OVH Community, your new community space.

Servidor hackeado y bloqueado en modo Rescue ftp/Pro


clopezi
04/10/2014, 15:53
Desde rescue-pro debes poder salvarlas sí, da igual que sean InnoDB o MyISAM

Monta el disco, busca las rutas y sálvalas.

En el foro francés hay un hilo al respecto: http://forum.ovh.com/showthread.php?...se-de-donn%E9e

Yhoni1
04/10/2014, 12:57
Cita Publicado inicialmente por clopezi
Sé que probablemente sea muy tarde, pero copias de seguridad. Con copias de seguridad un servidor lo vuelves a levantar en unas horas salvo que tengas mil configuraciones muy concretas.

Si te han hackeado, es complicado analizar hasta donde han entrado y si es todo salvable
El problema es que no tengo copias de las bases de datos de mysql actualizadas.

¿Las bases de MyISAM se pueden pasar de un servidor a otro copiando directamente los archivos .frm .MYD .MYI ?

¿ podría desde el modo "rescue pro" exportar las bases de datos con tablas InnoDB de alguna manera ?

clopezi
04/10/2014, 11:53
Sé que probablemente sea muy tarde, pero copias de seguridad. Con copias de seguridad un servidor lo vuelves a levantar en unas horas salvo que tengas mil configuraciones muy concretas.

Si te han hackeado, es complicado analizar hasta donde han entrado y si es todo salvable

Yhoni1
04/10/2014, 10:00
Cita Publicado inicialmente por GilLeonardo
tienes instalado algún antimalware en tu servidor? Creo es mejor instalar el servidor nuevamente y implementar seguridad...
Hola, no tengo ningun antimalware en mi ubuntu server.

Sobre el consejo de instalar el servidor nuevamente, es una idea que no quiero ni pensar en volver a levantarlo todo de nuevo, servidor dns, servidor web y servidor de correo...

¿ algún consejo para evitar tener que reinstalalo todo ?

GilLeonardo
04/10/2014, 06:42
tienes instalado algún antimalware en tu servidor? Creo es mejor instalar el servidor nuevamente y implementar seguridad...

Yhoni1
03/10/2014, 09:00
Hola, me ha enviado el servicio de Ovh el siguiente mensaje informandome que mi ubuntu server ha sido hackeado:

De : OVH - Anti-hack Para : yy610-ovh Ocultar el mensaje
Fecha : 2014-09-28 02:53:51



Estimado(a) Cliente,

Su servidor ks26xxx.kimsufi.com representa una gran amenaza para nuestra red por lo que no hemos tenido mas remedio que colocarlo en modo 'rescue FTP'. Un identificador y una contrasena le han sido enviadas por mail con el fin de que pueda recuperar los datos todavia disponibles en su espacio de almacenamiento .

No dude en contactar con nuestro soporte tecnico para que esta situacion no se vuelva critica.

Podra encontrar mas abajo los logs indicados por nuestro sistema que han dado lugar a esta alerta.

- INICIO DE INFORMACIONES COMPLEMENTARIAS -

Attack detail : 30K scans
dateTime srcIp:srcPort dstIp:dstPort protocol flags bytes reason
2014.09.28 02:49:01 CEST 91.121.82.43:53124 15.0.52.94080 TCP SYN 60 SCAN:SYN
2014.09.28 02:49:01 CEST 91.121.82.43:39353 15.0.52.96080 TCP SYN 60 SCAN:SYN
2014.09.28 02:49:01 CEST 91.121.82.43:33381 15.0.52.123080 TCP SYN 60 SCAN:SYN
2014.09.28 02:49:01 CEST 91.121.82.43:53936 15.0.52.124080 TCP SYN 60 SCAN:SYN
2014.09.28 02:49:01 CEST 91.121.82.43:50516 15.0.52.126080 TCP SYN 60 SCAN:SYN
2014.09.28 02:49:01 CEST 91.121.82.43:48216 15.0.52.129080 TCP SYN 60 SCAN:SYN
2014.09.28 02:49:01 CEST 91.121.82.43:56326 15.0.52.137080 TCP SYN 60 SCAN:SYN
2014.09.28 02:49:01 CEST 91.121.82.43:41882 15.0.52.139080 TCP SYN 60 SCAN:SYN
2014.09.28 02:49:01 CEST 91.121.82.43:43161 15.0.52.141080 TCP SYN 60 SCAN:SYN
2014.09.28 02:49:01 CEST 91.121.82.43:42466 15.0.52.142080 TCP SYN 60 SCAN:SYN
2014.09.28 02:49:01 CEST 91.121.82.43:35121 15.0.52.152080 TCP SYN 60 SCAN:SYN
2014.09.28 02:49:01 CEST 91.121.82.43:45645 15.0.52.155080 TCP SYN 60 SCAN:SYN
2014.09.28 02:49:01 CEST 91.121.82.43:45179 15.0.52.158080 TCP SYN 60 SCAN:SYN
2014.09.28 02:49:01 CEST 91.121.82.43:34765 15.0.52.163080 TCP SYN 60 SCAN:SYN
2014.09.28 02:49:01 CEST 91.121.82.43:54967 15.0.52.166080 TCP SYN 60 SCAN:SYN
2014.09.28 02:49:01 CEST 91.121.82.43:45488 15.0.52.171080 TCP SYN 60 SCAN:SYN
2014.09.28 02:49:01 CEST 91.121.82.43:50081 15.0.52.173080 TCP SYN 60 SCAN:SYN
2014.09.28 02:49:01 CEST 91.121.82.43:45763 15.0.52.178080 TCP SYN 60 SCAN:SYN
2014.09.28 02:49:01 CEST 91.121.82.43:48582 15.0.52.180080 TCP SYN 60 SCAN:SYN
2014.09.28 02:49:01 CEST 91.121.82.43:48968 15.0.52.104080 TCP SYN 60 SCAN:SYN



- FIN DE LAS INFORMACIONES COMPLEMENTARIAS -

Cordialmente,

Soporte cliente OVH.
He descargado por ftp todo lo que he podido y ahora tengo el servidor en modo REscue Pro para conectarme por ssh.

¿ alguien sabe como podría buscar y eliminar el hack para ver si OVH me reactiva el servidor sin tener que reinstalar todo el sistema ?.

Mil Gracias.