OVH Community, your new community space.

Servidor cerrado por ataque UDP????


tfwfactory
12/09/2013, 19:49
Perfecto y no escatimes en seguridad , un saludo

josevv
12/09/2013, 19:34
Bueno, al final me he echado la manta a la cabeza y he ido migrando todo al nuevo server, el cual ya lo tenía preparado pero estaba poniéndolo a prueba. Y menuda prueba, no os podéis ni imaginar la que se me ha liado con el LFD y el dichoso cPhulkd!!! Mañana intentaré resucitar el bloqueado para finiquitar algunas webs. Muchas gracias a todos, hoy he aprendido mucho.

bz2
12/09/2013, 16:28
Cita Publicado inicialmente por tfwfactory
yo sigo pensando que de alguna manera ellos monitorizan los servidores y hasta los escanean puesto que hemos tenido intento de acceso de muchas ips del propio OVH y algunas al examinarlas eran del propio monitoring pero la pregunta es ? que hace el monitoring intentando entrar por SSH ? y dando errores de logueo en SSH ? , también hemos tenido clientes que les han cerrado servidores por culpa de que OVH les dice que tenían archivos maliciosos , pero no salidas de ataques , como sabe OVH que hay esos archivos ahí ? eso nunca lo explican
El monitoring comprueba si los servicios están levantados. De ahí que veas conexiones al puerto SSH, al 80, al 23.. etc por parte de IPs de OVH.

Lo de los archivos maliciosos es cuando alguien manda al abuse de OVH informes de contenido malicioso en alguno de los servers de su red.

kennysamuerto
12/09/2013, 13:14
Cita Publicado inicialmente por josevv
Estaba en ello, mi nuevo mSP tiene proxmox con CT Centos+CPanel+CSF, pero NO ME HA DADO TIEMPO A INAUGURARLO, lo tenía previsto para este fin de semana, si es que llevo un gafe!.
Si me permitís otra pregunta: Imaginaros que reinicio y por mi subsodicho gafe se queda el ataque activo... ¿OVH me puede cerrar el server y hacer que no pueda acceder en absoluto a los datos, o siempre tendré la posiblidad de acceder en rescue y recuperar?
Si lo pides, te lo abriran en rescue, alli instalas el CSF, y bloqueas todos los puertos de salida UDP.

Como te comento, no solucionas el problema, pero si lo bloqueas.

No deberia generarse ningun ataque saliente UDP si tienes los puertos bloqueados, que es el motivo del bloqueo de OVH, y asi puedes afrontar la migracion y dar servicio, como minimo.

Disculpa, imagino que lo tienes controlado y no habia vuelto a entrar al foro.

Saludos

tfwfactory
12/09/2013, 13:02
Si te pueden cerrar el sistema otra vez , te aconsejo que desactives el monitoring de OVH y luego procedas a realizar las tareas que requieras

Si haces las cosas como te digo no debes tener problemas puesto que el CSF evitará los ataques que al parecer salen de tu propio servidor , por eso lo han cerrado , que es una putada es claro , pero actuan asi por cosas como esas , yo sigo pensando que de alguna manera ellos monitorizan los servidores y hasta los escanean puesto que hemos tenido intento de acceso de muchas ips del propio OVH y algunas al examinarlas eran del propio monitoring pero la pregunta es ? que hace el monitoring intentando entrar por SSH ? y dando errores de logueo en SSH ? , también hemos tenido clientes que les han cerrado servidores por culpa de que OVH les dice que tenían archivos maliciosos , pero no salidas de ataques , como sabe OVH que hay esos archivos ahí ? eso nunca lo explican

Lo mejor es que no te fies de nada en estas cosas , accede por Rescue , accede a la raiz de tus documentos y pilla las webs y bajalas , el mysql vete a donde la libreria de mysql y tal cual los archivos como están los bajas y luego en tu propio servidor puedes ponerlos otra vez , a fin de cuentas las bases de datos son asi y pudiendo acceder a la raiz de mysql es lo más sencillo y no pierdes el tiempo , es como con FTP , puedes usar Filezilla con acceso SSH


Después con todo seguro procede , en tu nuevo servidor con cpanel ya tienes mogollón de herramientas para poder defenderte y además el excelente soporte de cpanel incluido que te hacen todo lo que necesites , acceder a tu server , incidencias , todo , es un GRAN SOPORTE , IMPRESIONANTE SOPORTE

Y bueno despues lo bueno que con la virtualización ya evitas muchos problemas , migras a tu voluntad si hay un ataque pueden cerrar esa ip pero no el server , etc


Un saludo

josevv
12/09/2013, 12:47
Estaba en ello, mi nuevo mSP tiene proxmox con CT Centos+CPanel+CSF, pero NO ME HA DADO TIEMPO A INAUGURARLO, lo tenía previsto para este fin de semana, si es que llevo un gafe!.
Si me permitís otra pregunta: Imaginaros que reinicio y por mi subsodicho gafe se queda el ataque activo... ¿OVH me puede cerrar el server y hacer que no pueda acceder en absoluto a los datos, o siempre tendré la posiblidad de acceder en rescue y recuperar?

tfwfactory
12/09/2013, 12:44
De nada hombre , ya que OVH no da ni los buenos dias pues entre todos nos apañamos , para algo estamos , un saludo

josevv
12/09/2013, 12:42
Joer tfwfactory, me abrumas con tu interés y tus explicaciones. Te lo agradezco enormemente. Me pongo manos a las obra y os cuento

tfwfactory
12/09/2013, 12:33
Agregar que yo usaría Centos , pero ya es gusto de cada cual , un saludo nuevamente

davidlig
12/09/2013, 12:27
Debian Lenny está obsoleto desde Febrero 2012 seguramente tu sistema ha sido comprometido por un exploit del openSSH.


PD: Si vas a migrar ponte Debian Wheezy porque Debian Squeeze no le queda mucho tiempo de vida (1 año o así)

Un saludo.

tfwfactory
12/09/2013, 12:22
Primero de todo , debes desactivar la raiz de las webs para que no se pueda seguir accediendo a ellas y hasta que no verifiques la limpieza de los sistemas que te diré después

A poder ser si puedes acceder via rescue a lo que son las webs prueba a cambiar ese nombre de la raiz de los documentos si es que se está accediendo desde afuera

Con esto anteriormente realizado prueba a levantar el servidor y de seguido instala CSF y bloquea los puertos que salen por UDP para evitar esa actividad en un primer instante , te dejo algunas guias para no tener que escribirlo todo

No levantes los servicios aunqeu pongas a funcionar el server , es deciir para Apache y demás servicios

Instalar CSF :

http://configserver.com/free/csf/install.txt

Instalar Sistema anti Rootkits :

http://www.woktron.com/secure/knowle...S-5-and-6.html

Dentro del archivo de configuración de CSF , bloquea todos esos puertos :

Edita con nano o vi o el sistema que uses desde SSH :
csf.conf

cd /etc/csf

o

nano /etc/csf/csf.conf

# Allow incoming TCP ports
TCP_IN = 20,21,22,25,53,80,110,143,443,465,587,993,995,2077 ,2078,2082,2083,2086,2087,2095,2096

# Allow incoming UDP ports
UDP_IN = 20,21,53


Read more: http://www.digitalfaq.com/forum/web-...#ixzz2efjgVs5N



Con todo esto ya listo comprueba los logs de tu sistema , a posteriori accede a cada dominio y ve activándo las web secuencialmente , mira sobre todo si en el código fuente hay alguna inyección y actualiza si utilizas un wordpress , etc , mira también si por FTP hay archivo del tipo .js insertados en el sistema o en las cabeceras , a veces se hacen estas inyecciones , un truco cuando la web carga mira abajo en el navegador si algo tarda en cargar , los tios que meten estas cosas usan conexiones remotas y usan curl para acceder y zombificar tu servidor

Desactiva curl por php , a veces te acceden por ahi , mira la directiva de opendir como la tienes , es importante que vigiles esto

Hay plugins si usas wordpress para escanear por archivos maliciosos en el sistema , si no sabes de alguno te recomiendo Wp Security que es un firewall de wordpress altamente efectivo

También cambia tu puerto 22 de SSH a otro , quita las llaves de acceso por ssh de OVH e instala failtoban

Con esto tu servidor estará seguro pero se taxativo en materia de seguridad y siempre ponte en lo peor , haz tb backups por si acaso pero sobre todo de mysql

Espero que te sirva un saludo !

josevv
12/09/2013, 12:07
Ispconfig, Debian lenny, unas 15 webs, postfix. Lo que me urge es devolverles a mis clientes el servicio de correo, las webs las iría pasando al nuevo server. He visto en el otro hilo que a otro compañero se le consideró un falso positivo, y eso me ha dado ánimos, pero lo malo es que tengo copias desactualizadas y tengo miedo que OVH me deje sin acceso a los datos.

tfwfactory
12/09/2013, 12:03
Para poder ayudarte coméntanos que sistemas tienes en tu sitio web , tu sistema operativo , número de webs , etc como el panel de control que usas

Saludos

josevv
12/09/2013, 12:00
Kenny, creo que prestas servicios de sysadmin. ¿Te podría contactar telefónicamente para que me valorases la restitución de los servicios?

josevv
12/09/2013, 11:57
Muchas gracias por vuestras respuestas, es verdad lo del firewall, tantos años sin problemas que me había creido ya inmune... El caso es que estaba preparando mi nuevo mSP y este fin de semana iba a hacer la migración (transparente de cara a mis clientes), me temo que se han enterado todos ya. Os quería preguntar si sois tan amables si veríais con buenos ojos que indicase el reinicio del servidor, acto seguido cortar servicios y poder trabajar cómodamente con ssh, o me arriesgo a que se produzca el ataque y me quede con el servidor bloqueado?

kennysamuerto
12/09/2013, 11:28
Y por lo que veo, hasta 2 puertos UDP diferentes.

¿No tenias Firewall, verdad?

Hombre, lo minimo es tener firewall que al menos, aunque no solucione el problema, si que evita el ataque.

El problema (Es decir, la web o el servidor vulnerado) las seguiras teniendo hasta que no encuentres la raiz, pero al menos, evitara que salgan los ataques.

¿Joomlas o Wordpress desactualizados? Lo mas probable que es te hubieran metido algun archivo para hacer este tipo de ataques, y al carecer de un sistema de seguridad que lo evite, pues...

Saludos

Guille
12/09/2013, 11:17
Es posible que tu servidor haya sido comprometido y esté siendo usado para ataques.
Mira este hilo : http://foros.ovh.es/showthread.php?t=11625

josevv
12/09/2013, 11:10
Hola a todos, perdonad que entre a saco sin presentarme ni nada con mi primer post, pero necesito ayuda, a ver si alguno sabe qué hacer ante este cierre inesperado. Deciros que mi servidor tenía ya un uptime de 900 días y sin ningún problema. He recibido esto:

Attack detail : 618pps/7Mbps

dateTime srcIp:srcPort dstIp:dstPort bytes protocol

12 Sep 2013 00:58:12:119 GMT 188.165.XXX.XX 200.164.100.153 3264 UDP fragment
12 Sep 2013 00:58:12:136 GMT 188.165.XXX.XX 177.74.1.2 12000 UDP fragment
12 Sep 2013 00:58:12:119 GMT 188.165.XXX.XX 177.74.1.2 12000 UDP fragment
12 Sep 2013 00:58:12:137 GMT 188.165.XXX.XX 200.164.100.153 12000 UDP fragment
12 Sep 2013 00:58:12:119 GMT 188.165.XXX.XX 200.164.100.153 12000 UDP fragment
12 Sep 2013 00:58:12:136 GMT 188.165.XXX.XX 200.164.100.153 12000 UDP fragment
12 Sep 2013 00:58:12:119 GMT 188.165.XXX.XX 200.164.100.153 12000 UDP fragment
12 Sep 2013 00:58:12:136 GMT 188.165.XXX.XX 177.74.1.2 12000 UDP fragment
12 Sep 2013 00:58:12:126 GMT 188.165.XXX.XX 177.74.1.2 12000 UDP fragment
12 Sep 2013 00:58:12:116 GMT 188.165.XXX.XX 177.74.1.2 12000 UDP fragment

Como causa de que se me haya puesto el servidor en modo de acceso solo por ftp, ya ni por ssh puede investigar uno. ¿Me podríais arrojar algún rayo de luz acerca de esto?. ¿Qué hago, pido la reactivación sin más?. Tengo miedo de pedir que me activen de nuevo el servidor y que se me cierre indefinidamente, pero no sé qué medidas tomar. Gracias.