We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Departamento ABUSE de OVH de risa. Indignado.


adminsys
07/03/2017, 20:26
Tú eres el único responsable sable de tu servidor y tus direcciones i.p
Seguramente no es tu caso. Pero administrar un servidor no solo es poner un panel y ya está. Pero bueno espero que lo soluciones. Opciones ves a ripe.net busca de dónde proviene la I.P y en abuse __' del router__ les envías un correo con lo sucedido y adviertes de que si esos ataques no prevalecen. Mandas un correo solicitando el bloqueo de la i.P a ripe.
Ripe bloquea las IP directamente en el correo. Ipv4spam@ripe.net.
Te pedirán los log y toda la documentación que tengas. Yo con solo los log ya he bloqueado a nivel ripe unas 15 IP.
Suerte

Phosky
10/12/2016, 17:12
Gracias, me pongo ahora mismo con todas las correcciones pertinentes. En el servidor "raíz", el contratado (no las IPFailover) ya tenía implementada la seguridad, porque de él dependen los servidores virtuales, pero visto lo visto, no dejaré para más adelante la seguridad en las IPFailover.

pepejlr
09/12/2016, 17:20
Con cambiar el puerto por defecto del SSH y meter Fail2ban monitorizando accesos en dicho puerto es suficiente.

Como te han dicho, OVH no puede hacer absolutamente nada ya que esos intentos de acceso los consigue los propios crackers usando programas de peinado de red como NMAP. Si ven un puerto 22 abierto, probarán diferentes combinaciones con el usuario "root" o "admin". Estoy seguro que el anterior dueño de la IP que te han asignado en el servidor era un descuidado de cojones y por eso tiene tal contaminación de bots.

Phosky
09/12/2016, 16:33
OK, gracias por las respuestas. Cambiaré el puerto de acceso SSH e instalaré un Firewall (¿CSF qué tal va con cPanel? Hay incompatibilidades?).

Pues si OVH no tiene nada que hacer con este tema, que se pongan de acuerdo con el servicio técnico, porque en el teléfono de soporte de SoYouStart me dijeron que me arreglarían el problema, y como es lógico, me he fiado de su palabra y he derivado a OVH...

PD. ¿Estos comandos en el archivo sshd son efectivos?

MaxAuthTries 3
MaxStartups 2

alvaroag
08/12/2016, 23:52
OVH no tiene ninguna responsabilidad por los ataques a nivel de aplicación, como el que mencionas. OVH sólamente se encarga de mitigar los ataques a nivel de red.

Si te preocupan los ataques por SSH, te recomiendo:

- Asegurate de tener una contraseña segura
- Cambia el puerto de SSH a otro elegido por ti
- Más avanzado, pero muy útil: Instala un OpenVPN en el servidor, y luego restringe el acceso al puerto se SSH(por defecto 22), así como otros servicios, para que sólamente funcionen desde la IP de la VPN.

QualityNetwork2015
08/12/2016, 18:04
@Phosky En realidad ellos, no pueden hacer nada, debido que es algo ajeno a ellos lo unico que puedes poner tu es un firewall y bloquear esas IP que seguramente sean de China, Brasil, etc...

Esto esta producida por BOTNET que se dedican a tirar NMAP y buscar el puerto 22 abierto y a intentar autentificarse no tiene mas.

Gracias por su atencion.

PD: De hecho si usted en su casa, montar un servidor SSH le ocurriria lo mismo que en OVH

Phosky
08/12/2016, 16:56
Día 1; Alquilo un servidor y 2 IPfailolver
Día 2: Instalo Proxmox en el servidor y creo 2 máquinas virtuales. En una de ellas instalo CentOS y cPanel para probar qué tal va.
Día 3: Me conecto por SSH y CentOS me dice que ha habido 1119 intentos de acceso al servidor por SSH desde mi último login con éxito.
Día 4: Llamo a soporte de SoYouStart y me dirigen a ovh.es/abuse. Les explico que sin hacer nada, sin instalar ni una puñetera web en cPanel, con un dominio nuevo y que nadie conoce, estoy recibiendo ataques, y que por favor los bloqueen.
Día 12: 8 puñeteros días después me contestan:

Hello,

An abusive behaviour (Intrusion) originating from your IP ip-XX[.]XX[.]XXX[.]XXX has been reported to or noticed by our Abuse Team.

Technical details showing the aforementioned problem follow :

-- start of the technical details --
"Last failed login: Thu Dec 1 15:29:19 CET 2016 from XX[.]X[.]X[.]XXX on ssh:notty
There were 1191 failed login attempts since the last successful login."
-- end of the technical details --

Your should investigate and fix this problem, as it constitutes a violation to our terms of service.

Please answer to this e-mail indicating which measures you've taken to stop the abusive behaviour.

Cordially,

The OVH Abuse team.
Tócate los ******, les escribo diciendo que estoy sufriendo un ataque y que no tengo ningún tipo de responsabilidad y me dicen que soy yo quien tengo que investigar y solucionar mi problema porque viola los términos del servicio. Repito, tócate los ******.

Espero una solución inmediata, porque como me cancelen los servicios nos veremos en Consumo.