OVH Community, your new community space.

Ataque desde OVH


tfwfactory
25/05/2014, 03:45
Bloquea ese rango de ip y ya está , a no ser que te interese conservar el mismo , saludos

Samael
25/05/2014, 02:41
http://foros.ovh.es/showthread.php?1...ll=1#post87428

Samael
19/05/2014, 21:15
Seguimos, ahora a Wordpress

4 intentos de acceso fallidos (2 bloqueo(s)) desde la IP: 37.59.2.42
Ultimo usuario probado: admin
La IP se ha bloqueado para 60 minutos

Samael
14/05/2014, 23:29
Curiosamente miro 6 IPs atacantes distintas y las 6 tienen el modulo que dice kenny es de OVH, menuda seguridad ese programador de OVH.

LOL

jack2
13/05/2014, 23:49
Esperemos que nos le suceda igual que a Leaseweb que hoy les incluyeron todo el rango de IPs de su ASN en UCEProtect, así que muchos servidores de correos están devolviendo emails porque las ips están reportadas como spam.. aparece en la lista de número 11 como fuente de spam http://www.uceprotect.net/en/l3charts.php
Se me hace raro que no se encuentre OVH en esa lista.

tfwfactory
13/05/2014, 19:33
Al igual que otros compañeros del foro , hemos enviado a OVH muchas IPs que eran de servidores de OVH , en concreto había muchos ataques que intentaban escanear posibles webs o ruta a phpmyadmin como a sistemas o administraciones web conocidas y muchísimos ataques reitero venían de OVH , en otros casos de Rusia , etc , que con un bloqueo a ese país basta , el problema es cuando es de redes propias , donde no puedes bloquear paises como Francia , etc , ultimamente tambien hemos visto ataques e intentos de intrusión desde la red de OVH en Canada , aunque los más desde Francia , sinembargo no han hecho mucho y siempre que hemos reportado esto no nos han confirmado nada , pero las IPs seguían funcionando y casi todos los ataques venían de otros KS

Creo que OVH debería de tener un papel activo en esto y desde luego una responsabilidad , ya que no solo son KS sino muchos VPS son usados para Spam y tambien para hacer ataques y escaneos

De paso denunciar que el tema del Spam o detector de Spam de OVH está causando problemas ya que casi siempre son falsos positivos y esto perjudica , si no funciona y causa problemas retiren este temita del puerto 25 y su bloqueo de una vez , saludos

Samael
13/05/2014, 17:37
Si esos ataques también son a otras redes y toman la misma decisión de bloquear los rangos enteros de OVH muchos estaremos con problemas cuando nuestros servidores se quieran comunicar con ellos en una transacción real, de verdad eso puede ser perjudicial, si OVH no hace algo para parar eso estaremos todos un día de estos con todo capado.

deimos81
13/05/2014, 08:00
Yo sufro a diario ataques desde ovh, ya estoy empezando a bloquear rangos enteros... dudo que ningún cliente navegue desde sus servidores dedicados para visitar mis webs.

azazels
12/05/2014, 09:18
yo tambien llevo varios "ataques" desde IPs de OVH/kimsufi.

acabo de mandar un email con log a soporte a ver si les ayuda...

kennysamuerto
11/05/2014, 23:46
Cita Publicado inicialmente por Samael
Vale Kenny como siempre mis server los saco con lo básico no sabía eso, pero el que no sabe y no te llega a leer se come en que es OVH el que está dando ese ataque, es de seguro que no fui el único que lo recibió.

Saludos...
Si, ojo, si lo entiendo perfectamente que se pueda pensar que es de OVH el servidor. Solo era para, que a modo de informacion, supierais que se trata en realidad de su distro.

Saludos!

Samael
09/05/2014, 19:03
Hoy tengo respuesta del correo enviado con asunto #Reporte Log para Adrian Gonzalez.
Estimado cliente,
Le informamos que nuestro compañero Adrían no se encuentra en estos momentos disponible, rogamos por favor nos detalle el motivo de su comunicado para poder ayudarle.

Pero si el motivo lo adjunte en el correo: Reporte intento hackeo IP: 94.23.1.153
Naaaaa, chao esto es un circo, plop!!!

Siliconworld: no pierdas tiempo enviando logs no sirven de nada.

Siliconworld
09/05/2014, 11:30
Cita Publicado inicialmente por Samael
Vale Kenny como siempre mis server los saco con lo básico no sabía eso, pero el que no sabe y no te llega a leer se come en que es OVH el que está dando ese ataque, es de seguro que no fui el único que lo recibió.

Saludos...

Ten seguro que no fuiste el único al que le intento esa IP, en varios servidores nuestros le tenemos metidos en lista al buscarlo en el csf/lfd:

Código:
Searching for 94.23.1.153...

Chain       num pkts bytes target    prot opt in  out source       destination         

DENYIN      46     0     0 DROP      tcp  --  !lo *   94.23.1.153  0.0.0.0/0   tcp dpt:20
DENYIN      47     0     0 DROP      tcp  --  !lo *   94.23.1.153  0.0.0.0/0   tcp dpt:21

PREROUTING  32     1    60 REDIRECT  tcp  --  !lo *   94.23.1.153  0.0.0.0/0   multiport dports 21 redir ports 8889
Código:
tcp|in|d=20|s=94.23.1.153 # lfd: (ftpd) Failed FTP login from 94.23.1.153 (FR/France/ns365034.ovh.net): 10 in the last 3600 secs - Fri May  2 22:24:35 2014
tcp|in|d=21|s=94.23.1.153 # lfd: (ftpd) Failed FTP login from 94.23.1.153 (FR/France/ns365034.ovh.net): 10 in the last 3600 secs - Fri May  2 22:24:35 2014
Y como esto lo mismo en el csf/lfd de unos 10 servidores más (los que he mirado por ahora) a distintas horas, días y servicios. No obstante ayer reenvié unos cuantos reportes del csf/lfd de atacantes desde OVH (incluido esta ip) al mail que nos dijo Adrián, aunque por ahora sigue estando activo ese servidor y supongo enviando ataques.

Un Saludo

Samael
09/05/2014, 02:25
Vale Kenny como siempre mis server los saco con lo básico no sabía eso, pero el que no sabe y no te llega a leer se come en que es OVH el que está dando ese ataque, es de seguro que no fui el único que lo recibió.

Saludos...

kennysamuerto
08/05/2014, 18:55
Cita Publicado inicialmente por Samael
Lo que veo más mal y por lo que lo puse acá ya que lógicamente no es la única IP que hace esto, es que al entrar a la IP aparece el logo de OVH. Los servidores cuando se entregan no se entregan con logo, entonces o es una maquina real que está usando OVH y la tiene mal administrada algo pésimo o están usando el logo para aparentar, si es una maquina de OVH es muy feo.

Correo enviado.

Siliconworld
Yo antes hacía lo mismo enviaba todo reporte de OVH, hasta que un lindo técnico interpreto mal el log, lo leyó al revés y me amenazaron a mí que me cerrarían el servidor si seguía lanzando ataques, luego me costó muchos correos hacer entender que no era yo el del ataque y que solo leyeron mal el log, a veces da miedo.

Saludos...
No, no tiene nada que ver. Las distribuciones que se gestionan mediante el panel de OVH (bueno, sobre un webmin con un modulo para gestionar dominios creado por OVH), llevan la imagen que indicas de fondo con el logo de OVH.

No es que sea una maquina gestionada por OVH, sino una maquina con la distro de OVH (la de webmin+modulo para gestionar dominios) instalada.

Saludos

Samael
08/05/2014, 16:40
Lo que veo más mal y por lo que lo puse acá ya que lógicamente no es la única IP que hace esto, es que al entrar a la IP aparece el logo de OVH. Los servidores cuando se entregan no se entregan con logo, entonces o es una maquina real que está usando OVH y la tiene mal administrada algo pésimo o están usando el logo para aparentar, si es una maquina de OVH es muy feo.

Correo enviado.

Siliconworld
Yo antes hacía lo mismo enviaba todo reporte de OVH, hasta que un lindo técnico interpreto mal el log, lo leyó al revés y me amenazaron a mí que me cerrarían el servidor si seguía lanzando ataques, luego me costó muchos correos hacer entender que no era yo el del ataque y que solo leyeron mal el log, a veces da miedo.

Saludos...

Siliconworld
08/05/2014, 14:42
Cita Publicado inicialmente por suicidal
Esto no es nuevo... Report y listo, aunque para lo que sirven los reports...
Si solo es uno incluso es suerte...

En una semana en nuestros servidores podemos acumular más de 100 reportes del CSF/LFD de bloqueos de intentos de login, portscans, flood, etc... de máquinas de OVH de todo tipo, antes nos molestábamos en ir reenviando al mail de abuse de OVH los reportes del CSF/LFD tal cual llegaban, pero como vimos que no hacían nada y la máquina seguía operativa días después y con sus intentos hasta que se aburrían, pues ya pasamos del tema, mucho servidor descuidado/desatendido en OVH o mal gestionado.

Un Saludo.

EDIT:
Cita Publicado inicialmente por Adrián OVH
Estimado 'Samael',

¿Podría hacerme llegar el log a mi atención directamente a 'soporte@ovh.es'?

Reportaré el caso para que el origen sea bloqueado.

Disculpe los inconvenientes.

Adrián González
OVH Hispano
Bueno mira, se agradece esta alternativa, supongo que la cuenta de abuse estará saturada constantemente, volveremos a enviar los reportes a este email que nos dices Adrián.

Gracias.

Adrián OVH
08/05/2014, 14:36
Estimado 'Samael',

¿Podría hacerme llegar el log a mi atención directamente a 'soporte@ovh.es'?

Reportaré el caso para que el origen sea bloqueado.

Disculpe los inconvenientes.

Adrián González
OVH Hispano

suicidal
08/05/2014, 13:13
Esto no es nuevo... Report y listo, aunque para lo que sirven los reports...

Samael
08/05/2014, 00:27
Time: Wed May 7 19:15:09 2014 -0400
IP: 94.23.1.153 (FR/France/ns365034.ovh.net)
Failures: 10 (ftpd)
Interval: 300 seconds
Blocked: Temporary Block

Log entries:

May 07 19:15:02 ns1.mi-dominio.tld proftpd[22927] MI-IP (94.23.1.153[94.23.1.153]): USER sorstrade: no such user found from 94.23.1.153 [94.23.1.153] to ::ffff:MI-IP:21
May 07 19:15:03 ns1.mi-dominio.tld proftpd[22929] MI-IP (94.23.1.153[94.23.1.153]): USER sorstrade: no such user found from 94.23.1.153 [94.23.1.153] to ::ffff:MI-IP:21
May 07 19:15:03 ns1.mi-dominio.tld proftpd[22931] MI-IP (94.23.1.153[94.23.1.153]): USER sorstrade: no such user found from 94.23.1.153 [94.23.1.153] to ::ffff:MI-IP:21
May 07 19:15:03 ns1.mi-dominio.tld proftpd[22933] MI-IP (94.23.1.153[94.23.1.153]): USER sorstrade: no such user found from 94.23.1.153 [94.23.1.153] to ::ffff:MI-IP:21
May 07 19:15:04 ns1.mi-dominio.tld proftpd[22935] MI-IP (94.23.1.153[94.23.1.153]): USER sorstrade: no such user found from 94.23.1.153 [94.23.1.153] to ::ffff:MI-IP:21
May 07 19:15:04 ns1.mi-dominio.tld proftpd[22938] MI-IP (94.23.1.153[94.23.1.153]): USER sorstrade: no such user found from 94.23.1.153 [94.23.1.153] to ::ffff:MI-IP:21
May 07 19:15:05 ns1.mi-dominio.tld proftpd[22940] MI-IP (94.23.1.153[94.23.1.153]): USER sorstrade: no such user found from 94.23.1.153 [94.23.1.153] to ::ffff:MI-IP:21
May 07 19:15:05 ns1.mi-dominio.tld proftpd[22942] MI-IP (94.23.1.153[94.23.1.153]): USER sorstrade: no such user found from 94.23.1.153 [94.23.1.153] to ::ffff:MI-IP:21
May 07 19:15:05 ns1.mi-dominio.tld proftpd[22944] MI-IP (94.23.1.153[94.23.1.153]): USER sorstrade: no such user found from 94.23.1.153 [94.23.1.153] to ::ffff:MI-IP:21
May 07 19:15:06 ns1.mi-dominio.tld proftpd[22947] MI-IP (94.23.1.153[94.23.1.153]): USER sorstrade: no such user found from 94.23.1.153 [94.23.1.153] to ::ffff:MI-IP:21

Muy lindo y cuando accedo a la IP atacante 94.23.1.153 sale un lindo logo de OVH