OVH Community, your new community space.

servicio de administracion de servidor de kennyseamuerto


pepejlr
18/08/2013, 22:03
Cita Publicado inicialmente por xirvikflux
Así que el que tenga la lista de claves de OVH puede seguir haciendo destrozos vía API por mucho que se hayan cambiado las claves en el panel.
Yo ya removí la clave de OVH del know_hosts del sshd.

Y es absurdo que hackeen desde OVH. Ya conozco a varias personas que han pedido un servidor de la nueva gama de kemsirve y no han tenido problemas semejantes de invasiones.

Cita Publicado inicialmente por tfwfactory
Bueno no es por ser alarmista pero ya hemos detectado algunas cosas como ataques a cpanel , directadmin y como vemos por parte de otros usuarios que asi lo ponen en el foro ataques o intentos de acceso root al phpmyadmin y desde servidores de OVH , sin ir más lejos tenemos intentos de escaneos en algunos servidores nuestros que provienen precisamente de servidores de OVH , también es importante destacar que los hackers intentan usar vulnerabilidades conocidas de esos sistemas y por ahí acceden , pero tal cual , parece que se intenta perjudicar a OVH a través del descontento de sus usuarios

Desde luego la persona que reciba estos ataques debe denunciarlo a todos los niveles y por la via penal también , no es desde luego un chiste que el esfuerzo que muchos hacen con su servidor y su trabajo se vea truncado por una panda de desaprensivos , sería también bueno que OVH comentase algo sobre esto , al menos se lo vamso a comentar a soporte y a ver que nos dicen

Saludos
Eso es el pan de cada dia de un sysadmin esté en el proveedor que estén. Lo único que no veo normal (Y he leido en otro post de este foro) es la desatención por parte de OVH de revisar las peticiones de abuse@ovh.net porque es inexistente. Si no le dan importancia, jamás van a tener su red limpia de malware. Para que no te hackeen el servidor hay que mantener los daemons constamente actualizados así como el sistema operativo y su kernel y permitir un máximo de intentos con la ayuda de fail2ban. En mi caso tengo Phpmyadmin solo para un diverso rango de IPs donde opero ya que conozco algunas vulnerabilidades y porque no hay sistema de número máximo de intentos de login fallidos. Sobre un posible deface de un servidor web, para evitar que hagan efecto dominó al resto de webs, hay que intentar separar los vhost por usuarios Unix y no meterlos todos por www-data (Hay un módulo mpm para Apache2 que hace eso). Al menos si te hackean la web, no va a afectar al resto de webs alojadas.

Igualmente toda seguridad es poca. Todos los dias hago un sudo cat /var/log/auth.log | grep Accepted a ver si no hay intrusiones. En estos casos me alegro de ser excesivamente paranoico. La seguridad en un servidor es totalmente primordial.

callejoso
18/08/2013, 17:23
Cita Publicado inicialmente por tfwfactory
Bueno no es por ser alarmista pero ya hemos detectado algunas cosas como ataques a cpanel , directadmin y como vemos por parte de otros usuarios que asi lo ponen en el foro ataques o intentos de acceso root al phpmyadmin y desde servidores de OVH , sin ir más lejos tenemos intentos de escaneos en algunos servidores nuestros que provienen precisamente de servidores de OVH , también es importante destacar que los hackers intentan usar vulnerabilidades conocidas de esos sistemas y por ahí acceden , pero tal cual , parece que se intenta perjudicar a OVH a través del descontento de sus usuarios

Desde luego la persona que reciba estos ataques debe denunciarlo a todos los niveles y por la via penal también , no es desde luego un chiste que el esfuerzo que muchos hacen con su servidor y su trabajo se vea truncado por una panda de desaprensivos , sería también bueno que OVH comentase algo sobre esto , al menos se lo vamso a comentar a soporte y a ver que nos dicen

Saludos
Para colmo desde el servicio tecnico de kenny me dicen que no es que me hackeen si no que tengo el disco duro dañado (cuando en otro servidor me paso lo mismo en cuanto movi al web)....

Ahora tengo que solicitar a ovh otro...? y volver a pedirles que se encarguen de la seguridad por que aun que el disco duro estuviera dañado me a pasado en dos servidores de ovh...

Alguien sabe cuanto tardan los fenomenos de ovh en cambiar el disco duro? por que me veo esperando de 1 dia a 5 meses ¬¬

asi que tiene narices la cosa...

tfwfactory
18/08/2013, 14:00
Bueno no es por ser alarmista pero ya hemos detectado algunas cosas como ataques a cpanel , directadmin y como vemos por parte de otros usuarios que asi lo ponen en el foro ataques o intentos de acceso root al phpmyadmin y desde servidores de OVH , sin ir más lejos tenemos intentos de escaneos en algunos servidores nuestros que provienen precisamente de servidores de OVH , también es importante destacar que los hackers intentan usar vulnerabilidades conocidas de esos sistemas y por ahí acceden , pero tal cual , parece que se intenta perjudicar a OVH a través del descontento de sus usuarios

Desde luego la persona que reciba estos ataques debe denunciarlo a todos los niveles y por la via penal también , no es desde luego un chiste que el esfuerzo que muchos hacen con su servidor y su trabajo se vea truncado por una panda de desaprensivos , sería también bueno que OVH comentase algo sobre esto , al menos se lo vamso a comentar a soporte y a ver que nos dicen

Saludos

xirvikflux
18/08/2013, 12:41
Cita Publicado inicialmente por juanillo
Supongo que te enteraste el mes pasado del problema de seguridad en OVH, que se vieron comprometidas las claves de usuario, y que cambiaste tu clave de OVH ...
Sí, y grandísima cagada de OVH - cambiar la contraseña de acceso al panel de control no la cambia para el API (tienes que ir a modo experto y cambiarla a mano específicamente).

Así que el que tenga la lista de claves de OVH puede seguir haciendo destrozos vía API por mucho que se hayan cambiado las claves en el panel.

callejoso
18/08/2013, 12:15
Cita Publicado inicialmente por juanillo
Supongo que te enteraste el mes pasado del problema de seguridad en OVH, que se vieron comprometidas las claves de usuario, y que cambiaste tu clave de OVH ...
si pero si te soy sincero tengo tan malisima memoria que cada vez que entro tengo que darla recordar contraseña y las vas cambiando asi que creo que eso descartado

juanillo
18/08/2013, 11:09
Supongo que te enteraste el mes pasado del problema de seguridad en OVH, que se vieron comprometidas las claves de usuario, y que cambiaste tu clave de OVH ...

callejoso
18/08/2013, 10:06
Cita Publicado inicialmente por dedik2
Revisa a ver si por alguna razón se están reenviando los correos donde te envías los datos de acceso de OVH a otro correo que no sea el tuyo...
Lo hice, si por hacer hasta miro a cada rato que no se conecte a mi gmail otra ip aparte de la mia pero nada y a cada rato ponia who para ver quien estaba en el servidor pero nada y ahora no quiero tocar por que estan los tecnicos ya con ello aun que de momento no han realizado nada por que les pase el contacto tecnico y dicen que tardarian... supongo que el finde tambien cuenta... mientras tengo el otro servidor de otra empresa pero me a jodido por que estaban apunto de darmelo de baja y me a tocado pagar 200€ + 72 a kenny mas 100 de ovh este mes es una ruina...

dedik2
18/08/2013, 09:42
Cita Publicado inicialmente por callejoso
hombre antes de empezar todo el tema de hackeos, webs tenia muchas desde mias unas 20 hasta webs de amigos... y mias grandes 3 de diversas tematicas, lo que me llama la atencion es que en la otra empresa siga bien, empiezo a pensar que no me hackean directamente por ser yo o tener las webs, si no que escaneaban por decirlo de alguna manera servidores de OVH (pues el aviso de directadmin de fuerza bruta no para en mis 2 servidores incluso sin tener la web en uno de ellos (solo la puse ayer y recibia avisos a diario desde hace 1 mes cuando lo compre y nunca llegue a poner la web nunca ni nada por estilo hasta ayer que ya dije por probar.... entonces pienso que puede que la web tenga un fallo si pero que aparte estan escaneando los servidorer y da la casualidad que con la web zasca... ya que en el otro servidor de otra empresa no estoy teniendo problemas :S

tambien lo que me extraño es que reinstale y no meti nada para que los tecnicos tuvieran el servidor limpio y cuando probaron los datos de root ya no funcionaba.... eso me mosqueo aun mas

Sigo a la espera de que los tecnicos de kenny me digan algo...
Revisa a ver si por alguna razón se están reenviando los correos donde te envías los datos de acceso de OVH a otro correo que no sea el tuyo...

callejoso
18/08/2013, 08:28
hombre antes de empezar todo el tema de hackeos, webs tenia muchas desde mias unas 20 hasta webs de amigos... y mias grandes 3 de diversas tematicas, lo que me llama la atencion es que en la otra empresa siga bien, empiezo a pensar que no me hackean directamente por ser yo o tener las webs, si no que escaneaban por decirlo de alguna manera servidores de OVH (pues el aviso de directadmin de fuerza bruta no para en mis 2 servidores incluso sin tener la web en uno de ellos (solo la puse ayer y recibia avisos a diario desde hace 1 mes cuando lo compre y nunca llegue a poner la web nunca ni nada por estilo hasta ayer que ya dije por probar.... entonces pienso que puede que la web tenga un fallo si pero que aparte estan escaneando los servidorer y da la casualidad que con la web zasca... ya que en el otro servidor de otra empresa no estoy teniendo problemas :S

tambien lo que me extraño es que reinstale y no meti nada para que los tecnicos tuvieran el servidor limpio y cuando probaron los datos de root ya no funcionaba.... eso me mosqueo aun mas

Sigo a la espera de que los tecnicos de kenny me digan algo...

tfwfactory
18/08/2013, 01:25
La verdad pica la curiosidad de el por qué tanta enquina con una web , de que es la web ? , tiene muchas visitas o algo y por otro lado no es comprensible como te pueden hackear todo si tienen que acceder por ssh o asi y la web y todo pues no es comprensible como pueden violar toda la seguridad es rarisimo , como no entren desde el propio OVH otra cosa no se entiende , asi que a ver si nos comentas que ha pasado por curiosidad

Un saludo

callejoso
17/08/2013, 21:38
Cita Publicado inicialmente por drpks
No es una solución eficaz. Encontrarán un proxy en otro país para acceder.
cierto no lo pense...mientrs tando en alemania sigue online sin csf ni nada de nada

drpks
17/08/2013, 20:41
Cita Publicado inicialmente por callejoso
por cierto como ultima alternativa de un novato como yo que os parece bloquear con csf todas las ip de china,rumania y demas paises conflictivos y que nadie de ese pais visita mi web? eso ayudaria mucho supongo no? pues los pocos logs que tengo son de esos paises...
No es una solución eficaz. Encontrarán un proxy en otro país para acceder.

Jony
17/08/2013, 19:13
Y de que es tu web si se puede saber? Porque algun interes supongo que tendran en tocar los huev....

callejoso
17/08/2013, 18:44
Cita Publicado inicialmente por Drakar73
Nos cuentas vale? Nos tienes intrigados...
De momento mi web sigue online desde las 2 o 3 de la tarde (tiempo record) alojada en alemania con otra empresa... asi que si kenny no me lo puede arreglar por que sea de la web o por lo que sea me ire de ovh aun que me joda, aun que espero que lo arregle... pero de momento en alemania va bien (lenta) por que no optimice el servidor pero funciona y con eso ahora mismo me conformo ya que por culpa de los hackeos llevo desde el jueves noche que solo e dormido 8 horas y no seguidas... asi que es todo un avance jajajajaja

por cierto como ultima alternativa de un novato como yo que os parece bloquear con csf todas las ip de china,rumania y demas paises conflictivos y que nadie de ese pais visita mi web? eso ayudaria mucho supongo no? pues los pocos logs que tengo son de esos paises...

Drakar73
17/08/2013, 18:22
Nos cuentas vale? Nos tienes intrigados...

Cita Publicado inicialmente por callejoso
solo tengo acceso yo y lo peor de todo es que podia llegar a ser de la web ya que tengo dos servidores y cuando la ponia lo hackeaban pero es que ahora tengo la web en otra empresa y el servidor de OVH vacio y recien instalado y de pronto a dejado de funcionar SSH y directadmin :S

Edito:

Kennyseamuerto o su gente ya esta trabajando en el servidor, espero que termine bien el asunto

callejoso
17/08/2013, 16:59
Cita Publicado inicialmente por Katrino
Pues creo que debes tener algo mal pero muy mal en el código de tu aplicación, algún bug o backdoor porque si cambiaste la clave SSH, generaste una nueva llave pues por SSH seguro no están entrado, verifica cuantos usuarios tienen acceso root y eliminalos suerte
solo tengo acceso yo y lo peor de todo es que podia llegar a ser de la web ya que tengo dos servidores y cuando la ponia lo hackeaban pero es que ahora tengo la web en otra empresa y el servidor de OVH vacio y recien instalado y de pronto a dejado de funcionar SSH y directadmin :S

Edito:

Kennyseamuerto o su gente ya esta trabajando en el servidor, espero que termine bien el asunto

Katrino
17/08/2013, 16:57
Cita Publicado inicialmente por callejoso
añado que acaba de hackear uno de mis servidores sin tener la web.... el directadmin a volado y no hay narices a ponerlo online :S
Pues creo que debes tener algo mal pero muy mal en el código de tu aplicación, algún bug o backdoor porque si cambiaste la clave SSH, generaste una nueva llave pues por SSH seguro no están entrado, verifica cuantos usuarios tienen acceso root y eliminalos suerte

callejoso
17/08/2013, 16:18
añado que acaba de hackear uno de mis servidores sin tener la web.... el directadmin a volado y no hay narices a ponerlo online :S

callejoso
17/08/2013, 15:43
Cita Publicado inicialmente por tfwfactory
osea q en realidad t hackean la web y por otro lado q cms usas o es desde cero la web
Es una programacion privada y hasta ahora nunca habiamos tenido problemas, algun hackeo pero reinstalacion y listo meses sin problemas... pero ahora cada 2 horas zasca... en realidad no se si hackean desde la web pero si que se que se loguean o intentan loguearse con nombres similares ami dominio y de pronto un monton de ip se conectan y ya apartir de ese momento ni root ni nada todo contraseña incorrecta

tfwfactory
17/08/2013, 15:40
osea q en realidad t hackean la web y por otro lado q cms usas o es desde cero la web

callejoso
17/08/2013, 15:30
Cita Publicado inicialmente por Diablo48
Hola:
Tengo bastante experiencia en temas de hackeos de webs, si quieres que revise tu web/servidor ahora dimelo y lo vemos.

Un saludo
Muchas gracias por tu ayuda pero acabo de pagar a kenny y estoy a la espera ojala se quede solucionado, mientras tengo al web en otro servidor de otra empresa y parece que aguanta...

Diablo48
17/08/2013, 15:28
Hola:
Tengo bastante experiencia en temas de hackeos de webs, si quieres que revise tu web/servidor ahora dimelo y lo vemos.

Un saludo

callejoso
17/08/2013, 15:18
te respodi pero creo que no lo leiste, si pongo la web pero lo que quiero no es que lo arregle (si es que es la web) si no que securicen el servidor todo lo posible aver si asi...

Drakar73
17/08/2013, 14:58
Pero callejoso, como te pregunte, ¿pones tu web?

Porque una instalacion base no deberia dejar que entren y si es tu web no creo que kennyseamuerto te lo pueda solucionar, no obstante mejor que hables con el.

Yo le mande de madrugada un correo al soporte de su empresa preguntandole una tonteria y no me ha contestado, pero puede que siendo importante a ti lo haga.

callejoso
17/08/2013, 14:52
Cita Publicado inicialmente por tfwfactory
describe un poco más tu problema , saludos
Basicamente mi problema esta en que llevo desde el jueves por la noche que cada 2 horas me hackean el servidor cambiandome todas las pass hasta cuando quite el login de root, quite la puerta trasera de ovh,quite admin de directadmin y puse otro usuario... probe desde otro ordenador por si tengo algun keyloguer etc... y nada, instale csf y vi que se identificaban con datos incorrectos etc y bloquee esas ip y parecia que aguantaba pero de pronto otra vez... y ya no se ni que hacer

Katrino
17/08/2013, 14:26
Cita Publicado inicialmente por callejoso
Hola Amigos.

Alguien sabe si kennyseamuerto trabaja los fines de semana? pues no se si hacer el pago para que me arregle un servidor hackeado ahora o esperar al lunes....
Buenas he utilizado sus servicios unas 3 veces y fue un sábado o domingo y a los 5 minutos de colocar a orden me respondieron y fueron solucionando de una manera muy profesional, de verdad que los recomiendo 1000%, lo mejor de todo en español y como ellos también tienen servidores en OVH todo fue mas rápido ya que me indicaban que hacer en mi panel de OVH modo rescue, modo normal etc hasta que quedo solventado, toma el servicio de Urgente ese es el que te conviene en tu caso

Suerte y déjanos saber como te fue

tfwfactory
17/08/2013, 14:24
describe un poco más tu problema , saludos

jack2
17/08/2013, 14:08
je,je,je. si tienes el servidor hackeado yo ya hubiera pagado, por lo menos estoy en cola de espera para que me realicen el trabajo.

Esperas pagar el lunes y que él enseguida trabaje en tu servidor? y si ya tiene programadas tareas para el lunes?

Drakar73
17/08/2013, 14:07
Lo mejor que puedes hacer es mandarle un correo al soporte de su empresa y supongo que te atendera.

callejoso
17/08/2013, 13:45
Hola Amigos.

Alguien sabe si kennyseamuerto trabaja los fines de semana? pues no se si hacer el pago para que me arregle un servidor hackeado ahora o esperar al lunes....