We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

ataques ddos ips de ovh, que debo hacer para que sancionen a ese usuario?


alvaroag
05/10/2016, 15:49
Cita Publicado inicialmente por pepejlr
¿Ese ataque te consume el ancho de banda disponible de tu servidor? ¿Tira todos los servicios o solo tira el servicio HTTP (Apache o Nginx)?

Me extraña que un paquete HTTP malformado consiga tirar toda una máquina entera. Parece que la solución pasa por escanear el paquete, buscar algún tipo de patrón y filtrarlo con un deny en HTTP o en IPtables.



No tiene nada que ver. El email de OVH es únicamente informativo y explica que el servicio hacia los usuarios de Movistar está siendo inestable debido a un ataque procedente del AS de Telefónica de España usando firmware con vulnerabilidades en cámaras web conectadas a Internet y que OVH intenta mitigar con poco éxito.
Más que "mitigar con poco éxito", el problema es que el ataque satura el enlace entre OVH y Telefonica. Al final tuvieron que desviar el tráfico por otros proveedores de tránsito.

pepejlr
05/10/2016, 03:14
¿Ese ataque te consume el ancho de banda disponible de tu servidor? ¿Tira todos los servicios o solo tira el servicio HTTP (Apache o Nginx)?

Me extraña que un paquete HTTP malformado consiga tirar toda una máquina entera. Parece que la solución pasa por escanear el paquete, buscar algún tipo de patrón y filtrarlo con un deny en HTTP o en IPtables.

Cita Publicado inicialmente por victorsanchiz
Puede ser que también afecte a los servidores de todos los usuarios de ovh los ataques? porque todas las webs los pasados días han estado caidas en varios momentos y ahora acabo de recibir un email de ovh explicandolo pero no entiendo nada basicamente
No tiene nada que ver. El email de OVH es únicamente informativo y explica que el servicio hacia los usuarios de Movistar está siendo inestable debido a un ataque procedente del AS de Telefónica de España usando firmware con vulnerabilidades en cámaras web conectadas a Internet y que OVH intenta mitigar con poco éxito.

ohenry
04/10/2016, 20:10
¿Sin solución?

http://guia-paginas.com/virus-archivos-odin/

victorsanchiz
08/09/2016, 19:35
Puede ser que también afecte a los servidores de todos los usuarios de ovh los ataques? porque todas las webs los pasados días han estado caidas en varios momentos y ahora acabo de recibir un email de ovh explicandolo pero no entiendo nada basicamente

killexx
04/07/2016, 04:38
bueno aun quede en vias de la solucion, pero como se que son ataques con proxys cada vez que recibo uno nuevo escaneo unas cuantas ip y actualizo una lista que tengo, ya llevo 37000 ip baneadas

NDCdHost
04/07/2016, 04:31
Killex, en mi caso me pasado con ataques y entradas de fuerza bruta a cPanel, con IP de OVH, lo cual enviado ticket de soporte.
Hasta el momento nunca han respondido por ese tema, trata de usar csf, ya que tiene una opción de bloquear dichas IP que han generado almeno un ataques DDos.

killexx
30/06/2016, 01:30
parece un ataque miserable con ese log, la mayoria de paquetes son syn pero el problema es que nada lo detiene, he tirado unos 300$ esta semana cambiando proveedor y pagando servidor managed y hasta el momento igual.

las ip de ovh las mande a abuso porque en cierto modo se que a la gente la terminan sancionando porque a otro personaje que tenia servidores para hacer lo mismo le cancelaron la cuenta. y tambien se que si llegasen al menos a ponerle una infraccion se queda quieto porque es el mismo "de chile" que me ataca siempre por rivalidad.

otro tipo de ataques con stressers se los traga el firewall sin novedad pero este si no he visto manera

alvaroag
30/06/2016, 00:56
Comenzando a leer tu mensaje, iba a sugerirte que envíes el caso a abuse, pero veo que ya has hecho eso. En cuanto a OVH, es lo único que puedes hacer. El staff de soporte, que son los que administran este foro, te dirán lo mismo, ya que los equpos que ven los casos de abuse no están en contacto directo con los usuarios.

Sobre los casos reportados a buse, debes tener en cuenta que, debido al tamaño y la cantidad de clientes de OVH, reciben muchos reportes de abuso, por lo que no deberías esperar una respuesta y/o acción inmediata

Lo que recibes en realidad no son ataques DDOS. Como mucho podrían ser considerados ataques a nivel de aplicación. Un ataque DDOS es algo mucho más complejo, y es a nivel de red.

Basado en mi experiencia como sysadmin, te puedo decir que no te preocupes mucho por esto, ya que así como recibes ataques desde esas IPs de OVH, los recibirás de todas partes del mundo. Yo, administrando unos 20 servidores, recibo hasta 200000 intentos de acceso diariamente entre todos los servidores, y en la mayoría de los casos, mandar al abuse respectivo no me serviría de nada, pues son de ISPs a los que no les importan los reclamos(como ChinaNet, por ejemplo).

Lo mejor que puedes hacer es mantener tus servidores actualizados y asegurados, con políticas de seguridad(tanto firewall como aplicación) lo más restrictivas posibles.

killexx
29/06/2016, 23:38
bueno dado que ya me esta reventando la cabeza este problema quisiera que me ayudaran a ver si soy yo que reporto de manera incorrecta las IP que me estan atacando.

Llevo ya 1 semana en esto otra persona que tiene un dedicado o varios supongo en ovh cada vez que quiere me hace ataques con proxy y me satura los servicios, no he conseguido detener este ataque de ningun modo, ni el vac en mitigacion permanente hace nada.

Un amigo me ayudo a descubrir los headers en unas peticiones HTTP que se vienen mezcladas con el ataque (SYN+ACK+HTTP GET) y siempre al final se muestra la ip de origen la cual en los whois es proveniente de OVH, envie un ticket a abuso para que lo sancionen pero aun me sigue atacando al paso de 2 dias y de verdad es molesto que dejen que usen sus servicios para estos fines

En mi ticket de abuso (abuse.ovh.net) especifico que recibo ataques proxy a el puerto tcp que ven desde esa ip, y envio el archivo pcap y parte del log que saque del mismo

El primer escaneo que envie lo hice con tcpdump y el segundo con wireshark porque el primer servicio es un servidor WHM con haproxy y el segundo un vps windows

espero que me puedan guiar o algun staff de ovh me diga como es el proceso

Código:
88      0.107697        103[.]43[.]44[.]61      xxx[.]99[.]157[.]61     HTTP    495     GET / HTTP/1.1
0000   02 00 00 db 2e 30 00 ff ff ff ff fd 08 00 45 24  .....0........E$
0010   01 e1 20 76 40 00 34 06 33 74 67 2b 2c 3d c0 63  .. v@.4.3tg+,=.c
0020   9d 3d cd 08 ae f0 65 1f 33 1c d2 73 0d ab 80 18  .=....e.3..s....
0030   00 73 5d 32 00 00 01 01 08 0a 92 20 15 90 07 3d  .s]2....... ...=
0040   7b 4f 47 45 54 20 2f 20 48 54 54 50 2f 31 2e 31  {OGET / HTTP/1.1
0050   0d 0a 48 6f 73 74 3a 20 31 39 32 2e 39 39 2e 31  ..Host: xxx.99.1
0060   35 37 2e 36 31 3a 34 34 37 38 34 0d 0a 55 73 65  57.61:44784..Use
0070   72 2d 41 67 65 6e 74 3a 20 4d 6f 7a 69 6c 6c 61  r-Agent: Mozilla
0080   2f 35 2e 30 20 28 58 31 31 3b 20 4c 69 6e 75 78  /5.0 (X11; Linux
0090   20 78 38 36 5f 36 34 29 20 41 70 70 6c 65 57 65   x86_64) AppleWe
00a0   62 4b 69 74 2f 35 33 36 2e 35 20 28 4b 48 54 4d  bKit/536.5 (KHTM
00b0   4c 2c 20 6c 69 6b 65 20 47 65 63 6b 6f 29 20 43  L, like Gecko) C
00c0   68 72 6f 6d 65 2f 31 39 2e 30 2e 31 30 38 34 2e  hrome/19.0.1084.
00d0   39 20 53 61 66 61 72 69 2f 35 33 36 2e 35 0d 0a  9 Safari/536.5..
00e0   41 63 63 65 70 74 2d 45 6e 63 6f 64 69 6e 67 3a  Accept-Encoding:
00f0   20 67 7a 69 70 2c 20 64 65 66 6c 61 74 65 0d 0a   gzip, deflate..
0100   56 69 61 3a 20 31 2e 31 20 65 6e 67 69 6e 65 2e  Via: 1.1 engine.
0110   69 6e 64 65 78 73 69 74 65 2e 69 64 20 28 73 71  indexsite.id (sq
0120   75 69 64 2f 33 2e 33 2e 38 29 0d 0a 58 2d 46 6f  uid/3.3.8)..X-Fo
0130   72 77 61 72 64 65 64 2d 46 6f 72 3a 20 32 33 38  rwarded-For: 238
0140   2e 34 31 2e 34 38 2e 31 36 35 2c 20 32 33 33 2e  .41.48.165, 233.
0150   31 31 38 2e 31 33 30 2e 31 39 35 2c 20 33 35 2e  118.130.195, 35.
0160   38 34 2e 31 37 32 2e 34 39 2c 20 31 39 31 2e 32  84.172.49, 191.2
0170   30 2e 31 32 2e 31 38 36 2c 20 33 38 2e 36 33 2e  0.12.186, 38.63.
0180   31 39 34 2e 31 38 38 2c 20 38 33 2e 32 30 37 2e  194.188, 83.207.
0190   34 34 2e 33 35 2c 20 38 2e 31 31 35 2e 31 33 34  44.35, 8.115.134
01a0   2e 32 34 37 2c 20 31 36 37 2e 31 31 34 2e 31 32  .247, 167.114.12
01b0   36 2e 36 32 0d 0a 43 61 63 68 65 2d 43 6f 6e 74  6.62..Cache-Cont
01c0   72 6f 6c 3a 20 6d 61 78 2d 61 67 65 3d 32 35 39  rol: max-age=259
01d0   32 30 30 0d 0a 43 6f 6e 6e 65 63 74 69 6f 6e 3a  200..Connection:
01e0   20 6b 65 65 70 2d 61 6c 69 76 65 0d 0a 0d 0a      keep-alive....

276     0.326248        203[.]192[.]12[.]149   xxx[.]99[.]157[.]61     HTTP    380     GET / HTTP/1.1
0000   02 00 00 db 2e 30 00 ff ff ff ff fd 08 00 45 24  .....0........E$
0010   01 6e 82 12 40 00 28 06 99 5d cb c0 0c 95 c0 63  .n..@.(..].....c
0020   9d 3d 6f 49 ae f0 4e 19 58 6b c9 55 4a a1 80 18  .=oI..N.Xk.UJ...
0030   00 2e a2 c1 00 00 01 01 08 0a 33 37 db 6c 07 3d  ..........37.l.=
0040   7b 83 47 45 54 20 2f 20 48 54 54 50 2f 31 2e 31  {.GET / HTTP/1.1
0050   0d 0a 48 6f 73 74 3a 20 31 39 32 2e 39 39 2e 31  ..Host: xxx.99.1
0060   35 37 2e 36 31 3a 34 34 37 38 34 0d 0a 55 73 65  57.61:44784..Use
0070   72 2d 41 67 65 6e 74 3a 20 4f 70 65 72 61 2f 39  r-Agent: Opera/9
0080   2e 38 30 20 28 57 69 6e 64 6f 77 73 20 4e 54 20  .80 (Windows NT
0090   36 2e 30 29 20 50 72 65 73 74 6f 2f 32 2e 31 32  6.0) Presto/2.12
00a0   2e 33 38 38 20 56 65 72 73 69 6f 6e 2f 31 32 2e  .388 Version/12.
00b0   31 34 0d 0a 41 63 63 65 70 74 2d 45 6e 63 6f 64  14..Accept-Encod
00c0   69 6e 67 3a 20 67 7a 69 70 2c 20 64 65 66 6c 61  ing: gzip, defla
00d0   74 65 0d 0a 58 2d 46 6f 72 77 61 72 64 65 64 2d  te..X-Forwarded-
00e0   46 6f 72 3a 20 31 36 37 2e 32 32 39 2e 35 32 2e  For: 167.229.52.
00f0   31 36 33 2c 20 31 32 35 2e 37 30 2e 31 30 34 2e  163, 125.70.104.
0100   31 32 39 2c 20 32 34 31 2e 32 31 31 2e 31 32 38  129, 241.211.128
0110   2e 31 36 2c 20 31 34 35 2e 32 32 36 2e 36 32 2e  .16, 145.226.62.
0120   31 39 37 2c 20 38 38 2e 32 34 31 2e 31 35 36 2e  197, 88.241.156.
0130   34 34 2c 20 31 30 33 2e 37 37 2e 32 36 2e 32 30  44, 103[.]77[.]26[.]20
0140   30 2c 20 33 35 2e 35 32 2e 31 35 35 2e 32 34 33  0, 35[.]52[.]155[.]243
0150   2c 20 31 36 37 2e 31 31 34 2e 31 32 36 2e 36 32  , 167[.]114[.]126[.]62
0160   0d 0a 43 6f 6e 6e 65 63 74 69 6f 6e 3a 20 4b 65  ..Connection: Ke
0170   65 70 2d 41 6c 69 76 65 0d 0a 0d 0a              ep-Alive....

591     0.667554        178[.]22[.]148[.]122    xxx[.]99[.]157[.]61     HTTP    445     GET / HTTP/1.1
0000   02 00 00 db 2e 30 00 ff ff ff ff fd 08 00 45 24  .....0........E$
0010   01 af 01 7d 40 00 32 06 a1 76 b2 16 94 7a c0 63  ...}@.2..v...z.c
0020   9d 3d 80 f1 ae f0 72 8a ce f2 47 e2 4e 9e 80 18  .=....r...G.N...
0030   00 5c 98 db 00 00 01 01 08 0a d8 51 d2 9b 07 3d  .\.........Q...=
0040   7b b2 47 45 54 20 2f 20 48 54 54 50 2f 31 2e 31  {.GET / HTTP/1.1
0050   0d 0a 48 6f 73 74 3a 20 31 39 32 2e 39 39 2e 31  ..Host: xxx.99.1
0060   35 37 2e 36 31 3a 34 34 37 38 34 0d 0a 55 73 65  57.61:44784..Use
0070   72 2d 41 67 65 6e 74 3a 20 4d 6f 7a 69 6c 6c 61  r-Agent: Mozilla
0080   2f 35 2e 30 20 28 58 31 31 3b 20 55 62 75 6e 74  /5.0 (X11; Ubunt
0090   75 3b 20 4c 69 6e 75 78 20 78 38 36 5f 36 34 3b  u; Linux x86_64;
00a0   20 72 76 3a 32 34 2e 30 29 20 47 65 63 6b 6f 2f   rv:24.0) Gecko/
00b0   32 30 31 30 30 31 30 31 20 46 69 72 65 66 6f 78  20100101 Firefox
00c0   2f 32 34 2e 30 0d 0a 41 63 63 65 70 74 2d 45 6e  /24.0..Accept-En
00d0   63 6f 64 69 6e 67 3a 20 67 7a 69 70 2c 20 64 65  coding: gzip, de
00e0   66 6c 61 74 65 0d 0a 56 69 61 3a 20 31 2e 31 20  flate..Via: 1.1
00f0   6c 6f 63 61 6c 68 6f 73 74 20 28 73 71 75 69 64  localhost (squid
0100   2f 33 2e 31 2e 31 39 29 0d 0a 58 2d 46 6f 72 77  /3.1.19)..X-Forw
0110   61 72 64 65 64 2d 46 6f 72 3a 20 31 32 2e 31 38  arded-For: 12.18
0120   39 2e 32 32 39 2e 32 35 31 2c 20 31 34 2e 32 34  9.229.251, 14.24
0130   34 2e 31 37 37 2e 31 37 34 2c 20 35 2e 32 33 37  4.177.174, 5.237
0140   2e 32 2e 31 33 37 2c 20 38 36 2e 34 35 2e 37 37  .2.137, 86.45.77
0150   2e 31 30 38 2c 20 32 34 34 2e 36 2e 31 32 34 2e  .108, 244.6.124.
0160   31 38 33 2c 20 36 34 2e 32 31 38 2e 31 34 38 2e  183, 64.218.148.
0170   37 32 2c 20 31 36 37 2e 31 31 34 2e 31 32 36 2e  72, 167.114.126.
0180   36 32 0d 0a 43 61 63 68 65 2d 43 6f 6e 74 72 6f  62..Cache-Contro
0190   6c 3a 20 6d 61 78 2d 61 67 65 3d 32 35 39 32 30  l: max-age=25920
01a0   30 0d 0a 43 6f 6e 6e 65 63 74 69 6f 6e 3a 20 6b  0..Connection: k
01b0   65 65 70 2d 61 6c 69 76 65 0d 0a 0d 0a           eep-alive....

593     0.667981        197[.]243[.]50[.]242    xxx[.]99[.]157[.]61     HTTP    508     GET / HTTP/1.1
0000   02 00 00 db 2e 30 00 ff ff ff ff fd 08 00 45 24  .....0........E$
0010   01 ee 79 26 00 00 27 06 c2 39 c5 f3 32 f2 c0 63  ..y&..'..9..2..c
0020   9d 3d 56 4f ae f0 66 3c 70 51 77 84 9c 30 80 18  .=VO..f<pQw..0..
0030   02 00 a7 a9 00 00 01 01 08 0a 20 86 78 32 07 3d  .......... .x2.=
0040   7b a4 47 45 54 20 2f 20 48 54 54 50 2f 31 2e 31  {.GET / HTTP/1.1
0050   0d 0a 48 6f 73 74 3a 20 31 39 32 2e 39 39 2e 31  ..Host: xxx.99.1
0060   35 37 2e 36 31 3a 34 34 37 38 34 0d 0a 55 73 65  57.61:44784..Use
0070   72 2d 41 67 65 6e 74 3a 20 4d 6f 7a 69 6c 6c 61  r-Agent: Mozilla
0080   2f 35 2e 30 20 28 4d 61 63 69 6e 74 6f 73 68 3b  /5.0 (Macintosh;
0090   20 49 6e 74 65 6c 20 4d 61 63 20 4f 53 20 58 20   Intel Mac OS X
00a0   31 30 2e 36 3b 20 72 76 3a 32 35 2e 30 29 20 47  10.6; rv:25.0) G
00b0   65 63 6b 6f 2f 32 30 31 30 30 31 30 31 20 46 69  ecko/20100101 Fi
00c0   72 65 66 6f 78 2f 32 35 2e 30 0d 0a 41 63 63 65  refox/25.0..Acce
00d0   70 74 2d 45 6e 63 6f 64 69 6e 67 3a 20 67 7a 69  pt-Encoding: gzi
00e0   70 2c 20 64 65 66 6c 61 74 65 0d 0a 56 69 61 3a  p, deflate..Via:
00f0   20 31 2e 31 20 77 61 6e 64 65 72 70 6f 72 74 61   1.1 wanderporta
0100   66 72 69 63 61 32 2e 77 61 6e 64 65 72 70 6f 72  frica2.wanderpor
0110   74 2e 6e 65 74 20 28 73 71 75 69 64 2f 33 2e 33  t.net (squid/3.3
0120   2e 33 29 0d 0a 58 2d 46 6f 72 77 61 72 64 65 64  .3)..X-Forwarded
0130   2d 46 6f 72 3a 20 31 37 31 2e 34 31 2e 31 37 36  -For: 171.41.176
0140   2e 33 30 2c 20 32 31 33 2e 33 36 2e 31 35 30 2e  .30, 213.36.150.
0150   31 34 30 2c 20 31 37 37 2e 31 37 31 2e 32 34 38  140, 177.171.248
0160   2e 32 35 34 2c 20 31 37 31 2e 31 32 34 2e 31 31  .254, 171.124.11
0170   32 2e 31 31 30 2c 20 34 37 2e 35 37 2e 31 35 34  2.110, 47.57.154
0180   2e 38 2c 20 31 36 30 2e 31 35 31 2e 31 33 36 2e  .8, 160.151.136.
0190   31 30 36 2c 20 35 36 2e 38 32 2e 32 34 36 2e 31  106, 56[.]82[.]246[.]1
01a0   30 34 2c 20 31 38 36 2e 38 30 2e 32 31 2e 31 32  04, 186[.]80[.]21[.]12
01b0   32 2c 20 31 36 37 2e 31 31 34 2e 31 32 36 2e 36  2, 167[.]114[.]126[.]6
01c0   32 0d 0a 43 61 63 68 65 2d 43 6f 6e 74 72 6f 6c  2..Cache-Control
01d0   3a 20 6d 61 78 2d 61 67 65 3d 32 35 39 32 30 30  : max-age=259200
01e0   0d 0a 43 6f 6e 6e 65 63 74 69 6f 6e 3a 20 6b 65  ..Connection: ke
01f0   65 70 2d 61 6c 69 76 65 0d 0a 0d 0a              ep-alive....

749     0.832745        202[.]106[.]16[.]36     xxx[.]99[.]157[.]61     HTTP    402     GET / HTTP/1.1
0000   02 00 00 db 2e 30 00 ff ff ff ff fd 08 00 45 24  .....0........E$
0010   01 84 b0 df 40 00 2e 06 62 41 ca 6a 10 24 c0 63  ....@...bA.j.$.c
0020   9d 3d c9 38 ae f0 cc 3f f1 9c 3e 2c 2a 03 80 18  .=.8...?..>,*...
0030   40 00 a7 9b 00 00 01 01 08 0a 36 34 07 d4 07 3d  @.........64...=
0040   7b aa 47 45 54 20 2f 20 48 54 54 50 2f 31 2e 31  {.GET / HTTP/1.1
0050   0d 0a 48 6f 73 74 3a 20 31 39 32 2e 39 39 2e 31  ..Host: xxx.99.1
0060   35 37 2e 36 31 3a 34 34 37 38 34 0d 0a 43 6f 6e  57.61:44784..Con
0070   6e 65 63 74 69 6f 6e 3a 20 6b 65 65 70 2d 61 6c  nection: keep-al
0080   69 76 65 0d 0a 55 73 65 72 2d 41 67 65 6e 74 3a  ive..User-Agent:
0090   20 4d 6f 7a 69 6c 6c 61 2f 35 2e 30 20 28 58 31   Mozilla/5.0 (X1
00a0   31 3b 20 55 62 75 6e 74 75 3b 20 4c 69 6e 75 78  1; Ubuntu; Linux
00b0   20 78 38 36 5f 36 34 3b 20 72 76 3a 32 34 2e 30   x86_64; rv:24.0
00c0   29 20 47 65 63 6b 6f 2f 32 30 31 30 30 31 30 31  ) Gecko/20100101
00d0   20 46 69 72 65 66 6f 78 2f 32 34 2e 30 0d 0a 41   Firefox/24.0..A
00e0   63 63 65 70 74 2d 45 6e 63 6f 64 69 6e 67 3a 20  ccept-Encoding:
00f0   67 7a 69 70 2c 20 64 65 66 6c 61 74 65 0d 0a 58  gzip, deflate..X
0100   2d 46 6f 72 77 61 72 64 65 64 2d 46 6f 72 3a 20  -Forwarded-For:
0110   31 38 32 2e 31 32 35 2e 31 31 31 2e 32 35 30 2c  182[.]125[.]111[.]250,
0120   20 31 38 38 2e 31 32 33 2e 33 32 2e 39 30 2c 20   188[.]123[.]32[.]90,
0130   31 35 31 2e 37 38 2e 31 36 2e 38 33 2c 20 35 2e  151[.]78[.]16[.]83, 5.
0140   31 37 35 2e 31 34 33 2e 31 30 35 2c 20 31 36 37  175.143.105, 167
0150   2e 31 31 34 2e 31 32 36 2e 36 32 0d 0a 56 69 61  .114.126.62..Via
0160   3a 20 31 2e 31 20 4d 65 64 69 61 2d 62 74 70 7a  : 1.1 Media-btpz
0170   2d 63 61 63 68 65 20 28 4e 65 74 43 61 63 68 65  -cache (NetCache
0180   20 4e 65 74 41 70 70 2f 36 2e 30 2e 37 29 0d 0a   NetApp/6.0.7)..
0190   0d 0a                                            ..