OVH Community, your new community space.

Lo de OVH es muy triste, desactivacion de dedicado


Memohot
27/01/2010, 02:33
Hola tengo una pregunta,, si en mi servidor utilizo apache en puerto 80 y lighttpd en puerto 82,,
es necesario poner esa regla iptable en los dos puertos, es decir ponerlo tambien para puerto 82?

Algo asi:

[root@ns60603 bin]# hostname
ns60603.ovh.net
[root@ns60603 bin]# iptables -L | grep STR
DROP tcp -- anywhere ns60603.ovh.net tcp dpt:xfer STRING match "GET /w00tw00t.at.ISC.SANS." ALGO name bm TO 50
DROP tcp -- anywhere ns60603.ovh.net tcp dpt:http STRING match "GET /w00tw00t.at.ISC.SANS." ALGO name bm TO 50






gracias
memohot

Rarok
23/01/2010, 23:07
Lo peor del tema es que en el otro lado otros que también estamos en ovh sufrimos escaneos realmente brutales de otros equipos de ovh y ni reportándolo a ovh hacen nada, porque no es normal que un equipo me haga varios escaneos completos de puestos y miles de intentos de acceso al ssh y que reportándolo a ovh siga con el mismo problema.

Y sí, sé que puedo bloquear la IP, que es lo que acabo haciendo, pero a la semana probé a quitarle el bloqueo y volvieron los ataques.

aprendiz
23/01/2010, 18:22
Cita Publicado inicialmente por crises
Yo por ejemplo lo hago con una regla para iptables que apareció por aquí hace no mucho (lo siento ahora no recuerdo de quién era el post):
Código:
iptables -I INPUT -d 11.22.33.44 -p tcp --dport 80 -m string --to 50 --algo bm --string 'GET /w00tw00t.at.ISC.SANS.' -j DROP
Mano de santo
Power, en http://foros.ovh.es/showthread.php?p=28306

sdzzds
26/09/2009, 19:49
email enviado

dagsoft
26/09/2009, 18:57
sdzzds, podrias enviarme un email a dagsoft _arroba_ arnet _punto_ com _prunto_ ar, queria comentarte unas cosas. O dime tu email y te mando yo :P

Saludos.

jriera
17/09/2009, 20:11
Giner es un gran tecnico. Por lo menos le pone ganas, y es sincero. Se pone en el lado del cliente.

En cuanto a OVH, un cero patatero.

sdzzds
17/09/2009, 14:58
Cita Publicado inicialmente por j5boot
Me alegro que al final se haya arreglado el tema sdzzds, y aun me alegro mas e incluso me parece impresionante que hayas conseguido que te abran el servidor, segun he leido en algunos posts por ahi no habia manera de que te lo reabrieran.

De todas formas sigo pensando que deberian darnos un margen de actuacion.
Gracias j5boot, ha costado pero por lo menos lo han abierto

kennysamuerto
17/09/2009, 14:42
Cita Publicado inicialmente por luis_sanz
No, perdona tu. Quise aclarar este tema en favor tuya, fijate en todo momento no dude de error. Quiza no transmiti correctamente sentiminetos, era ya muy tarde y escribi rapido, solo digo que no dudo de nadie en este foro, no necesito leer tus post ni los de nadie, no es mi forma de ser perder el tiempo atacando a la gente aunq fueran merecedores de ello.

me alegro que volvieras al post a corregir el error de esta forma todo esta mas claro para los demas, ten en cuenta que tu palabra contra la mia es una lucha tonta de esta forma todo solucionado y power no se calienta la cabeza con este asunto.

Saludos.

No hombre, tranquilo, tampoco era un ataque contra ti, solo queria aclararlo. Como dice Power, muchas veces tenemos demasiadas cosas y servidores en la cabeza, y no te acuerdas muy bien de como hiciste aquello para evitar hacer lo otro.

Yo generalmente lo apunto todo en un blog, de forma que siempre tengo las soluciones a mano, pero aquello particularmente no lo apunte, y pense que lo hice con el CSF. Al ver lo que apuntaba crises, me di cuenta de que no, de que lo hice como el decia.

Asi que nada, un pequeño malentendido de nada.

Un abrazo.

tonysanchez
17/09/2009, 13:21
Si parece ser que el Sr. Octave cuando no duerme se pone de muy mala leche.. y luego la junta con la de algun experto trabajador de España y el resultado es ... closed closed closed closed


En fin, suerte... y ve pensando en moverte a otro proveedor...

j5boot
17/09/2009, 12:48
Cita Publicado inicialmente por sdzzds
Bueno después de 24 horas desesperadas hemos podido reactivar el servidor, hemos detectado una cuenta de cliente afectada y tras hablar con soporte me ha abierto de nuevo.
Me alegro que al final se haya arreglado el tema sdzzds, y aun me alegro mas e incluso me parece impresionante que hayas conseguido que te abran el servidor, segun he leido en algunos posts por ahi no habia manera de que te lo reabrieran.

De todas formas sigo pensando que deberian darnos un margen de actuacion.

luis_sanz
17/09/2009, 11:59
Cita Publicado inicialmente por kennysamuerto
PERDON! Exactamente, lo hago con esa misma regla.

Un Saludo
No, perdona tu. Quise aclarar este tema en favor tuya, fijate en todo momento no dude de error. Quiza no transmiti correctamente sentiminetos, era ya muy tarde y escribi rapido, solo digo que no dudo de nadie en este foro, no necesito leer tus post ni los de nadie, no es mi forma de ser perder el tiempo atacando a la gente aunq fueran merecedores de ello.

me alegro que volvieras al post a corregir el error de esta forma todo esta mas claro para los demas, ten en cuenta que tu palabra contra la mia es una lucha tonta de esta forma todo solucionado y power no se calienta la cabeza con este asunto.

Saludos.

Power
17/09/2009, 09:18
Hola crises,

Ya he encontrado el hilo en el que se hablaba de utilizar IP tables para bloquear las IPs que pedían el documento /w00tw00t.at.ISC.SANS.DFind

He respondido en ese hilo: http://foros.ovh.es/showthread.php?p=28306 con algunas consultas.

Saludos
PD: Perdón por el offtopic

Power
17/09/2009, 08:05
Hola,
Cita Publicado inicialmente por crises
Yo por ejemplo lo hago con una regla para iptables que apareció por aquí hace no mucho (lo siento ahora no recuerdo de quién era el post):
Código:
iptables -I INPUT -d 11.22.33.44 -p tcp --dport 80 -m string --to 50 --algo bm --string 'GET /w00tw00t.at.ISC.SANS.' -j DROP
Mano de santo
Muchas gracias crises.

Tranqui kennysamuerto.
Con todas las cosas que tenemos en la cabeza no es nada raro mezclar soluciones.

Enhorabuena sdzzds por conseguir que te abriesen de nuevo el acceso al servidor.
Pero sí, la verdad es que se queda uno intranquilo sabiendo que en cualquier momento le pueden hacer lo mismo que te han hecho a tí.

O OVH cambia su política de cierre de servidores o tendremos que ir mirando otras alternativas más seguras que OVH.

Saludos

kennysamuerto
16/09/2009, 23:58
Cita Publicado inicialmente por luis_sanz
con todos mis respetos a todos, creo que la respuesta que ya te dio crises va a ser la unica respuesta que vas a tener, kennysamuerto seguramente escribio lo que escribio en modo ejemplo y no por fardar de nada, pero si tiene la respuesta a tu pregunta no estaria mal que te la diera, solo te digo que la esperes sentado...
Que yo hubiera liado conceptos (CSF con la Regla) no quiere decir que intente fardar o no responder.

Tenia claro que lo hice en su dia, pero como uso mucho el CSF, no recorde que lo hice con una regla.

Por supuesto que le hubiera respondido, solo tienes que ver mis intervenciones en el foro.

kennysamuerto
16/09/2009, 23:56
Cita Publicado inicialmente por crises
Yo por ejemplo lo hago con una regla para iptables que apareció por aquí hace no mucho (lo siento ahora no recuerdo de quién era el post):
Código:
iptables -I INPUT -d 11.22.33.44 -p tcp --dport 80 -m string --to 50 --algo bm --string 'GET /w00tw00t.at.ISC.SANS.' -j DROP
Mano de santo

PERDON! Exactamente, lo hago con esa misma regla.

Un Saludo

luis_sanz
16/09/2009, 23:26
Cita Publicado inicialmente por Power
piden el documento /w00tw00t.at.ISC.SANS.DFind
¿Cómo lo haces kennysamuerto?
con todos mis respetos a todos, creo que la respuesta que ya te dio crises va a ser la unica respuesta que vas a tener, kennysamuerto seguramente escribio lo que escribio en modo ejemplo y no por fardar de nada, pero si tiene la respuesta a tu pregunta no estaria mal que te la diera, solo te digo que la esperes sentado...

virtual
16/09/2009, 23:03
Es comprensible, pero si es la primera vez que te pasa, es aún peor porque no sabes como actuar.

sdzzds
16/09/2009, 22:36
Bueno después de 24 horas desesperadas hemos podido reactivar el servidor, hemos detectado una cuenta de cliente afectada y tras hablar con soporte me ha abierto de nuevo.

Sí es para poner los pelos de punta a cualquiera, han sido unas horas terribles sobre todo porque no puedes hacer nada y sin comerlo ni beberlo te encuentras en este marrón.

Habría que sugerir a Oles que esto lo controle de otra forma, que avise antes y que nos dé un tiempo prudencial antes de cortar por lo sano, es una indefexión desmesurada.

También es de pena el soporte de OVH, excepto por las buenas intenciones que le pone Giner, tener a 200 empresas sin web ni correo durante 24horas porque el sistema caprichoso de OVH lo permite sin dejarnos alternativas ni poder para hacer nada y no atender un ticket desde anoche...tiene miga el asunto.

Otro susto como este y me voy claro, no puedo permitir esto, ni yo ni mis clientes claro.

crises
16/09/2009, 20:34
Cita Publicado inicialmente por Power
Lo que no he conseguido encontrar es cómo bloquear, con CSF, las IPs que piden el documento /w00tw00t.at.ISC.SANS.DFind
¿Cómo lo haces kennysamuerto?
Yo por ejemplo lo hago con una regla para iptables que apareció por aquí hace no mucho (lo siento ahora no recuerdo de quién era el post):
Código:
iptables -I INPUT -d 11.22.33.44 -p tcp --dport 80 -m string --to 50 --algo bm --string 'GET /w00tw00t.at.ISC.SANS.' -j DROP
Mano de santo

Power
16/09/2009, 20:26
Hola,

Lo que cuenta sdzzds, me pone los pelos de punta.

Creo entender que, simplemente, porque desde tu servidor se hagan 4 intentos de acceso de conexión al puerto 500 de otra máquina te cierran el servidor.

¡¡¡ Alucinante !!!
Por favor, que alguien de OVH haga algo rápido al respecto, que esto es muy grave.

Respecto a lo de si CSF previene temas de estos.
Pues sí. Yo tengo configurado en el CSF hacia qué puertos TCP y UDP se puede salir.

Respecto a scaneos externos (los que le hacen a tu servidor), también se puede configurar al cabo de cuantos debe bloquear la IP scaneante. Y si quieres que el bloqueo sea temporal o total.

Lo que no he conseguido encontrar es cómo bloquear, con CSF, las IPs que piden el documento /w00tw00t.at.ISC.SANS.DFind
¿Cómo lo haces kennysamuerto?

Saludos
PD: Esperemos que OVH le de una respuesta rápida a sdzzds

kennysamuerto
16/09/2009, 14:38
Cita Publicado inicialmente por Diablo48
Es muy triste que ocurran estas cosas, y creo que esto no deberia hacersele ni a una persona que se deja 1000€ ni 100€, creo que la politica a aplicar seria avisar y dar unas horas para que el administrador pueda solventarlo, ademas dicho sea de paso un scan en que pone en peligro la red de ellos? porque lo mas triste es que a la gente que le pasa una vez se lo cierran pero despues ves servidores que se tiran dias y dias haciendo scans y nada... no se le cierra.

Aprovecho el post para hacerte una pregunta kennysamuerto, el csf previene ataques de entrada, de hecho te avisa, pero de salida tambien los previene? recordemos qu ele caso de sdzzds es que se lo cerraron porque salio un scan de su servidor.
Vale, osea, que OVH ha cerrado el servidor, porque se supone que ha salido un scan de la maquina de sdzzds. Lo habia entendido al reves, cuando es una cosa muy comun que te escaneen el servidor.

Pero por lo que veo, llaman Ataque DDOS, Escaneo... vamos, que yo tampoco me acabo de aclarar porque lo cierran, si por un scan, o por un ataque DDOS.

Un Saludo

kennysamuerto
16/09/2009, 14:36
Cita Publicado inicialmente por virtual
Hola kenny,

Lo baneas manualmente o te lo hace el CSF+LFD ?

Que configuración tienes puesta ?
Hola,

Quizas lo que yo llamo Escaneo no es lo mismo que lo llama OVH, por lo que he podido seguir leyendo.

Yo le llamo Escaneo a esto:

client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind

Y lo que hace CSF es bloquearlo, no inmediatamente por lo general, pero si lo bloquea. Sino, yo cada hora estoy revisando logs. Si veo que alguno se le escapa, a la lista.

Pero por lo que veo, OVH no esta cerrando por escaneos, sino por ataques Ddos, que no son DDOS.... entonces, ya no se que pensar... sinceramente.

tonysanchez
16/09/2009, 13:38
Yo solo he tenido un problema, pero lo mas cojonudo es que tengo algun lciente al que le levo las maquinas (maquinas que estaban en OVH y ahora estan en otro sitio) que le vibieron con las mismas.

Un trsite log de 4 lineas, con un supuesto scan de un soft (el suyo) que hace aguas por todos los lados.

Lo pero la contestacion de cierto personaje que escribe mucho por aqui, y que no pasa de ser un mero tecnico comercial ya que de linux, freebsd, idea poca, y mal avenida, de la filial española, fue terrorifico...

dejo claro:

1.- Ni puta idea de redes
2.- Ni puta idea de administracion de sistemas
3.- Ni puta idea de tacto comercial.

El resultado: el cliente se piro con tres maquinas a otro sitio.

Para remate, una de las famosas Ip eran e un amigo mio que se dedica al negocio, asi que le pedi el favor de analair si existio tal incidencia o tenia alguna reflejo en sus bitacoras del famosos scaneo....

Mi colega, que logea esta cuando abren la puerta de su sala en el data, no tenia conetsancia de nada.

Aqui, la muestra de un boton:

El software de scan de red, es una mierda (solo hay que ver la cantidad de IPs de OVH de las cuales se hace p2p ilegal, los ataques que hay des las maquinas de OVH (en mi caso las que mas atacan a mis maquinas son Ip's de esta maravilla).

Antes de que alguien diga nada. Si trabajo con OVH por muchos motivos que no voy a explicar. Pero sere siempre critico, muy critico, cuando una empresa que podría dar mejor soporte, teniendo algunos monstruos de las redes y sistemas, luego tenga tecnicos de segundo y primernivel tan PATETICOS y tan poco currados.

Por eso salen esas desactivaciones. Por personal INUTIL, y poco experimientado.

Adicional: El otro dia si tenia una maquina con hacking de verdad. Se chupo durante 4 horas 60Mbps sostenidos, ¿Recibi algun mensaje? No.

Solo se reciben mensajes de falsos positivos y gilipolleces.

Algo pasa... creo yo.

jriera
16/09/2009, 12:04
Fijaos en el tiempo entre paquete y paquete... menudo DDoS.... patético OVH. A mi me tienen ya muy cansadito....

sdzzds
16/09/2009, 11:58
Lo lamentable es que me imagino que cliente puede haber generado este problema, si avisan o nos da un tiempo prudencial podemos solucionarlo sin problemas.

14 HORAS CON EL SERVIDOR CERRADO.

Y el cachondeo es que en el email que recibes te dicen que si pides que lo reactiven para solucionar el problema que lo pidas, pues nada aun estoy esperando desde anoche.

Tengo 12 dedicados aqui en ovh y otro en camino, bueno creo que esta incidencia ya ha colmado el vaso. Es un server con clientes a los que hay que calmar y explicar la difícil situación mientras estos de OVH no hacen nada ni si quiera contactarnos. Estos clientes tienen empresas y viven de ellas, pero bueno eso parece que a oles no le importa.

Mucho mensaje en el foro, muchos cambios y mucha mierda pero de lo realmente importante, nada de nada.

j5boot
16/09/2009, 11:51
Pero que DDoS ni que leches, estos de OVH me parece que todavia no saben lo que es un ataque DOS ni un DDOS.

Yo en el Log solo veo 4 conexiones desde tu servidor a otra IP al puerto 500. ¿A esto lo llaman scan? y lo mas cojonudo:

DDOS attacks with 46bytes pkts

Un ataque DDoS es un ataque Distribuido, ¿como saben que estas en un ataque distribuido de denegacion de servicio o en un simple ataque de denegacion de servicio sin estar distribuido?

En fin.

Ayer estube probando a conectarme a un servidor por SSH a traves de mi servidor, y tuve que hacer mas de 4 conexiones porque estaba probando claves, certificados, etc... Como me cierren por eso ya seria cojonudo, ¿como saben si tu servidor esta infectado o eres tu el que lo hace?

Esto no puede seguir asi, me pareceria bien que te avisasen, y si en 24 horas los scans o lo que quiera Dios que sea, no desaparece el problema, pues que te lo bloqueen. PERO QUE AVISEN!!! me parece fenomenal que no se quieran jugar el cuello porque en OVH habra mucha gente que se pilla un dedicado y no sabe lo que es Linux, no les culpo a ellos por no saber lo que es Linux, tienen el derecho a aprender como lo hemos hecho todos, lo que no me parece bien es que nos traten igual a todos porque eso no es asi, en OVH hay gente que controla muchisimo, mucho, poco y nada, y que si estan haciendo scans hay gente que lo puede solucionar porque sabe lo que tiene y como lo tiene en su servidor y logicamente los que no saben que hacer, pues que les cierren el servidor y reinstalen (o contraten un servidor/hosting administrado) pero SIEMPRE AVISANDO!! EL SERVIDOR ES NUESTRO!! lo estamos alquilando mes a mes, es como si nos vamos de alquiler a una casa y el propietario nos cambia el cerrojo sin previo aviso porque nos han entrado a robar. Pues si el propietario no nos deja entrar de nuevo a nuestra casa no podemos solucionar el problema!!!

SEÑORES DE OVH, SOLUCIONEN ESTO DE UNA VEZ YA!!!

sdzzds
16/09/2009, 11:34
Este es el log que me enviaron:

--------------------------- LOGS DE SCAN ---------------------------

DDOS attacks with 46bytes pkts

startime endtime scrort dstort
----------------------------------------------------------------------------------------------
2009-09-15 22:27:38 2009-09-15 22:27:43 IP DEL SERVIDOR:43457 193.140.182.2:500
2009-09-15 22:27:57 2009-09-15 22:28:04 IP DEL SERVIDOR:43457 193.140.182.2:500
2009-09-15 22:28:09 2009-09-15 22:28:15 IP DEL SERVIDOR:43457 193.140.182.2:500
2009-09-15 22:28:15 2009-09-15 22:28:23 IP DEL SERVIDOR:43457 193.140.182.2:500


--------------------------- FIN DES LOGS ---------------------------

Diablo48
16/09/2009, 10:49
Es muy triste que ocurran estas cosas, y creo que esto no deberia hacersele ni a una persona que se deja 1000€ ni 100€, creo que la politica a aplicar seria avisar y dar unas horas para que el administrador pueda solventarlo, ademas dicho sea de paso un scan en que pone en peligro la red de ellos? porque lo mas triste es que a la gente que le pasa una vez se lo cierran pero despues ves servidores que se tiran dias y dias haciendo scans y nada... no se le cierra.

Aprovecho el post para hacerte una pregunta kennysamuerto, el csf previene ataques de entrada, de hecho te avisa, pero de salida tambien los previene? recordemos qu ele caso de sdzzds es que se lo cerraron porque salio un scan de su servidor.

sdzzds
16/09/2009, 07:31
no lo tuve instalado y al final lo quite, por cierto aun no se nada, mi ticket sigue sin responderse

virtual
16/09/2009, 02:55
Hola kenny,

Lo baneas manualmente o te lo hace el CSF+LFD ?

Que configuración tienes puesta ?

kennysamuerto
16/09/2009, 01:42
¿Teniais instalado el CSF+LFD?

Yo lo que hago es banear a saco cualquier entrada de Scan. Ni pregunto. Es mejor hacerlo asi, que tener un problema de seguridad, o lo que es peor, que te lo cierren.

jriera
16/09/2009, 01:02
Dan ganas de ponerse a decirles de todo... es una MIERDA de servicio y política la que tienen... Lo del scan también nos ha ocurrido, y al final tuvimos que contratar un nuevo servidor y mover todo de uno a otro para evitar tener el servidor más de 24 horas desactivado. No hubo forma de que lo reactivaran aún sabiendo que era lo que habia generado el scan.

Ahora mismo estamos con un servidor caído por más de 4 horas. Uno de los discos duros del RAID está fallando y no arranca. Sólo saben arrancarlo en RESCUE y apáñate... Se les ha insistido y copiado logs de fallos en el sda... pero nada. Ni una sola respuesta de una persona humana, sólo plantillas automatizadas.

Estoy hasta el gorro de esta empresa y su MAL SERVICIO. Sólo hacen que prometer servicio 24/7 por teléfono, mejoras en el servicio técnico, servicio personalizado para grandes cuentas, ... NADAAAA!!! Bla bla bla bla, así llevamos años.

Bueno... me voy a tomar una tila porque llevo un cabreo con esta gente....

sdzzds
15/09/2009, 23:29
Esto no es justo. No te dan opción a nada, posiblemente emprenda acciones legales por daños y perjuicios, los mismos que me van a pedir a mí mis clientes.

Hay que ser un poco más flexible en este sentido porque si no nos echan por tierra todo el trabajo, es increíble esto, un desacierto total de OVH.

@Oles menos gilipolleces de anuncios en los foros y preocupate de los clientes. Yo pago más de mil euros al mes a esta gente para que me traten así.

Un verdadero asco.

crises
15/09/2009, 23:22
Esto no es la primera vez que pasa y lamentablemente no será la última, hasta que se lo hagan a algún cliente "gordo" y le vean las orejas al lobo. La verdad que son un poco paranoicos de más con esto de los scans... yo de momento toco madera pero por si las moscas voy haciendo un backup diario de todo, para que si algún dia me toca la china reinstalar el server lo más rápido posible perdiendo la mínima información.

sdzzds
15/09/2009, 23:13
si en eso estoy a ver si se dignan a contestar, es lamentable esto

virtual
15/09/2009, 23:07
Así es, pero intenta que te lo reactiven para revisar la incidencia.

eLkRi
15/09/2009, 22:56
Amen!

sdzzds
15/09/2009, 22:33
¿Como podeis cerrar un servidor por el simple hecho de haber recibido algunos scans?

Enviais un email diciendo que un servidor se cierra porque ha sufrido un ataque y nos dejáis con el culo al aire aqui y NO nos dejáis abierto el servidor para ver lo que ocurre y poner remedio. Y mientras nosotros aqui lidiando con los clientes que llaman desesperados diciendo que no tienen correo ni web.

Aqui en OVH hay gente que se gana la vida con el hosting y no quiere el server para pruebecitas ni juegos y esta política que lleváis con el cierre de servidores sin NINGUN AVISO PREVIO es una puta mierda.