado un servidor administrado, o un servidor VPS, donde por propia definición el administrador o propietario de la máquina puede acceder a ella. No; aquí no contratas nada administrado. No te cubres pudiendo responsabilizar al administrador/propietario de la máquina de una violación de los datos de carácter personal. Aquí el marrón es tuyo ...

motu
08/04/2013, 14:44
Por la Ley española no podrían hacerlo, y no, no lo avisan. La verdad que no lo sabía. Ya he quitado ese backdoor de todas las máquinas, por otro lado esto no debería ser usado para la monitorización por defecto que tienen, ¿No?

Un saludo.

EDIT: He estado buscando por google acerca de la llave y el único sitio claro son las guías de fuera de España, como la UK, Polonia o Francia, que te dicen para qué está y que no es necesario. Entras a la guía de España y cambia todo, y te la pintan como necesaria para la monitorización:

http://help.ovh.co.uk/InstallOvhKey

http://guias.ovh.es/InstalarLlaveOVH

Como comprobaréis la española apenas toca el tema, no dice realmente para qué es, lo pinta como obligatorio y por supuesto acaba hablando de otros temas. Con menuda filial hemos topado...

3lk
08/04/2013, 14:26
Gracias por el aviso, la verdad que debería de darles vergüenza. ¿Eso no se pasa la política de privacidad de datos española por el arco del triunfo?

Kilburn
08/04/2013, 07:24
COMO? Yo no sabia que tenia eso en el dedicado, que cague!!!!

Como se puede borrar dicha entrada? tengo un authorized_keys2 en la carpeta /root/.ssh pero no me atrevo a tocar mucho sin cagarla...
Bueno, cabe esperar que no van a hacer nada "malo". Además la entrada está limitada por IP. Para borrarla, abre el archivo y comenta las líneas que terminan con "root@cache.ovh.net" (o algo pareceido), del estilo:
Código:
#from="XX.XX.XX.XX" ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIE.... root@cache.ovh.net
#from="::ffff:XX.XX.XX.XX" ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIE.... root@cache.ovh.net
Guardas y listos. Si algún día quieres darles acceso de nuevo porque tienes problemas con el server, basta con descomentar y guardar

suicidal
08/04/2013, 07:18
Cita Publicado inicialmente por Kilburn
Has eliminado la entrada del authorized_keys que les da acceso por ssh? Yo es lo primero que hago cuando pillo un server nuevo... Habiendo hecho eso, simplemente no tienen forma de entrar sin reiniciarte el server, así que como mínimo te enterarías si lo hicieran.
COMO? Yo no sabia que tenia eso en el dedicado, que cague!!!!

Como se puede borrar dicha entrada? tengo un authorized_keys2 en la carpeta /root/.ssh pero no me atrevo a tocar mucho sin cagarla...

max
08/04/2013, 00:54
¿de gama baja a 150 euros? ¿que servidor tienes exactamente?


mikelgonza mensaje 30
"y si soy sincero en OVH solo tengo 2 servidores de gama baja , no tendría un servidor potente en OVH , porque sinceramente no me atrevería ,"


mikelgonza mensaje 38
esta mierda pa cerar un server de casi 150 pavos al mes , de un cliente

Kilburn
07/04/2013, 20:59
Cita Publicado inicialmente por mikelgonza
Los scripts que alude OVH , no existían , lo único que existía era un archivo index en una carpeta remota que se había inutilizado y poco más , el archivo implicado era una redirección típica de javascript eso no produce ningún puto ataque DDOS ni nada , en absoluto y aún encima si lees el informe el cual es una mierda , es una miseria de ataque y es qeu el log del server que es palabra de dios , no tenía nada
Entonces siento haber entendido mal. No sé, yo de momento no he tenido nunca un aviso antihack (y eso que han hackeado algunos joomlas que tenemos alojados) y rezo para que siga así...

Me ha pasado a mi hace poco que llamé a soporte de OVH y me atendió uno de ellos y les pregunte un problema con los hosts de un dominio alojado en un servidor privado , el notas me dijo los hosts que tenía anotados dentro del propio archivo del servidor , no hablamos de cosas que se detecten por un whois o cosas similares al dominio , para darme la información que me dio hay que meterse por ssh , yo no se que cojones hace OVH lo único qeu se es lo que me ha pasado y me pasa a mi , y es por eso que solo tengo dos servidores básicos
Has eliminado la entrada del authorized_keys que les da acceso por ssh? Yo es lo primero que hago cuando pillo un server nuevo... Habiendo hecho eso, simplemente no tienen forma de entrar sin reiniciarte el server, así que como mínimo te enterarías si lo hicieran.

sdzzds
06/04/2013, 08:22
Cita Publicado inicialmente por kennysamuerto
Si, pero no. No te falta razon, es probablemente el asunto mas serio hablando de legalidad.

Pero para mi, un phishing, en el 90% de las ocasiones, no se trata mas que de un defacement.

A lo que me refiero, es que no es lo mismo que vulneren tu maquina (con lo que ello conlleva) que, que vulneren un script, que suele ser como comento, el 90% de los casos de phishing (por no decir un porcentaje mayor).

A eso me refiero con lo de AntiHack. Yo recibo un AntiHack y se me suben los calores, porque inmediatamente mi cabeza va a que una de las maquinas ha sido vulnerada.

Insisto, no te falta razon, pero hablando en terminos de administrador de sistemas, para mi no es el mismo concepto, y para eso estan los foros, para que podamos debatir este concepto y si yo estoy equivocado en ello.

Por eso plantee el tema, porque si sirve para cambiarlo, perfecto. Si sirve para que no lo cambien, perfecto. Si sirve para sacar alguna conclusion, perfecto.

Ya se que es mas grave un tema de phishing a nivel legal que un hackeo en toda regla de la maquina, pero a nivel profesional mio, a nivel de administrar un sistema, para mi, difiere mucho de que tu maquina este vulnerada a que un script de un cliente este desactualizado y le han subido un par de archivos que provocan el problema.

Saludos

Si llevas razón desde es punto de vista si con antihack te refieres a un hackeo de máquina a nivel de root.

Sin embargo OVH a mi personalmente siempre que me envia un email antihack ha sido siempre porque a algún cliente le han subido algún archivo para hacer spam, phishing, scans, etc. no por un ataque más serio a nivel de root que nunca he tenido, por eso te lo comentaba y a eso me refería.

mikelgonza
05/04/2013, 23:33
Cita Publicado inicialmente por Kilburn
Es decir, aceptas que te hicieron una inyección de código pero dices que "no había registro de ningún ataque". Hombre, a mi me suena a que usaron tu máquina para participar en un DDoS. Qué registro quieres que guarde el servidor de este incidente? Grabas todos los paquetes UDP salientes? De hecho... por qué puede un "sistema de directorio" en tus servidores mandar paquetes UDP hacia fuera?

Vamos, que lo siento mucho y seguramente sean medidas bastante radicales, pero en este caso yo lo veo normal. A mi me atacaron una vez (de fuera hacia OVH), matando un server durante varias horas. Eso sí que no hace nada de gracia, porque tu control es 0 y la máquina queda efectivamente inaccesible. Ojalá todos los proveedores fueran tan estrictos como OVH. Así sería la gente a quién les han hackeado la web de turno o lo que sea quién tendría que comerse el marrón, y no el destinatario del ataque que no ha hecho ni puede hacer absolutamente nada para pararlo.

No quieres que tus servers participen en ataques DDoS? Pues controla las conexiones salientes, que los demás no tenemos la culpa.


Los scripts que alude OVH , no existían , lo único que existía era un archivo index en una carpeta remota que se había inutilizado y poco más , el archivo implicado era una redirección típica de javascript eso no produce ningún puto ataque DDOS ni nada , en absoluto y aún encima si lees el informe el cual es una mierda , es una miseria de ataque y es qeu el log del server que es palabra de dios , no tenía nada , para más inri esas ips son propias del cliente , es que son del propio cliente , no son externas ni nada que ver , ni hay ningún ataque joder , es que es lo que siempre he dicho , OVH hace escaneos de los servidores y de su contenido y te casca el antihack y a tomar por saco , pero es qeu como cojones puede detectar OVh un archivo en una carpeta con un número serial como nombre sino se mete dentro del servidor del cliente ,a mi que me lo explique y ese aviso y seamos serios , es una jodida chota , eso ni es un atauqe ni nada


Por otro lado Kenny tiene toda la razón del mundo , soltar un anti hack con lo que conlleva por que no se que un phising o mierdas similares qeu son cosas que suceden todos los dias es una auténtica pergruyada , teniendo en cuenta que a quien le puede afectar legalmente es al puto dueño del servidor , que cojones se tiene que meter OVH en lo qeu hay en un servidor joder , es que de verdad no puedo entender donde cojones reside la privacidad ni tampoco puedo entender donde coño está la autonomia de tener un servidor privado , que cojones es lo qeu ofrece OVH entonces alo0jamientos compartido en version VPS y dedicado coño , es que es un sin sentido , qeu si la red de OVH ni que hostias , tu te metes un servidor en un datacenter com planet y oiga usted arréglese que a nosotros nos la pela lo qeu haga usted con su servidor , como si le quiere poner trenzas joder , OVH no es serio coño , no es profesional actuar como si fuese el papa con sus ferigreses pero de que estamos hablando de propiedad privada y CONTENIDOS PRIVADOS o de que estamos hablando

Me ha pasado a mi hace poco que llamé a soporte de OVH y me atendió uno de ellos y les pregunte un problema con los hosts de un dominio alojado en un servidor privado , el notas me dijo los hosts que tenía anotados dentro del propio archivo del servidor , no hablamos de cosas que se detecten por un whois o cosas similares al dominio , para darme la información que me dio hay que meterse por ssh , yo no se que cojones hace OVH lo único qeu se es lo que me ha pasado y me pasa a mi , y es por eso que solo tengo dos servidores básicos , nada más y uno es para testeos y como no aprender cosas nuevas como virtualizar , etc y otro en producción , pero poco más la verdad , la velocidad es buena para europa , pero para el resto va como el culo , picos de cargas muy altos desde otros paises y problemas reales de red , que han sido reconocidos por ellos desde USA , lo cual es un tema que he traado en este mismo foro


Yo como comprendereís y por eso que me postulo al lado de Kenny perfectamente y comprendo lo qeu dice , es que no puede ser que yo tenga un servidor dedicado que es mi máquina señores , para que me intervengan la misma cada dos por tres , porque les sale de los huevos , es como los servers de juegos , si OVH vende un servidor con la opción de configuración de juegos y luego resulta que cualquierr niñato le hace un DDOS y le jode el servidor , resulta que el culpable es el cliente y no el delincuente coño , es que es alucinante y me parece más aluciannte los talibanes que andan por los foros , que justifican lo injustificable , si una cosa es de lógica oiga usted reconózcalo y no me divague , porqu eno entiendo como algunos puede ser más papistas que el papa y dar como lógica cosas qu eno lo son , solo me puede parecer o que algo tienen que ver con OVH o son unos trolazos del copón o porque se divierten , sino no lo entiendo

Un server dedicado es para los que quieren tener sus cosas , a su gusto y como les da la gana , sino para que coñ lo quieres , es que si nos fijamos en un alojamiento compartido , tienes que dar menos explicaciones visto lo visto y haces y deshaces

Vosotros sabeís lo humillante que es , recibir un aviso de anti hack , que cierren un server y que luego venga un ticket de una tipa y diga , oiga usted ha activado el server , EXPLIQUEME QUE HA HECHO ??? , pero de que cojones nos vamos , no señor , que los talibanes digan lo que quieran pero yo no voy a admitir que yo pague un servicio , paque por mi servidor que si lo jodo me jodo yo a mi miso y que me venga una tia de formas chulescas a pedirme explicaciones sobre que cojones hago con lo mio , no lo admito ni lo admitiré nunca y esto no es de recibo , lo vería lógico o más lógico en un VPS pero no en una máquina propia , es asi de simple y lo sigo diciendo , en otras compaías y no tengo porque nombrarlas y podría , tu te pillas un VPS y montas lo qeu te da la gana , es que ellos no están a perder clientes , estána ganarlos y fidelizarlos

Pasa que OVH piensa que puede hacer y deshacer porqe funciona enplan grande y esto n oes asi ni puede continuar asi , ellos tienen que responder por lo qeu hacen , y actualmente lo qeu OVH hace con los clientes es un REGIMEN DELIBERTAD BAJO FIANZA , haces pero ojo que te vigilo aunqeu pagues y estén con tu máquina

Por último , yo pago lo que OVH pone , es qeu ahora si una cosa es barata es qeu no tienes derechos , oiga usted esto es la ley de la oferta y la demanda , si usted me pone un servidor dedicado a 20 euros al mes pues cosa suya , pero es mi máquina , ya solo faltaría que a otros niveles como el housing me vengan a secuestrar mi propiedad , ya también jodería

La propiedad privada es privada y punto y OVH mete las narices donde no puede meterlas

Saludos

bz2
05/04/2013, 10:08
Cita Publicado inicialmente por mikelgonza
Explícame tu como se puede poner un servidor en RESCUE y cerrado durante 3 días por un escaneo de este tipo y que se dio solo una vez , tal vez sea yo el loco claro como no , como esto puedo llenar el foro
No entro en cada caso particular. Pero viene en las normas del servicio muy claramente: te pueden cerrar el servidor si detectan que es una amenaza para su red.

Como comprenderás OVH tiene muchos servidores (y muy baratos) y tienen que establecer una política general que cubra todos los casos de uso, por eso lo que "es una amenaza para su red" tiene que ser algo estandarizado que en ocasiones haga saltar las alarmas con cosas nimias pero que salte con las cosas gordas.

Entiendo tu postura, y he de añadir que se agradecería por parte de OVH, una aclaración en tanto a que constituye una "amenaza de red", porque es un término lo suficientemente genérico como para incluir un amplio abanico de cosas.

Kilburn
05/04/2013, 10:02
Cita Publicado inicialmente por mikelgonza
Ahí se lo dejo , calentito , pero somos nosotros los culpables de todo , esta mierda pa cerar un server de casi 150 pavos al mes , de un cliente , lo único que tenía un sistema de directorio anticuado con una inyección , nada de lo qeu ponía era real ni en los logs había un ataque de NADA
Es decir, aceptas que te hicieron una inyección de código pero dices que "no había registro de ningún ataque". Hombre, a mi me suena a que usaron tu máquina para participar en un DDoS. Qué registro quieres que guarde el servidor de este incidente? Grabas todos los paquetes UDP salientes? De hecho... por qué puede un "sistema de directorio" en tus servidores mandar paquetes UDP hacia fuera?

Vamos, que lo siento mucho y seguramente sean medidas bastante radicales, pero en este caso yo lo veo normal. A mi me atacaron una vez (de fuera hacia OVH), matando un server durante varias horas. Eso sí que no hace nada de gracia, porque tu control es 0 y la máquina queda efectivamente inaccesible. Ojalá todos los proveedores fueran tan estrictos como OVH. Así sería la gente a quién les han hackeado la web de turno o lo que sea quién tendría que comerse el marrón, y no el destinatario del ataque que no ha hecho ni puede hacer absolutamente nada para pararlo.

No quieres que tus servers participen en ataques DDoS? Pues controla las conexiones salientes, que los demás no tenemos la culpa.

kennysamuerto
05/04/2013, 09:53
Cita Publicado inicialmente por sdzzds
@Kenny yo pienso que el email de OVH no tiene por qué cambiar el título, un phishing es un hack en toda regla de una cuenta, y así es tratado por ellos, y para mi es el hack que más me tomo en serio porque te puedes encontrar fácilmente una denuncia detrás si no actuas rápido.
Si, pero no. No te falta razon, es probablemente el asunto mas serio hablando de legalidad.

Pero para mi, un phishing, en el 90% de las ocasiones, no se trata mas que de un defacement.

A lo que me refiero, es que no es lo mismo que vulneren tu maquina (con lo que ello conlleva) que, que vulneren un script, que suele ser como comento, el 90% de los casos de phishing (por no decir un porcentaje mayor).

A eso me refiero con lo de AntiHack. Yo recibo un AntiHack y se me suben los calores, porque inmediatamente mi cabeza va a que una de las maquinas ha sido vulnerada.

Insisto, no te falta razon, pero hablando en terminos de administrador de sistemas, para mi no es el mismo concepto, y para eso estan los foros, para que podamos debatir este concepto y si yo estoy equivocado en ello.

Por eso plantee el tema, porque si sirve para cambiarlo, perfecto. Si sirve para que no lo cambien, perfecto. Si sirve para sacar alguna conclusion, perfecto.

Ya se que es mas grave un tema de phishing a nivel legal que un hackeo en toda regla de la maquina, pero a nivel profesional mio, a nivel de administrar un sistema, para mi, difiere mucho de que tu maquina este vulnerada a que un script de un cliente este desactualizado y le han subido un par de archivos que provocan el problema.

Saludos

mikelgonza
05/04/2013, 09:49
Cita Publicado inicialmente por bz2
Exacto, es ilegal. Pero es algo que OVH no hace. OVH no entra en el servidor de nadie a mirar qué tienes.

Lo que hace OVH es: pepito se ha quejado de que en mi red pasa X, veo de quién es el servidor A y le notifico al propietario de dicho servidor la queja de pepito. Tal y como viene en las condiciones del servicio que supongo leísteis antes de contratar el servidor:



Si crees que es ilegal tienes dos opciones:

a) Denunciarlo
b) Dejar de usar los servicios.

Pero faltar al respeto a nadie no va a arreglar las cosas.

Que esa queja tendría que hacerse de otro modo y de otras formas es cierto y es el fondo de lo que kennysamuerto quiere transmitir y con lo que estoy de acuerdo.


Explícame tu como se puede poner un servidor en RESCUE y cerrado durante 3 días por un escaneo de este tipo y que se dio solo una vez , tal vez sea yo el loco claro como no , como esto puedo llenar el foro :


Su servidor ns3xxxxxx.ovh.net representa una gran amenaza para nuestra red por
lo que no hemos tenido mas remedio que colocarlo en modo 'rescue FTP'.
Un identificador y una contrasena le han sido enviadas por mail con el
fin de que pueda recuperar los datos todavia disponibles en su espacio
de almacenamiento

No dude en contactar con nuestro soporte tecnico para que esta situacion
no se vuelva critica.

Podra encontrar mas abajo los logs indicados por nuestro sistema que han
dado lugar a esta alerta.

- INICIO DE INFORMACIONES COMPLEMENTARIAS -

DOS, 46bytes UDP pkts attacks. Peer2peer mode.

startime endtime scrort dstort
----------------------------------------------------------------------------------------------
2013-03-16 04:18:27 2013-03-16 04:20:32 94.xxxxxx:34992 184.xxxxxx0
2013-03-16 04:20:32 2013-03-16 04:22:42 94.xxxxxx:34992 184.xxxxxx


Ahí se lo dejo , calentito , pero somos nosotros los culpables de todo , esta mierda pa cerar un server de casi 150 pavos al mes , de un cliente , lo único que tenía un sistema de directorio anticuado con una inyección , nada de lo qeu ponía era real ni en los logs había un ataque de NADA

bz2
05/04/2013, 08:42
Cita Publicado inicialmente por mikelgonza
Sigo diciendo - y alguno en su momento me llamo de todo - , sigo diciendo que hacer esto por mucha letra pequeña que ponga OVH , ES ILEGAL , es totalmente ilegal entrar en una casa y ponerte a mirar aunque seas policia diciendo que es que sospechas que se vende droga , ellos , los de OVH , dicen que entran porque les sale de los cojones y además lo cierran
Exacto, es ilegal. Pero es algo que OVH no hace. OVH no entra en el servidor de nadie a mirar qué tienes.

Lo que hace OVH es: pepito se ha quejado de que en mi red pasa X, veo de quién es el servidor A y le notifico al propietario de dicho servidor la queja de pepito. Tal y como viene en las condiciones del servicio que supongo leísteis antes de contratar el servidor:

Del mismo modo, si OVH HISPANO detectará que la máquina del Cliente es pirateada, se le enviará un correo electrónico al Cliente, indicando que un procedimiento de reinstalación es obligatorio para mantener la integridad del servidor y del conjunto del Data Center. El Cliente puede entonces solicitar tal procedimiento a OVH HISPANO, una vez haya salvaguardado sus datos. OVH HISPANO se reserva el derecho de interrumpir la conexión del servidor a la red de Internet, en espera de la reinstalación de nuevo de la máquina. OVH HISPANO no puede estar considerado como el que realice la operación de transferir los datos del sistema pirateado al nuevo sistema, esta manipulación deberá ser realizada por el Cliente, por el mismo. OVH
HISPANO se compromete y limita únicamente su intervención a la instalación del nuevo sistema.
Si crees que es ilegal tienes dos opciones:

a) Denunciarlo
b) Dejar de usar los servicios.

Pero faltar al respeto a nadie no va a arreglar las cosas.

Que esa queja tendría que hacerse de otro modo y de otras formas es cierto y es el fondo de lo que kennysamuerto quiere transmitir y con lo que estoy de acuerdo.

sdzzds
05/04/2013, 08:09
@Kenny yo pienso que el email de OVH no tiene por qué cambiar el título, un phishing es un hack en toda regla de una cuenta, y así es tratado por ellos, y para mi es el hack que más me tomo en serio porque te puedes encontrar fácilmente una denuncia detrás si no actuas rápido.

max
05/04/2013, 05:39
pero a ver, que ahora ya parece que se le saca otro provecho a cosas que no tienen que ver de algo que kennysmuerto luego ha aclarado.

Eso de que entrar es ilegal es tan absurdo como que todos entramos en las carpetas de los usuarios cuando nos da la gana por necesidad. Igual que uno tiene un montón de usuarios pues es lógico que si OVH si tiene miles de servidores pida unos mínimos de seguridad a la gente que los mantiene.

En mi caso presiono a mis usuarios de riesgo que no quieren actualizarse ni adoptan medidas. Cuando veo algo grave les ofrezco soluciones y si tardan o no me responden se las aplico yo cuando es posible. Si no le gusta o no qiere hacer nada entonces prefiero que se largue. No tengo un montón de usuarios de 10 euros, pero si fuera así supongo que le parsearia la salida de LMD y le pondría algo automático con un 2 avisos: 1 notificacion, 2-cuenta suspendida. Si no lo quiere actualizar ni corregir pues a la calle.

Lo mismo ocurre si llevas un hotel y admites clientes borrachos o que gritan por las noches. Te arriesgas a que se cargue el hotel entero. Normalmente entran shells que no sobrepasan la estructura de cliente pero al hay algunas que no las detectan scanners como LMD o ClamScan y nunca supe que coño tenían. No se le debe permitir todo al usuario ni confiarse de que si entra un poco de mierda no pasa nada sólo porque nos paga. Y menos si no te está dando de comer él solo.

Luego a mi entender cada cual ha de conocer y automatizar sus propios procedimientos de seguridad para tener identificadas a los sites problemáticos, aplicar vigilancia constante y medidas de seguridad. Escanners, LMD y similares, rutinas cada X minutos a todos los Wordpress,. Joomlas, etc. para chequear la integridad de los sitios conflictivos a menudo. Rutinas con bash o perl que localizen o corten un site de manera automática. Firewall, cambio de puertos, etc,etc.. Y así se empieza a vivir un poco más tranquilo. Llevar un servidor no es manejar el Ubuntu, aunque mucha gente que aparece en los foros parece que lo han llegado a pensar. En mi caso llevo algunos años y considero que empezé sabiendo poco y todavía me quedan carretas. Pero es que cuando veo alguna gente que hoy alquila servidores alucino pepinos.

Los factores "sorpresa" del usuario que pasa de todo luego serán dolores de cabeza y tiempo que nadie pagará. ¿Pagará ese usuario las horas que luego perderás en mirar y arreglar los destrozos que aparezcan por su culpa?. En mi caso no me juego el tiempo de investigar que hacen los scripts y de salir de las listas de spam por esperar a que cualquier idiota quiera al fin aplicar actualizaciones o unos minimos de seguridad. Le aviso y le ayudo dependiendo de lo que esté pagando, pero si pasa de todo lo largo. Y supongo que en OVH piensan lo mismo cuando encienden la pantalla y ven los servidores que están mandando spam como locos o reciben mogollón de visitas de Ucrania.

En mi caso de momento no tengo queja de OVH. Cuando he necesitado soporte a veces ha sido mas rápido y a veces menos dependiendo del tema o de quien toca, pero el global lo califico de bastante bien para lo que cobran. Llevo unos años con kimsufis y también de gama media, y de momento no pienso cambiar. Antes he estado en proveedores de USA y de Holanda y por ahora prefiero de largo OVH. No soy taliban de ningun negocio ajeno, simplemente creo que funciona bien.

Lo de que en Francia esto o aquello es mejor o mas barato pues es que no le veo ningun sentido. Aquí hay un mercado y allá tienen otro. Si OVH no tiene aquí mas competencia es por el desarrollo del pais que tenemos, un tema político y empresarial que se sale de este asunto.


en fin,

mikelgonza
05/04/2013, 05:04
Es normal que desde España no te contesten , es que ellos primero abren el correo , después se van a tomar un cafe , después van a la calle , se encuentran con Manolo , Periquita , Maruja , Fernando , Cesar , Mónica la del quinto te acuerdas ? , Pepe el del bar , luego suben al curro , se van a echar una meadita , gastan unas bromas con Merche la de la recepción y .... cachis ya es la una y nos vamos

A la tarde pues eso , que si una llamada , que si el cafecito y uyyyy si tengo un correo , - 48 horas después - ..... bueno ahor alo contesto , unmmm ..... sección respuestas rápidas , pito pito colorito lalalaralala , ..... tate !!! esta es la mia


ESTIMADO CLIENTE LE NOTIFICAMOS QUE OVH SOLO ES RESPONSABLE EN MATERIA DE HARDWARE , CUALQUIER OTRO TIPO DE ATAQUE QUE PUEDA RECIBIR NUESTRO NETWORK ES UNICA Y EXCLUSIVA COMPETENCIA SUYA , ...... BLA BLA BLA


Es normal , en España todo es DIFFERENT , hasta el trabajo que no hay


P.D : La contestación será similar , LA CULPA ES TUYA

Samael
05/04/2013, 04:44
Bueno, la respuesta de OVH es:
Si tienes una alerta cualquiera que sea que no les guste, tienes 12 horas como máximo para corregirlo si no el servidor es cerrado.

Así de simple.

Ahora estoy consultando lo mismo en otros proveedores y ver finalmente si tomo mis maletas y que rumbo tomo.

Ojo, respuesta de ovh.ca en donde fueron 2 correos ir y venir, ovh.es aun ninguna respuesta.

Saludos...

mikelgonza
05/04/2013, 03:27
Entiendo perfectamente lo que dices y lo de las horas , mucha gente no sabe apreciar ese trabajo que considero que es de los más duros que hay , y la verdad espero que no tengas nunca más un problema , eres de las pocas personas del foro que te lo curras duro y sabes mucho , pero de paso espero que OVH tome nota y cambie esta política nefasta que tiene y que sigo insistiendo que veo una descompensación bastante evidente entre como se trata al personal Español respecto al resto , las normas son para todos o para ninguno y en el caso de ser pues que sean normales y justas , en OVH no me siento propietario de nada , me siento como un empleado con obligaciones , que paga y no tiene sueldo

Suerte Kenny que te lo mereces , un saludo

kennysamuerto
05/04/2013, 00:32
No, ojo, yo soy de los que expresa mi opinion, pero por ello mismo, a mi siempre me han tratado bien, al igual que entiendo otras opiniones no tan acertadas.

Para nada es una disculpa ni un intento de justificarme ni nada de eso, lo que queria expresar es que el motivo del post es por el "susto" que nos dan, que estaria bien tener un concepto cliente-empresa mas ligado, no tan tu alli y yo aqui, y especialmente porque queria saber que los avisos de phishing no constituyen un problema.

Pero el dia que OVH me falle, no dudare en decirlo. Pero entendedme, a dia de hoy, no ha sucedido. Y repito, entiendo que hay gente que no tiene la misma experiencia que yo.

Pero al igual que la hay diferente a la mia, enteded la mia, que siempre ha sido positiva en los años que llevo aqui.

Vuelvo a decirlo, en algunas cosas estare mas o menos de acuerdo, pero a mi siempre me han tratado bien.

No es disculpa, ni elevarlos, ni descenderlos.

Ademas, soy de los que considera, que una critica constructiva es mejor que 1000 alagos, por eso este post, porque creo que en los avisos, podrian hacerlos de otro modo que no asuste tanto ver en tu bandeja de entrada un "ANTIHACK", que acojona y mucho. Al menos a los que vivimos por y para la administracion de sistemas.

Me paso muchas horas (practicamente todas las del dia) de casi todos los dias sentado delante del ordenador, revisando, optimizando, securizando... y que te avisen por un par de archivos de phishing como antihack, pues muchos lo veran una chorrada... pero... mira que le vamos a hacer, a mi me fastidia.

Ese es el motivo del post, pero como he leido que si habian cerrado servidores y tal, solo queria puntualizar, que al menos, no es mi caso. A mi no me han cerrado ningun servidor, todo lo contrario, cuando les he consultado, me han explicado muy bien la postura de OVH y me han quitado algun peso de encima con este tema.

Solo queria puntualizarlo, que el motivo del post no era por un fallo de OVH, ni por cierres, ni por nada en absoluto, es porque pienso que pueden enviar esos avisos de otro modo, solo eso.

E insisto, entiendo todas vuestras posturas, cada cual tiene su experiencia, y las entiendo, creedme, pero tambien entended que a mi, en todo este tiempo, y toquemos madera, puedo hablar de muchas cosas positivas y pocas negativas, y yo solo puedo contar mi version. Si algun dia cambia, y empiezo a tenerlas negativas, no dudeis que tambien las contare, pero hasta el dia, e insisto, toco madera, no es el caso, todo lo contrario.

Saludos

mikelgonza
04/04/2013, 23:23
Yo te comprendo Kenny , comprendo que no hay que cargar las tintas cuando se trata de tu pan y creo que todos lo entendemos tu parte y tu posición , pero TODOS , sabemos y conocemos la realidad y la verdad y te comprendo perfectamente tu susto y más allá , la cabeza da para mucho

Pero OVH está claro que al parecer no entiende ni quiere entender lo que significa tener un servidor dedicado , me he pateado bastante proveedores y si soy sincero en OVH solo tengo 2 servidores de gama baja , no tendría un servidor potente en OVH , porque sinceramente no me atrevería , me encantaría poder dar alojamiento web y tengo muchos clientes a los cuales les podría ofertar esto con un servidor que pondría como compartido y también me atrevería a virtualizar y vender VPS dando soporte y muchas cosas más que me vuelven loco como temas de flash server , streamming , etc , pero también me pregunto que en OVH para qué ? ..... para acostarse un día y levantarte con un servidor virtualizado de 2 Tb y 12 de RAM totalmente parado y estropeado y destrozado por culpa de estos de OVH , a los cuales no les duelen prendas en eso

Sigo diciendo - y alguno en su momento me llamo de todo - , sigo diciendo que hacer esto por mucha letra pequeña que ponga OVH , ES ILEGAL , es totalmente ilegal entrar en una casa y ponerte a mirar aunque seas policia diciendo que es que sospechas que se vende droga , ellos , los de OVH , dicen que entran porque les sale de los cojones y además lo cierran

Desde que ustedes los de OVH me están vendiendo un servidor pasa a ser de mi propiedad durante el tiempo que lo tenga alquilado , si cometo un delitoi o hago algo mal , pues ya está la policia y los jueces para actuar , pero ustedes ni son la policia ni mucho menos son los jueces

Y repito que Kenny es normal que no quiera meterse en estas camisas de 11 varas , pero yo si me meto , me meto porque como dije en el post anterior , tengo un cliente con webs importantes que puso para 5 webs de alto tráfico , puso un server el cual lo tumbaron los de OVH durante 3 dias , la broma ha pasado a mayores , puesto que todos los sitios han quedado desconfigurados , porque el backup se jodio y como no el disco duro y ha sido un cristo , el resultado como digo la pérdida de más de 3000 entradas en google y un posicionamiento de la hostia jodido

Pero esto a OVH le importa un huevo y la yema del otro , en este foro hay gente que sabe mucho más que yo , estoy segurisimo totalmente , pero yo por ms clientes me lo tomo como personal y trabajo para darles lo mejor , el problema es que tu construyas para que te den por culo

Y tengo constancia , total y absoluta y que los defensores de OVH talibanes me digan lo que quieran , pero tengo constancia de que esto es en España , que la atención es 100 millones de veces mejor en OVH Francia y en otros paises , que el soporte es mucho mejor , que no tumban servidores asi como asi y que no se hacen este tipo de cosas tan a la ligera , quien no quiera creerme que no lo crea , pero que se pase por los foros de otros paises y que lea un poco , ambién hay que ller la legislación Francesa en estas cosas , alli no permiten a ninguan empresa que haga ni la mínima , aqui se hace y te aplauden ...

Para más inri , hay mucha gente de Reino Unido ofreciendo hosting a patadas , pero a patadas con servers de OVH , se pillan los XEON y virtualizan y las de dios , y no tienen ni un puto problema y se de muy buena tinta que compañia los tiene y con muchos usuarios y utilizando paneles de control libres , nada de Cpanel sino realizados ppor ellos , es decir más en precario todo , pero ahí están operando y funcionando

En españa , si lo revisamos , es el único caso donde se han dado masivamente cerradas brutales de servidores , es el único soporte que no da pie con bola y es de los pocos casos que usuarios desesperados pillan de twitter y es el propio oles el que resuelve la movida , no lo digo yo , está escrito en estos mismos foros

Todo es leer , juntar y unir cabos y ahí tenemos las respuestas , a veces una empresa no va mal porque sea mala , sino porque quien está empleado es una cabron , un capullo y un negligente y gran parte de los problemas de OVH ESPAÑA son de ESPAÑA y también meto por supuestoa la dirección en Francia , si bien tengo buenas palabras para Adrián de Soporte , también digo que es el único por el cual siento simpatía , el resto como se dicen vulgarmente me la pelan , cuando he tendo un problema el me ha ayudado , hasta donde les dejan o les permiten y esa es la realidad

Deberían llegar nuevos tiempos para OVh , mientras tanto al menos este menda no piensa contratar nada para dar hosting en este sitio , solo para sus proyectos profesionales totalmente controlados por el mismo y con scripts y creaciones propias , no vaya a ser que el Corcuera de OVH entre con la patada en la puerta y me quite el servidor , porque mi servidor dedicado no es mio , lo pago yo y tengo que darle las gracias a OVH por darme el privilegio de usar su gran RED , la cual muy bien para Europa , pero para el resto del mundo va como el culo , con latencias de hasta más de 15 segundos para cargar una web de 300 Kb , eso si , como me dijeron en soporte , no podemos hacer nada , la culpa , ES SUYA , como no , pero es su gran red

Kenny siento decir esto pero en tu último post se te nota como disculpándote por algo que no es culpa tuya y ya lo dijeron muchos que tenían miedo de que tomasen represalias conta ellos llegado el caso ..... ya sería el colmo no ? , aquí se paga , esto no es la beneficiencia y en España parece que el personal está acostumbrado a achantar aún pagando por miedo a no se lo que , ..... ustedes tienen derechos , no dejen que se los pisoteen , es muy simple

OVH debes despertar y por supuesto no hay clientes ni de tercera ni de cuarta , hay clientes y eso es lo que parece que no entendeís y como ningún responsable de Francia lo lee o lo mira , empiezo a pensar que los Franchutes ejercen racismo desmedido con pasotismo por los no foraneos y contra los que les hacen poca gracia

Hasta el momento mi servicio con OVH es ese , pero sigo en la búsqueda de algo interesante que no me deje sin dormir , aunque cueste más

Un saludo

Samael
04/04/2013, 22:59
Si el tema es que casi justo a tu post ahora llega este:
http://foros.ovh.es/showthread.php?t=10896

Y eso da que pensar se relaciona una cosa con otra y por ejemplo yo solo duermo el mínimo que puedo y el resto del tiempo a mirar clientes así lo mismo los que trabajan conmigo y leer 2 post parecidos da miedo.

Además el tío del otro post no le avisaron, todo da para pensar mal, por lo pronto siempre de soporte me responden .es sobre 24 horas .ca unos cuantos minutos y espero me den alguna idea de qué pasa con eso como funciona y cómo va la mano, que si es así de mal yo me largo muy lejos.

kennysamuerto
04/04/2013, 22:45
Solo quiero puntualizar una cosa, que quizas se ha malinterpretado.

Hoy no he tenido tiempo de pasarme por el foro, pero hay que puntualizar que por esto no me han cerrado el servidor. A dia de hoy aun no he tenido experiencia de que me cierren un servidor, por suerte.

Los 3 avisos fueron del mismo servidor, el cual el cliente avisandole de los peligros que tenia este tipo de phishing, ha decidido dar de baja el servidor, puesto que TENIA SCRIPTS muy viejos en webs sin actualizar.

De ahi el problema. El cliente por motivos de que ya no les sacaba rendimiento llevaba tiempo pensando en darlo de baja, y al final, esto ha sido lo que le faltaba para decidirse.

Pero quiero puntualizar que OVH a pesar de enviarme 3 avisos para el mismo servidor, NO me cerro el servidor, no me lo puso en rescue, no... nada. Solo me aviso.

Nunca he tenido una mala experiencia de este tipo, y espero no tenerla, el motivo del mensaje era porque me asusto recibir esos mensajes cuando antes no lo hacian (quizas es positivo) pero eso si, especialmente, para proponer que le cambien el nombre a esos mails, que no son hacks, y asustan mucho.

Queria puntualizarlo para que no existan mal entendidos, el servidor, a pesar de los 3 avisos, supongo que son de nivel muy bajo, porque con cualquier otro tipo de ataque, como spam, escaneos, etc, seguramente al segundo aviso te lo bloquearian, pero es evidente que los avisos de phishing es muy dificil controlarlos y supongo que esta vez OVH solo debe cambiar el procedimiento (no llamar al mail como lo llaman) pero hacen lo correcto.

Ya digo, el problema fue en un servidor, por scripts desactualizados desde hace tiempo, y no lo cerraron, avisaron y siempre actuamos en menos de 5 minutos despues del aviso para evitar problemas.

Quizas el post ha tomado otro tipo de sentido, pero el motivo principal de mi mensaje era porque no habia recibido ninguno, y menos por phishing, y proponer a OVH un cambio de nombre para esos avisos.

Y como tal, yo realmente, solo tengo buenas palabras para OVH. Podemos estar de acuerdo o no en muchas cosas, en como las hacen, en los procedimientos... pero a mi siempre me han tratado bien y no he tenido ningun problema.

Saludos

Samael
04/04/2013, 22:19
Miedo me da todo esto, a veces leer a Kenny que lleva mucho tiempo y con muchos servidores y que no le han bajado nunca uno me da que pensar que es falla del admin de ese server bajado.

Pero ahora con esto me toca pensar que es solo suerte y que esa suerte en cualquier momento te puede dejar.

mikelgonza tú dices que esto es de .es voy a enviar ahora ya correos a soporte con estos post y consultar, que la verdad no es poco lo que pago mensualmente y mi idea es crecer y no el día de mañana salir con un server off y mis clientes molestando. Lo que dices esta dentro de toda lógica el problema es que OVH no usa lógica.

A veces pienso que la venta de dedicados no es más que una bobada de OVH y el fuerte de ellos es vender hosting a clientes finales, creo que la mejor opción en esto es buscar una empresa que solo tenga dedicados y no que sea tu competencia directa en hosting.

Como me respondan y lo que me digan empiezo a buscar donde migrar, nada me ha pasado pero no quiero mañana llorar porque me paso.

Saludos...

sdzzds
04/04/2013, 18:48
Cita Publicado inicialmente por mikelgonza
Si le auto actualizas un wordpress a un cliente a lo mejor le jodes las modificaciones que ha realizado sobre el core y te arma una bronca de la hostia , ten en cuenta que hasta yo por ejemplo hago modificaciones del core o del functions y eso si me actualizas el wordpress me lo estás sobre escribiendo y jodiendo mi theme y mi página
Bueno eso ya lo sé, siempre se avisaría al cliente o se filtraría para los que han tocado el core. Hay muchas formas de hacerlo. Lo importante es tener la herramienta adecuada para poder hacerlo y no uno por uno.

mikelgonza
04/04/2013, 18:16
Si le auto actualizas un wordpress a un cliente a lo mejor le jodes las modificaciones que ha realizado sobre el core y te arma una bronca de la hostia , ten en cuenta que hasta yo por ejemplo hago modificaciones del core o del functions y eso si me actualizas el wordpress me lo estás sobre escribiendo y jodiendo mi theme y mi página

mikelgonza
04/04/2013, 18:13
Los sistemas como wordpress o joomla son vulnerables en mucha medida puesto que son código abierto , con lo cual la falta de pericia del usuario de turno , etc produce que le metán inyecciones de código malicioso , etc , que en realidad son lineas de código javascript que se insertan en los index , bien html o php

Pero la mayoría de estas infecciones vienen porque el usuario en cuestión tiene el equipo lleno de virus y troyanos principalmente , que infectan los sitios web a través de los programas de FTP

Realmente OVH extrema en demasía todas las cosas y me parece hasta abusivo la forma en la que trata estos asuntos , es correcto actuar cuando la integridad de otras redes puede verse afectada u otros usuarios , pero en el caso de inyecciones de código o bien el caso que cuenta Kenny , es absolutamente ridículo disparar un anti hack , en todo caso el único daño que se causa es al servidor y los usuarios de ese server asi mismos , no al resto del network , con lo cual OVH se pasa de medio a medio , un Joomla que está mal puede provocar un loop o que la ram se dispare por el sobre uso que está haciendo ese usuario , por lo cual efectivamente el que se fastidiará será ese servidor y los de ese compartido , pero no al resto de OVH

Por otro lado si hay una denuncia de phising o de suplantaciones de identidad o de que en una cuenta específica y bajo un dominio que está en un server de OVH - se realiza una actividad delictiva - pues oiga usted , el que se tendrá que enterar es el propietario del servidor primero , pero no por ello OVH ir a deguello a cerrar servidores , OVH lo que hace es lavarse las manos y le importa un pimiento nada más , cuando ellos hacen y venden alojamiento compartido , en sus planes hay miles de usuarios y estos no hacen malas cosas no , estos hacen spam , estos hacen scan , estos meten de todo para testear y les deben de pitar las alarmas a punta pala , pero porque ellos no se cierran los servidores digo yo , ..... es más fácil pillar al del server dedicado o al del VPS y cerrarle su cuenta , cuando este se está ganando su pan vendiendo alojamiento y esa persona , estoy seguro , tiene más voluntad de que funcione todo bien que ningúno de OVH

Entonces llegado este punto , para qué OVH pone a la venta o en "alquiler" servidores ? , para qué ??? para tener una web o dos ultra controladas y poco más , donde reside la independencia de tu máquina - parezco IKEA - y la privacidad de la misma y allá te las apañes si lo haces bien o mal o si tienes un problema con un cliente pues soluciónalo , yo no veo que en realidad se tenga un servidor DEDICADO LO QUE TIENES ES UN SERVER DEPENDIENTE , QUEDARÍA MEJOR DECIR QUE OVH VENDE UN SERVER DEPENDIENTE O LOS OFRECE

Un ejempo muy claro os lo puedo poner con los ISP , hace poco desde varios PCs , no podíamos en local enviar correos para testeos de sitios web para clientes , registros , etc , miramos todo de arriba abajo , hasta que al final nos dimos cuenta que el problema no era nuestro sino del ISP , el cual había cerrado el puerto 25 , como nosotros enviábamos de vez en cuando correos desde local y como habá otros usuarios que también lo hacían en plan bestia , pues optaron por cerrar sin avisar este puerto , pero a nosotros no nos han cerrado nuestro acceso a internet y tampoco a los otros , los cuales en su mayoría estaban infectados por troyanos que funcionaban de auto spammes sin saberlo , al final los usuarios que lo solicitaban se lo abrían y se acabo el problema con el puerto 25 , pero no hubo otra consecuencia , lo mismo a otros niveles podría hacerlo OVH

Sin duda OVH a día de hoy solo sirve para proyectos PRIVADOS pero NO VALE PARA CREAR UN NEGOCIO DE ALOJAMIENTO WEB , solo puedes dar alojamiento web si tu manejas esa web y la controlas tu y sin darle acceso al usuario final a ningún panel de control

Es un fallo y gordo este tipo de actitudes por parte de OVH , su anti hack además es ridiculo , ellos te avisan y cuando les dices pero si ya me han cerrado , bueno bien te dicen , ahora ya te has enterado , ves ?

No es forma de actuar y sin duda como nos pasa a todos , tenemso a OVH para 3 cosas básicamente , para testear , para dos webs que controlamos nosotros , para vender un VPS , para vender un dedicado , para backup y poco más , puesto que no compensa adquirir un server y meterle un Cpanel para vender hosting , puesto que basta que un usuario bajo la política de OVH actue mal para EN TU PROPIO SERVIDOR DEDICADO , venga ellos a cerrarlo , sin importarles si en ese servidor hay 500 alojamientos web y 500 clientes los cuales te pedirán explicaciones de porque no pueden acceder a su sitio web , mientras tanto tu te quedarás con cara de "culo" diciendo , un wordpress un código de inyección de un tio que no sabe nada y me cierran un servidor con mis 500 clientes , de igual modo la información que te dan en el anti hack es pésima , no está bien especificada y como paso con algún cliente han llegado a poner un servidor en modo rescue por unos cuantos escaneos , sin más y esto si que no es de recibo amenazando con que si vuelve a pasar aunque lo arregles otra vez ya lo cerrarán hastra más nunca ,son estas las formas de hacer negocio o de tratar a los clientes y sigo insistiendo , este tipo de actitudes se están teniendo a nivel de España

La respuesta del soporte será la "típica española" , ES LO QUE HAY ..... consecuencia , pues seguimos en lo mismo , seguimos con el mismo problema de base de OVH , la falta de confiabilidad para dar servicio y para sus clientes , los cuales no parecen clientes , sino un grupo de estudiantes , que están a verlas venir y a pasarlo bien en sus ratos libres jugando con un servidor par aluego decir lo guays que son en el manejo de las nuevas tecnologías , no es de recibo , no son formas y el daño qeu se le hace a alguien como Kenny u otros no hay forma de medirlo , son consecuencias muy graves y alguna solución debería habilitar OVH , crear un producto nuevo que permita utilizar un servidor para unas cosas y protegerlo o blindarlo o bien alguna solución , se me ocurren muchísimas pero evidentemente es OVH el que no quiere hacer nada al respecto


Un gran saludo

sdzzds
04/04/2013, 11:06
Cita Publicado inicialmente por kennysamuerto
Si, el problema es detectarlas, porque una cosa es que tu conozcas a los clientes y das de alta el producto, otra que se de automaticamente, y no sabes realmente lo que hace tu cliente.

Por ejemplo, existe tambien installatron, que permite al cliente instalar WP mediante el, y actualizarlo con un par de clicks.

No se si otros lo hacen, pero lo bueno que tiene, es que te permite "importar" instalaciones de WP que esten en el servidor. De este modo, si haces un barrido, cotejas a ver cuales te faltan, y las añades, con un par de clicks les actualizas a todos los WP.

Saludos
Si, yo uso installatron pero las importaciones de WP tienes que hacerlas una a una que yo sepa y es tedioso o sabes alguna forma de hacerlo en masa?

chencho
03/04/2013, 23:00
Para cPanel:

Código:
#!/bin/bash
# Script para localizar las versiones de los scripts instalados en el servidor
# Basado en el fichero de localizar archivos PHP modificados en OVH por diversos foreros
# Version realizada por Kennysamuerto

FICHERO=/tmp/control_diario_scripts

echo "====================================================" >> $FICHERO
echo "Versiones de Wordpress" >> $FICHERO
echo "====================================================" >> $FICHERO
find /home/*/public_html/wp-includes/version.php -exec grep -H "wp_version = " {} \;  >> $FICHERO



echo "====================================================" >> $FICHERO
echo "Versiones de Joomla" >> $FICHERO
echo "====================================================" >> $FICHERO
grep /version /home/*/public_html/language/en-GB/en-GB.xml  >> $FICHERO


echo "====================================================" >> $FICHERO

cat $FICHERO | mail -s "Control de versiones de CMS" mail@me.com

rm -f $FICHERO
Gracias Kenny!

kennysamuerto
03/04/2013, 22:57
Cita Publicado inicialmente por bz2
Para WP hay un producto muy interesante que se llama www.managewp.com y te permite ver de un vistazo todas las versiones de WP de tus clientes, así como gestionar updates y demás.
Si, el problema es detectarlas, porque una cosa es que tu conozcas a los clientes y das de alta el producto, otra que se de automaticamente, y no sabes realmente lo que hace tu cliente.

Por ejemplo, existe tambien installatron, que permite al cliente instalar WP mediante el, y actualizarlo con un par de clicks.

No se si otros lo hacen, pero lo bueno que tiene, es que te permite "importar" instalaciones de WP que esten en el servidor. De este modo, si haces un barrido, cotejas a ver cuales te faltan, y las añades, con un par de clicks les actualizas a todos los WP.

Saludos

bz2
03/04/2013, 22:42
Para WP hay un producto muy interesante que se llama www.managewp.com y te permite ver de un vistazo todas las versiones de WP de tus clientes, así como gestionar updates y demás.

kennysamuerto
03/04/2013, 20:36
Bueno, para quien le sirva, he creado un script basado en el script de busqueda de archivos:

Código:
#!/bin/bash
# Script para localizar las versiones de los scripts instalados en el servidor
# Basado en el fichero de localizar archivos PHP modificados en OVH por diversos foreros
# Version realizada por Kennysamuerto

FICHERO=/tmp/control_diario_scripts

echo "====================================================" >> $FICHERO
echo "Versiones de Wordpress" >> $FICHERO
echo "====================================================" >> $FICHERO
find /var/www/vhosts/*/httpdocs/wp-includes/version.php -exec grep -H "wp_version = " {} \;  >> $FICHERO



echo "====================================================" >> $FICHERO
echo "Versiones de Joomla" >> $FICHERO
echo "====================================================" >> $FICHERO
grep /version /var/www/vhosts/*/httpdocs/language/en-GB/en-GB.xml  >> $FICHERO


echo "====================================================" >> $FICHERO

cat $FICHERO | mail -s "Control diario de scripts" correo@mail.com

rm -f $FICHERO
De momento es evidente que es muy beta. Por lo que he podido comprobar, de esta forma encuentra todas las versiones de WP y de Joomla, aunque con Joomla tengo dudas, ya que no encontraba una forma de saberlo.

Con ese archivo puedo saberlo, pero no se si es correcto ya que Joomla tiene hasta 3 versiones diferentes de producto.

Estaria bien a ver si podemos completarlo con rutas para Prestashop, Magento, Moodle, y algun que otro que se os ocurra.

El archivo esta preparado para Plesk, pero es muy sencillo adaptarlo a cPanel.

Yo considero que necesita:

1) Mas scripts como he comentado (Prestashop, Magento, Moodle...)
2) El archivo busca en la raiz, pero como sabemos, muchos tienen, especialmente en wordpess dentro de un directorio. Esto no lo encuentra el script.

Samael
03/04/2013, 18:17
Yo a eso me refería, uno dio en eso yo no quería seguir para no molestar, pero, aun que si tienes 1000 servidores invertir tiempo en revisiones o tener a alguien para eso y mejor aun tener scripts que revisen, es mejor a tener un día un server off por no hacerlo.

Creo que medidas sobran para revisiones el tema es no dejar de hacerlas.

bz2
03/04/2013, 14:44
Teniendo varios servidores me parece además necesario usar soluciones tipo WAF como modsecurity o denyall (aparte de las debidas restricciones a nivel de red, claro). Muchas de ellas ya detectan cosas "sospechosas" como shells, inyecciones, ataques conocidos, etc.

kennysamuerto
03/04/2013, 13:00
Cita Publicado inicialmente por sdzzds
Pero yo me referia al script de Wordpress y Joomla que es donde más probleams suele haber...
A mi uno de revisar las versiones de los scripts, si que creo que seria interesante.

No en vano, es cierto, que los 2 que han metido phishing se tratan de dos WP desactualizados.

El 90-98% de los problemas suele venir por estos lares, por no dar un porcentaje mayor.

sdzzds
03/04/2013, 12:57
Pero yo me referia al script de Wordpress y Joomla que es donde más probleams suele haber...

manoleet
03/04/2013, 12:44
Cita Publicado inicialmente por kennysamuerto
Yo tengo el script, y lo uso en los servidores de hosting, de todos modos, volvemos a lo mismo, ¿No creeis que es una locura si tienes 100 servidores, por ejemplo, usarlo en los 100 servidores?
Yo lo uso en todos, aunque me provoca problemas de rendimiento en los NAS-HA, es cuestión de seleccionar minutos distintos en el cron, para no sufrir con la concurrencia.

kennysamuerto
03/04/2013, 12:29
Cita Publicado inicialmente por manoleet
El script que busca "código" problemático puedes ejecutarlo cada hora y solo sobre ficheros modificados la última hora, ya sea por FTP o por la propia web. De esta forma no tienes que recorrer todo el sistema de ficheros.

En este mismo foro estuvimos hablando de ese script y cada uno aporto las cadenas a buscar.
Yo tengo el script, y lo uso en los servidores de hosting, de todos modos, volvemos a lo mismo, ¿No creeis que es una locura si tienes 100 servidores, por ejemplo, usarlo en los 100 servidores?

Aunque creo que no va a quedar mas remedio, visto lo visto. Casi que sera mejor perder un par de horas, antes de llevarte alguna sorpresita.

manoleet
03/04/2013, 12:08
El script que busca "código" problemático puedes ejecutarlo cada hora y solo sobre ficheros modificados la última hora, ya sea por FTP o por la propia web. De esta forma no tienes que recorrer todo el sistema de ficheros.

En este mismo foro estuvimos hablando de ese script y cada uno aporto las cadenas a buscar.

sdzzds
03/04/2013, 10:59
Cita Publicado inicialmente por jack2
Yo corro diariamente un script en busca de posibles shell o script que han podido ser vulnerados, creo que trabajamos este script en este foro, así encuentro "fácilmente" los sitios que han podido ser comprometidos.

Ahora estoy trabajando para buscar los scripts tipo wordpress, joomla, oscommerce, etc que están desactualizados y "obligar" a los usuarios a actualizarlos, porque allí es donde está el principal problema.

De igual manera genero en un archivo de texto todos los dominios por servidor y voy verificándolos diariamente automáticamente haber si están reportados por google para tomar las medidas necesarias.
Comparte ese script que tiene buena pinta cuando lo termines. Gracias!

jack2
02/04/2013, 22:32
Yo corro diariamente un script en busca de posibles shell o script que han podido ser vulnerados, creo que trabajamos este script en este foro, así encuentro "fácilmente" los sitios que han podido ser comprometidos.

Ahora estoy trabajando para buscar los scripts tipo wordpress, joomla, oscommerce, etc que están desactualizados y "obligar" a los usuarios a actualizarlos, porque allí es donde está el principal problema.

De igual manera genero en un archivo de texto todos los dominios por servidor y voy verificándolos diariamente automáticamente haber si están reportados por google para tomar las medidas necesarias.

Samael
02/04/2013, 18:02
Solo miro las webs que no administro yo, más que nada para saber cómo va y lógicamente si son muchas no las veré todas pero algo es algo, yo hablaba por mí para yo ir protegiéndome y saber dónde ir mirando a medida que se crece, claramente no conozco tu mundo por eso lo decía por mí, insisto no te criticaba, quería saber más.

Yo veo que de todos los post en el foro que hacen petición en algo a OVH muy pocos son respondidos por gente de OVH, por mail no te respondieron nada sobre eso?

Gracias por responder.

kennysamuerto
02/04/2013, 17:50
Cita Publicado inicialmente por Samael
Entiendo, pero no iba la pregunta por ningún lado malo o con otra intensión, solo algunas dudas ya que no me han tocado esos avisos y quería saber por dónde protegerme.

Entonces mirar las webs de los clientes todos los días por la mañana como hago yo es buena idea, así se si algo cambio.

Lo de los sitios desactualizados siempre estoy al tanto de actualizaciones y las aviso a los clientes si pasaron 3 días y no actualizo pues yo mismo le actualizo el sitio siempre que vea que es necesaria esa actualización.

Tengo personal mirando por monitor las 24 horas del día todos los log de correos y ftp por si hay ataques o alguien entra sin ser cliente.

Los clientes de hosting que puedo administrar yo lo hago solo yo y no les doy acceso ftp.

Tengo varias medidas, lo que quería era saber más para ver por donde podría tocarme esa mala suerte, no quiero perder un negocio por ahorrarme una pregunta tal vez tonta.

Gracias.
A lo que me referia es que no hay medida. No hay un sistema para verificarlo, ni siquiera con un simple comando como podria ser ver que servidor puede estar enviando spam.

En este caso no. Hay un defacement y suben contenido. No hay mas.

Tu puedes ver la pagina de tu cliente, pero el problema estar dentro de una carpeta, de otra carpeta, y de otra carpeta.

Y si, eso esta bien, si tienes 2-3 servidores de hosting, por ejemplo, pero ahora intenta hacerlo en 80 servidores dedicados con 100 cuentas cada uno de ellos (8.000 paginas de media), y a ver como lo haces. Si tienes que dedicar 8 personas a revisar 1000 paginas (y dudo que lo consigan al cabo de un dia) cada dia, podemos cerrar el negocio todos porque no es retanble pagar 8 sueldos solo para inspeccionar paginas a diario.

Ademas, entre otras cosas, al menos aqui en españa existen leyes de proteccion de datos que no te permiten ciertas cosas, por lo que esta complicado.

Por eso el motivo del post, para ver si hay suerte y OVH nos aclara que son simples avisos, y que no quedan en un historial "negro", y como sugerencia, a que le cambien ese nombre que recibes de ticket, que lo llamen de otra forma, ya que para mi, un antihack es algo muy serio (y realmente no es un hack, por eso podrian cambiarle el nombre)

Samael
02/04/2013, 17:43
Entiendo, pero no iba la pregunta por ningún lado malo o con otra intensión, solo algunas dudas ya que no me han tocado esos avisos y quería saber por dónde protegerme.

Entonces mirar las webs de los clientes todos los días por la mañana como hago yo es buena idea, así se si algo cambio.

Lo de los sitios desactualizados siempre estoy al tanto de actualizaciones y las aviso a los clientes si pasaron 3 días y no actualizo pues yo mismo le actualizo el sitio siempre que vea que es necesaria esa actualización.

Tengo personal mirando por monitor las 24 horas del día todos los log de correos y ftp por si hay ataques o alguien entra sin ser cliente.

Los clientes de hosting que puedo administrar yo lo hago solo yo y no les doy acceso ftp.

Tengo varias medidas, lo que quería era saber más para ver por donde podría tocarme esa mala suerte, no quiero perder un negocio por ahorrarme una pregunta tal vez tonta.

Gracias.

kennysamuerto
02/04/2013, 17:29
Cita Publicado inicialmente por Samael
Una pregunta, si es tan difícil el mantener los clientes limpios en todo sentido, entonces como hace OVH para tener 2.000.000 de clientes y controlar eso que es tan difícil o suena casi imposible?

Sera que ellos son dioses o que solo joden a los servidores y los hosting de ellos no.
No entiendo a donde quieres llegar, pero te lo voy a poner facil.

OVH es el AS, y por lo tanto, cuando consultas el whois de una IP, te sale la direccion de abuse de OVH.

OVH no comprueba, a OVH le llegan avisos de los departamentos antiphishing, por ejemplo, y actua.

Es decir, el banco santander se pone en contacto con OVH y le dice que esta IP tiene alojada esta web que contiene phising de mi banco, por ejemplo.

OVH comprueba la IP, y si es un hosting suyo, imagino que lo cerrara o avisara al cliente, y en el caso de los dedicados, lo mismo, aivsa al propietario para que lo revise.

Tan simple como eso. No es que tengan y comprueben diariamente los scripts.

La preocupacion viene, porque OVH por muchos scripts desactualizados que tenga en sus planes de hosting, y por ende phishing no se va a "cerrar" un servidor a si mismo. En cambio, si puede crearte problemas por cerrarte un servidor dedicado por algun aviso de phishing.

En muchas ocasiones, el departamento antiphishing que se lo curra, encuentra el verdadero propietario del servidor, y lo avisa (me ha pasado algunas veces). Los mas vagos, imagino que avisaran directamente a OVH, y que estos se encargen de avisarte, y de ahi, estos avisos extremadamente agoreros al llamarlos antihack.

No es muy dificil llegar a esta conclusion, por eso no lo he explicado en el post principal, porque creia que quedaba bastante claro cual es el inconveniente.

Saludos

Samael
02/04/2013, 17:15
Una pregunta, si es tan difícil el mantener los clientes limpios en todo sentido, entonces como hace OVH para tener 2.000.000 de clientes y controlar eso que es tan difícil o suena casi imposible?

Sera que ellos son dioses o que solo joden a los servidores y los hosting de ellos no.

kennysamuerto
02/04/2013, 11:40
Cita Publicado inicialmente por sdzzds
Yo he recibido alguno que otro aviso por algún cms desactualizado y en 24 horas lo vuelven a mirar a ver si está solucionado y si está solucionado acaban cerrando el ticket, no pasa nada más, no tienes en principio por qué preocuparte, por lo menos por ahora.

Es imposible tener controlado todos los archivos que los clientes suben o son modificados por terceros y siempre se puede escapar alguno. Sobre todo porque muchos clientes tienen los troyanos en su propio ordenador y es imposible también poder controlar los ordenadores de la gente.
Si, a eso voy, que ya llegar a esos extremos es practicamente imposible hacer mas, aunque se intente. Pero claro, de recibir en 4 años dos antihack, a recibir los mismos en un mes (aunque insisto, no son un hackeo, lo mandan asi, porque supongo que el robot de correo lo llama asi, pero acojona).

Lo dicho, como sugerencia, a ver si crean un robot diferente y lo llaman, yo que se, aviso, antiphishing o lo que quieran....

Saludos

sdzzds
02/04/2013, 10:19
Yo he recibido alguno que otro aviso por algún cms desactualizado y en 24 horas lo vuelven a mirar a ver si está solucionado y si está solucionado acaban cerrando el ticket, no pasa nada más, no tienes en principio por qué preocuparte, por lo menos por ahora.

Es imposible tener controlado todos los archivos que los clientes suben o son modificados por terceros y siempre se puede escapar alguno. Sobre todo porque muchos clientes tienen los troyanos en su propio ordenador y es imposible también poder controlar los ordenadores de la gente.

3voluti0n
01/04/2013, 22:48
Vaya ahora menos podremos dormir tranquilos, no estaría tan seguro que solo son aviso mas bien les voy a que si se guarda en el historial como los de SPAM que no aparecen en el manager y solo te los envían al correo yo igual bloqueaba lo mas posible para evitar esto pero un día hace 3 años terminaron por cancelarme 4 servidores al mismo tiempo tumbandome medio negocio pero ni hablar así se trabaja con OVH y no entendemos esperemos y sea lo que todos queremos, simples avisos

kennysamuerto
01/04/2013, 21:33
Buenas,

Es un mensaje en el que intento que alguien de OVH nos comente, para tranquilidad, y para ver si alguien mas esta notando estos nuevos avisos.

Yo tengo bastantes servidores en OVH desde hace mas de 4 años, y en todo este tiempo apenas he tenido 2-3 antihack (algun joomla desactualizado que ha provocado algun problema de escaneo y poco mas).

Pero este ultimo mes, estoy sufriendo un colapso porque he recibido 2... 2 antihack, que en realidad, no son un "hack" son un defacement, pero ese es otro tema.

Resulta que ahora te avisan si alguna web contiene pishing con el "antihack" que acojona una barbaridad viendo temas de algunos usuarios a los que, bueno, no hace falta mencionar, lo que les ocurrio (alguna cuenta cerrada).

Es poco habitual, pero con mas de 100 servidores, es imposible tener controladas tambien las versiones de los scripts que tienen los clientes.

Los pishing son por wordpress desactualizados que les meten esta mierda, y ahora OVH te envia este correo que asusta cosa mala.

Las pocas veces que han metido algo de pishing, lo soliamos detectar gracias a que nos avisaban los afectados, y en pocos minutos se solucionaba. Pero ahora, recibir esto, asusta y mucho.

Asi que me gustaria saber si son simples avisos, que actuando sobre el problema no generan un historial que te pueda afectar, o que. Porque muchos comemos haciendo servicios, y como entenderan es imposible tambien tener controladas todas las webs que se alojan en un servidor.

Tengo todos los servidores monitorizados con hasta 12 servicios (todos los que dispone el servidor) medidas preventivas y proactivas de seguridad. Duermo con cascos para las alertas. Revisiones semanales, hasta intento hacer revisiones de los scripts, pero es imposible poder detectarlo todo, y ser perros policias web.

Asi que me gustaria saber si alguien mas ha empezado a recibir alertas de pishing por parte de OVH (ya digo, antes, en 4 años, he tenido 2 antihack, y en un mes... y nunca lo habia tenido por pishing, que si alguna vez se habia alojado, me lo avisaban los afectados), y que significado tiene esto de cara al historial de cuenta, de cliente o de lo que sea. O si simplemente es una ayuda, unos avisos, para que se actue y fin del problema.

Mas que nada, para poder dormir medianamente bien por las noches.

Y como se que OVH acepta sugerencias, por dios, si son simples avisos, cambiarles el nombre, que eso de antihack...

Saludos