We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Bloqueo del VPS por el sistema Anti-hack


mgsalinero
08/12/2014, 18:48
Ya hubo varios post con lo mismo, lo dije y lo vuelvo a repetir.

Se detecto una vulnerabilidad en el bash, este bug permite que cualquiera pueda ejecutar una orden o un comando dentro de tu servidor, y es lo que han hecho.

Se dijo que era IMPRESCINDIBLE actualizar el bash, se dijo y se redijo, y aún así muchos servidores fueron cerrados por lo mismo. Lo primero que hay que hacer tras instalar un sistema operativo en un servidor es actualizar TODO el sistema y sus paquetes antes de hacer cualquier cosa. Y luego, periódicamente actualizar el sistema.

Este bug se llama "shellshock" y por ello OVH ha cerrado ya varios servidores.

Recordad que los responsables de mantener un VPS o dedicado es vuestra.

Para recuperar el servidor creo que lo puedes desbloquear a traves del manager en la sección "IPs". sin embargo te recomiendo la limpieza completa del sistema.

Un saludo

Aetharan
08/12/2014, 12:23
Hace dos días contraté un VPS para trabajar en un proyecto con un amigo. Soy bastante novato en este mundo, asi que ayer estaba aprendiendo a navegar a través de SSH (desde el movil con una aplicación bastante descargada y bien puntuada) y probando los comandos mas básicos (cd, ls, etc) cuando de repente me llega un mensaje del sistema anti-hack comunicandome que mi servidor ha sido bloqueado porque he incumplido el contrato y que se ha abierto un ticket en soporte.

El mensaje era el siguiente:

Código:
Estimado/a cliente:

Se ha detectado una actividad anomala en su VPS.

Debido a que esto infringe los terminos del contrato, hemos bloqueado su VPS.

A continuacion encontrara los logs generados por nuestro sistema que han activado la alerta.

------------

Attack detail : 45Kpps/1Mbps
dateTime                   srcIp:srcPort           dstIp:dstPort           protocol flags       bytes reason               
2014.12.07 18:44:48 CET    :15215     115.238.187.15:80       TCP      SYN            40 ATTACK:TCP_SYN       
2014.12.07 18:44:48 CET    :32835     115.238.187.16:80       TCP      SYN            40 ATTACK:TCP_SYN       
2014.12.07 18:44:48 CET    :48484     115.238.186.232:80      TCP      SYN            40 ATTACK:TCP_SYN       
2014.12.07 18:44:48 CET    :46148     115.238.187.27:80       TCP      SYN            40 ATTACK:TCP_SYN       
2014.12.07 18:44:48 CET    :26615     115.238.187.26:80       TCP      SYN            40 ATTACK:TCP_SYN       
2014.12.07 18:44:48 CET    :19121     115.238.187.45:80       TCP      SYN            40 ATTACK:TCP_SYN       
2014.12.07 18:44:48 CET    :10890     115.238.187.139:80      TCP      SYN            40 ATTACK:TCP_SYN       
2014.12.07 18:44:48 CET    :10394     115.238.187.114:80      TCP      SYN            40 ATTACK:TCP_SYN       
2014.12.07 18:44:48 CET    :48127     115.238.187.164:80      TCP      SYN            40 ATTACK:TCP_SYN       
2014.12.07 18:44:48 CET    :5400      115.238.187.175:80      TCP      SYN            40 ATTACK:TCP_SYN       
2014.12.07 18:44:48 CET    :37840     115.238.187.176:80      TCP      SYN            40 ATTACK:TCP_SYN       
2014.12.07 18:44:48 CET    :19452     115.238.187.174:80      TCP      SYN            40 ATTACK:TCP_SYN       
2014.12.07 18:44:48 CET    :47430     115.238.187.171:80      TCP      SYN            40 ATTACK:TCP_SYN       
2014.12.07 18:44:48 CET    :61802     115.238.187.177:80      TCP      SYN            40 ATTACK:TCP_SYN       
2014.12.07 18:44:48 CET    :86        115.238.187.185:80      TCP      SYN            40 ATTACK:TCP_SYN       
2014.12.07 18:44:48 CET    :14112     115.238.187.200:80      TCP      SYN            40 ATTACK:TCP_SYN       
2014.12.07 18:44:48 CET    :35133     115.238.187.209:80      TCP      SYN            40 ATTACK:TCP_SYN       
2014.12.07 18:44:48 CET    :46798     115.238.187.211:80      TCP      SYN            40 ATTACK:TCP_SYN       
2014.12.07 18:44:48 CET    :65066     115.238.187.216:80      TCP      SYN            40 ATTACK:TCP_SYN       
2014.12.07 18:44:48 CET    :16394     115.238.187.235:80
Yo respondí inmediatamente al mensaje y explicando lo que ya he comentado anteriormente y hace unos minutos he obtenido la siguiente respuesta:

Código:
Dear customer,

In fact, when we detect outcoming flux from one of our ips,


we react by informing our clients to verify the origin of
the
problem and bring necessary reactions.

because if the problem persist, you will risk a suspension
of the 
server.
El VPS solo tenia instalado un servidor de juego para testear cosas, del que solo mi compañero y yo teniamos la IP. El servidor era para uso propio. No teniamos instalado ningún otro servicio.

Por favor.... ¿alguien puede decirme qué ha ocurrido y como puedo recuperar el VPS que contraté hace dos dias?

Gracias por la atención.