OVH y su jodido sistema antihack
tfwfactory
30/04/2012, 15:34
No eres el único al que le pasa a nosotros hace nada el server de un cliente cerrado y sin aviso ni nada , hay que defenderse de estas cosas , no es de recibo el trato al cliente ,
No se puede hacer las cosas así , hay que expresar el desacuerdo con este trato ,
http://foros.ovh.es/showthread.php?t=9627
alberto0o
18/04/2012, 18:57
De nuevo OVH con las suyas, llevo esperando casi 5 horas, sin servidor, debido a que en una cuenta de un cliente se ha subido phishing, en vez de cerrarme la IP de la cuenta me cierran el servidor!!!
Vale, vamos a decir que lo entiendo, pero que luego me tengan horas y horas sin poder contestar el puñetero ticket, en el cual el técnico solo tendrá que darle a restaurar acceso del servidor, seguro que solo es un click.
Un click que a ellos les da igual, mientras que a nosotros nos causa perdidas de clientes y perjuicios, todo por que sus técnicos estarán haciendo x (me tengo que morder la lengua).
Ademas llamas al soporte técnico y no pueden resolverte nada, la única opción esperar a que el técnico de los ******* le apetezca abrir mi ticket y resolverlo.
Publicado inicialmente por
Asimov
Por cierto que no se lo que hará ese script, pero es impresionante la cantidad de webs que lo tienen, incluidas algunas de artistas famosos.
Sí. Yo también he buscado por Google y he visto varias webs importantes que lo tienen.
¡¡¡ Qué honor, tener un malware que también tienen los famosos !!!
Saludos
Por cierto que no se lo que hará ese script, pero es impresionante la cantidad de webs que lo tienen, incluidas algunas de artistas famosos.
A mi me ha pasado también que a un cliente le entró un troyano y a continuación entraron a su web por FTP, lo que parece indicar por tanto que algunos troyanos pueden coger las credenciales FTP que tengas en tu equipo..
Se eliminó el troyano, se cambiaron las claves y ya no hubo más incidencias.
Aprovecho para coger algunos strings del script que has pegado para ponerlo en mi buscabichos, se ha mostrado eficaz para localizar muchas webs modificadas.
Hola,
En mi caso, han accedido por FTP desde una IP de Islandia.
Uso cPanel y en esa cuenta nunca ha habido ningún CMS ni nada de PHP.
Han hecho lo siguiente:
Mar 20 05:49:02 vm1 pure-ftpd: (?@93.95.227.162) [INFO] New connection from 93.95.227.162
Mar 20 05:49:02 vm1 pure-ftpd: (?@93.95.227.162) [INFO] midominio is now logged in
Mar 20 05:49:05 vm1 pure-ftpd: (midominio@93.95.227.162) [NOTICE] /home/midominio//public_html/mwYjgZV9.php uploaded (9 bytes, 0.19KB/sec)
Mar 20 05:49:06 vm1 pure-ftpd: (midominio@93.95.227.162) [NOTICE] Deleted /home/midominio//public_html/mwYjgZV9.php
Mar 20 05:49:06 vm1 pure-ftpd: (midominio@93.95.227.162) [NOTICE] /home/midominio//mwYjgZV9.php uploaded (0 bytes, 0.00KB/sec)
Mar 20 05:49:07 vm1 pure-ftpd: (midominio@93.95.227.162) [NOTICE] Deleted /home/midominio//.//mwYjgZV9.php
Mar 20 05:49:07 vm1 pure-ftpd: (midominio@93.95.227.162) [NOTICE] /home/midominio//public_html/index.html downloaded (9070 bytes, 201906.09KB/sec)
Mar 20 05:49:08 vm1 pure-ftpd: (midominio@93.95.227.162) [NOTICE] /home/midominio//public_html/index.html uploaded (10654 bytes, 109.28KB/sec)
Mar 20 05:49:09 vm1 pure-ftpd: (midominio@93.95.227.162) [NOTICE] /home/midominio//public_html/index.html downloaded (10799 bytes, 199246.41KB/sec)
Mar 20 05:49:09 vm1 pure-ftpd: (midominio@93.95.227.162) [NOTICE] /home/midominio//public_html/index.html uploaded (10655 bytes, 113.23KB/sec)
Mar 20 05:49:10 vm1 pure-ftpd: (midominio@93.95.227.162) [NOTICE] /home/midominio//public_html/wHBf28WK.php uploaded (9 bytes, 0.19KB/sec)
Mar 20 05:49:11 vm1 pure-ftpd: (midominio@93.95.227.162) [NOTICE] Deleted /home/midominio//public_html/wHBf28WK.php
Mar 20 05:49:11 vm1 pure-ftpd: (midominio@93.95.227.162) [NOTICE] /home/midominio//wHBf28WK.php uploaded (0 bytes, 0.00KB/sec)
Mar 20 05:49:12 vm1 pure-ftpd: (midominio@93.95.227.162) [NOTICE] Deleted /home/midominio//.//wHBf28WK.php
Mar 20 05:49:12 vm1 pure-ftpd: (midominio@93.95.227.162) [NOTICE] /home/midominio//www/wHBf28WK.php uploaded (0 bytes, 0.00KB/sec)
Mar 20 05:49:12 vm1 pure-ftpd: (midominio@93.95.227.162) [NOTICE] Deleted /home/midominio//www/wHBf28WK.php
Mar 20 05:49:12 vm1 pure-ftpd: (midominio@93.95.227.162) [NOTICE] /home/midominio//wHBf28WK.php uploaded (0 bytes, 0.00KB/sec)
Mar 20 05:49:13 vm1 pure-ftpd: (midominio@93.95.227.162) [NOTICE] Deleted /home/midominio//.//wHBf28WK.php
Mar 20 05:49:14 vm1 pure-ftpd: (midominio@93.95.227.162) [NOTICE] /home/midominio//www/index.html downloaded (10801 bytes, 220103.96KB/sec)
Mar 20 05:49:14 vm1 pure-ftpd: (midominio@93.95.227.162) [NOTICE] /home/midominio//www/index.html uploaded (10656 bytes, 113.27KB/sec)
Mar 20 05:49:36 vm1 pure-ftpd: (midominio@93.95.227.162) [INFO] Logout.
Ha sido algún proceso automático porque en 12 segundos han cargado ficheros PHP, los han eliminado, han descargado los ficheros HTML, los han modificado y los han vuelto a cargar.
Saludos
Después de la última incidencia de seguridad de Plesk, yo me he encontrado cosas así en ficheros html y php. Los accesos han sido siempre por FTP (lo veía en los logs) y podían usar incluso las claves de plesk para poder acceder, ya que estas también estaban comprometidas.
Si no ha sido por FTP puede haber sido por inyección de código en algún módulo mal programado. No es un caso similar pero por ejemplo un cliente tenía un oscommerce muy desactualizado (del año 2006) y yo creo que lo usaban los hackers para hacer prácticas de intrusión o dar cursos por el estilo porque me encontré multitud de scripts para hacer cosas de lo más variopintas. Y ninguno de esos scripts entró por FTP, todo fué a través de agujeros de seguridad del oscommerce.
Hola,
Un cliente me acaba de avisar de que un visitante de su web le ha informado que su antivirus le dice que hay un virus en una de sus páginas.
Las analizo y encuentro que su fichero index.html ha sido actualizado ayer e incluye una cadena:
Tiene una pinta malísima así que lo he aislado.
Pero lo que más me alarma es que este cliente:
- No tiene ni ha tenido nunca en su web ningún fichero .php ni .pl
- Sólo tiene ficheros .html
- No ha accedido por FTP su web desde hace más de medio año
- No guarda en su PC su contraseña de FTP
¡¡¡ Escalofriante !!!
No sé lo que hace ese código.
Pero está claro que ya no se puede uno fiar ni de los simples ficheros html
¿Alguien más ha encontrado algo similar?
¿Tenéis idea de qué es lo que hace?
Saludos
kennysamuerto
11/03/2012, 19:59
Publicado inicialmente por
Nacho
Pues a mí no me han cerrado nunca ningún servidor por hack, ddos, etc.
Llevo más de 1 año como cliente y me han hecho bastantes ataques pero nunca me ha detectado el anti-hack.
Yo creo que será por suerte, algunos la tenemos y otros no.
Saludos.
No, si a mi tampoco me han cerrado nunca ningun servidor por hack, pero lo que no se puede, es depender de la suerte, que imagino que todos nos jugamos mucho en nuestros negocios.
Yo solo he tenido dos tickets de hack en 3 años, con una media de 50 servidores activos, uno por un joomla desactualizado y otro por un problema con el firewall, ambos resueltos 5 minutos despues del aviso y sin problemas (creo que aun tengo ambos servidores activos).
Pero insisto, no se puede depender de la suerte, si el sistema no funciona, o no funciona bien, el primer interesado en saberlo es OVH, por eso pretendemos hacerles llegar nuestras preocupaciones, que parece que al menos han detectado.
Esta bien la automatizacion, pero algo de apoyo humano a esa automatizacion no vendria mal para evitar errores.
Saludos
Pues a mí no me han cerrado nunca ningún servidor por hack, ddos, etc.
Llevo más de 1 año como cliente y me han hecho bastantes ataques pero nunca me ha detectado el anti-hack.
Yo creo que será por suerte, algunos la tenemos y otros no.
Saludos.
Pues ya les vale. Espero que ahora compensen de algún modo a los clientes con servidores cerrados por falsos positivos.
kennysamuerto
11/03/2012, 03:24
http://travaux.ovh.net/?do=details&id=6476&edit=yep
Reconocen el error, que no es poco.
Al menos, eso les honra. Ahora, que mejoren dicho sistema, porque los malos dias que se pasan, son una autentica tortura, para mi, peor que cualquier otro error, y eso que no me ha sucedido, pero de pensarlo...
Saludos
xkalagan
10/03/2012, 14:24
Hace ya tiempo que ningun representante de OVH se pasa por el foro a tranquilizar, sería muy bueno que alguien de OVH se pasara y explicara un poco si esta es la politica que ovh va a seguir,
Esto no es USA, donde el FBI te mira un servidor, decía OLES en otro post, pero en USA no te cierran un servidor asi como asi, por lo menos en las empresas que conozco.
Lo logico es avisarte, darte un tiempo, no se algo prudente, y si no consigues arreglarlo en ese tiempo, tu mismo te lo pasas a rescue, de la forma actual OVH es peor que el FBI.
PD: Yo uso CXS y la verdad es que funciona de perlas, eso sí, no es gratis, pero tampoco es gratis que te cierren un servidor no crreis?
Aunque entiendo que no se puede tener CXS en 50 servidores, el costo sería altisímo.
Un Saludo.
kennysamuerto
10/03/2012, 13:42
Publicado inicialmente por
manoleet
El primero si tenía la IP, se olvidó de que tenía un VPS con esa IP, lo que no encuentra el hack por ninguna parte. Normal, si es capaz de olvidar una IP en un VPS no creo que sea muy hábil encontrando el problema. Normalmente lanzan el troyano y borran el fichero.
No entendia bien esa parte, porque no sabia si decia que la habia tenido anteriormente, o que la tenia efectivamente.
Ciertamente tambien hay mucha gente que telita...
manoleet
10/03/2012, 09:52
El primero si tenía la IP, se olvidó de que tenía un VPS con esa IP, lo que no encuentra el hack por ninguna parte. Normal, si es capaz de olvidar una IP en un VPS no creo que sea muy hábil encontrando el problema. Normalmente lanzan el troyano y borran el fichero.
kennysamuerto
10/03/2012, 03:52
Levanto el post, porque estoy leyendo el foro frances, y ojito:
http://forums.ovh.net/showthread.php?t=77934
http://forum.ovh.com/showthread.php?t=77944
Son clientes que les bloquean el servidor, por lo que leo, algun sin tener ni siquiera la IP, otro que sin agujeros de seguridad (dice que es por un ataque contra su servidor), revisado por un experto certificado por cisco...
Creo que el sistema antihack empieza a hacer aguas por todos lados...
manoleet
08/03/2012, 17:32
Yo me estoy planteando lo del soporte VIP, pero si el trato es el mismo cuando hay un hack casi que prefiero no mosquearme más porque encima me roban.
Sí a ver si toman nota de nuestras quejas y desesperaciones, lo de la vida social me uno también, no gana uno para sustos y tiene que estar enganchado al móvil y al ordenador a todas horas no vaya a ser que te cierren un servidor.
En el caso de hoy el servidor ha estado más de 26 horas cerrado, (desde las 12 de mediodía de ayer hasta las 2 de la tarde de hoy) cuando claramente contesté al ticket diciendo que tenía localizado el problema antes de que hubieran pasado 15 minutos de abrir ellos el ticket.
Entiendo que hay que proteger la red, pero lo único que pedimos es un poco más de flexibilidad a la hora de echar el cierre de un servidor. O diferencias unos clientes de otros, los que llevan tiempo, se gastan una pasta al mes y tienen servidores para hosting y otros que llevan poco tiempo y lo tienen para juegos.
Lo del soporte vip no lo tengo contratado simplemente porque no me fio. ¿por qué hay que pagar más por un servicio que debería venir añadido ya? ¿qué garantías hay de que funcione realmente bien?
kennysamuerto
08/03/2012, 15:53
Yo por eso contrate el Soporte VIP, para si alguna vez tengo un problema, pues no se... es una pena tener que pagar por un soporte de calidad (aun no lo he probado, y espero no probarlo).
Asi que no puedo mas que sumarme a todo lo que comentais.
Especialmente da miedo la actitud de cierre de servidores/cuentas. Es como estar indefenso ante algo que no provocas.
A mi si hay claras evidencias de que eres un hacker, me parece bien que se cierre la cuenta. Si no, me parece desproporcionado (e imagino que trabajan asi, hemos visto pocos casos de estos, y esperemos que asi continue).
Los servidores ya es mas complicado, pero tambien veo desproporcionado el modo FTP.
Yo ya comente cual seria mi forma de actuar. Hay un problema, reparalo en X horas, o tendremos que suspenderlo.
Si X horas despues no se ha solucionado, a Rescue, a que se solucione.
Si el cliente una vez en rescue, da el OK porque esta solucionado, abrirlo. Si vuelve a ocurrir el mismo problema en un periodo corto de tiempo, entonces si, sin previo aviso, proceder a pasar al modo FTP.
Pero OVH si tienes un problema te pasa directamente a este modo. Y lo cierto es que asusta.
Yo desde hace algun tiempo he perdido mi vida social, me he tenido que poner una tele en la oficina, ya que me paso horas mirando terminales, para detectar cualquier chorrada, y te das cuenta que no puedes ir a comprar, o ver un partido de futbol, sin estar en constante tension.
Ojala OVH Hispano pudiera trasladar nuestras inquietudes sobre este tema, especialmente cuando hay hackeos a escala mundial (que no son culpa de OVH, pero tampoco de nosotros, es un problema de un panel de control, por ejemplo, o de un script PHP, o de...) . Es en esos momentos cuando deseas ver a tu proveedor ayudandote, no fastidiandote.
Insisto, ojala OVH hispano pudiese trasladar nuestras inquietudes, aunque luego no hagan caso, pero al menos que sepan que estamos preocupados por tanto cierre constante de servidores, en algunas ocasiones, increibles como el caso de al actualizar unas DNS interpreta el sistema un ataque, y cierra el servidor. Es brutal, y aterrorizador...
Un Saludo
Hola,
Pues sí. Opino lo mismo.
En OVH tenemos un montón de máquinas a elegir, un montón de distribuciones preparadas, IPs failover, una red inmensa y superestable, un montón de opciones en el Manager ... y todo a un precio buenísimo.
Pero donde el barco hace aguas es en el Soporte al Cliente.
Por mucho que Octave nos hable, de vez en cuando, de estadísticas y mejoras del servicio de soporte, está claro que éste es el punto flaco (o más bien famélico) de OVH.
Todo lo confían a sus sistemas automáticos de supervisión, protocolos automáticos de intervención y demás artificios mecánicos.
No parece que haya interlocutores humanos válidos, y con poder de actuación, para resolver de una forma rápida y eficiente problemas graves de este tipo que dejan al cliente sin servicio duante horas y horas o, incluso, días.
Esto parece una lotería.
Un día le toca a uno y otro día a otro, pero siempre hay clientes sufriendo la falta de intervención efectiva del servicio de soporte.
Creo que todos los que llevamos unos años en OVH estamos siempre con un pie fuera porque cualquier día puede tocarnos a nosotros esta maldita ruleta rusa.
Y lo peor: no vemos que haya intención alguna en cambiar en ese aspecto.
No ven que con un servicio de Soporte rápido, eficaz (y humano) OVH estaría muy por encima de todos los demás proveedores.
Tal vez les falta vista empresarial: lo apuestan todo al lado técnico.
Ánimo, colegas sufridores.
A mi me da pavor que me ocurra lo que a tí y que por culpa del mal soporte deje colgados a mis clientes. En otros lugares estas cosas son prioritarias y la respuesta es más rápida.
Nosotros muy a nuestro pesar estamos buscando alguna alternativa de housing antes de tener algún problema de este tipo. Algún datacenter cercano donde podamos incluso ir nosotros y darle dos 'yoyas' al técnico de turno o arreglar nosotros mismos la incidencia.
No solo eso, hace un rato me dieron acceso y pude cambiar el netboot, y ahora el server no arranca, lo acabo de resetear por segunda vez....
Antes por lo menos la gente de OVH Hispano comentaba algo en el foro, pero parece que lo han dejado de lado.
Ante un problema así tranquiliza que alguien de la empresa lea al menos tus posts y que haga algún comentario al respecto, pero parece que nadie de OVH lee lo que aquí se pone.
Bueno ayer comentaba que esta vez los de OVH, habian tardado menos, pero no es así, me contestaron al ticket y me dieron acceso SSH, pero desde ayer tarde sigo esperando que me cambien el netboot, una vez fueron eliminados los archivos infectados y avisado.
Me parece bien que hagamos entre todos un script eso va en beneficio nuestro, pero lo que sigue siendo de juzgado de guardia es la mierda de soporte técnico que tiene OVH, nos tienen un servidor parado más de 24 horas.
Hay que tener poco tacto con los clientes, poca consideración con nosotros que tenemos que aguantar los mosqueos de los clientes. OVH me parece muy competitiva en sus precios pero su soporte técnico es lo PEOR que he visto en mi vida. Nos dejan vendidos ante problemas como este.
@OLES nosotros, tus clientes, vivimos de esto, por lo menos la mayoría de los que nos vemos por aquí. Yo tengo una empresa con muchos clientes que confian en nosotros porque hasta ahora le he dado razones para ello. Sin embargo con la inútil política de soporte y cortes de servidor que tienes, ya no puedo asegurar que varios clientes se me vayan, con el perjuicio económico y moral que esto supone.
¿es tan fácil que se conteste a un ticket URGENTE como cualquier empresa digna que se precie? ¿Es posible no tener parado más de 24 horas un servidor en producción en estos casos? Hay cliente que viven de sus páginas, de sus correos, etc. No se trata de tener un servidor para p2p o para jueguecitos, esto es más serio que esto, y cada vez lo tengo más claro, terminaré marchándome a otro lado y me llevaré los trastos, pero por lo menos estaré o buscaré un sitio donde me traten en condiciones, unas condiciones que cualquier empresa debe tener, antes que buenos precios y 100.000 servidores, hay que tener atención y consideración con los clientes que son los que nos dan de comer.
Muy interesante, lo aplicaré en cuanto pueda. Haré uno para windows y lo pondré por aquí, por si a alguien le interesa.
kennysamuerto
07/03/2012, 20:39
Bueno, pues he creado uno muy muy muy basico, simplemente comprueba (OJO VERSION PLESK) si existen PL nuevos, y en caso de que existan, te avisa.
#!/bin/bash
# Fichero para encontrar extensiones o ficheros peligrosos, y en caso afirmativo, avise.
# Creado por kennysamuerto de los foros de OVH
# Basado en el script de Power del mismo foro
FICHERO=/tmp/problemas
CUENTAS=`ls -A1 /var/www/vhosts/`
for CUENTA in $CUENTAS
do
if [ `ls -al /var/www/vhosts/$CUENTA/cgi-bin/*.pl 2>/dev/null | wc -l` == 0 ]; then
echo el fichero no existe
else
echo "el fichero PL existe" >> $FICHERO
cat $FICHERO | mail -s "Fichero PL Encontrado" correo@correo
fi
done
rm -rf $FICHERO
Bastante basado en el fichero de Power. Basicamente busca el archivo, y si lo encuentra, te avisa por mail. No te da mas informacion, pero se podria añadir mas info. Incluso se podrian borrar de forma automatica.
Esta muy basico porque lo he creado en un ratito, pero vamos, es muy mejorable.
Luego basicamente lo que hago es programarlo para que se ejecute cada 5 minutos, por ejemplo, y que me avise a una cuenta de correo que tengo especialmente creada.
Esta cuenta va creada a un correo que se sincroniza via push con mis telefonos, y en cuando se envia un mail, suena Linkin Park a todo volumen, con lo que se detecta en minutos el problema.
E insisto, si lo que queremos es detectar el problema, pero borrar el archivo con la misma ejecucion, tambien seria posible.
Saludos
El otro dia vi un hack terrible, cambiaron a un cliente los archivos de Magento y le pusieron un evalcode a cada archivo con una cadena distinta...aqui no vale el buscar y reemplazar, había que machacar archivos e ir uno a uno mirando los restantes, un trabajo de chinos.
Podíamos entre todos aportar y hacer algo útil sí, yo no tengo conocimientos de programación pero de hacks entiendo un poco porque he visto ya muchos
kennysamuerto
07/03/2012, 17:50
Con el permiso de Power pego el script [Version Cpanel]:
#!/bin/bash
# Script para localizar los ficheros de PHP modificados en las últimas 24 horas
CUENTAS=`ls -A1 /var/cpanel/users`
FICHERO=/tmp/control_diario_scripts
touch $FICHERO
for CUENTA in $CUENTAS
do
echo "================================================= ===" >> $FICHERO
echo $CUENTA >> $FICHERO
echo "================================================= ===" >> $FICHERO
nice -19 find /home/$CUENTA/public_html/ -mtime -1 -name "*.php" >> $FICHERO
done
echo "================================================= ===" >> $FICHERO
cat $FICHERO | mail -s "Control diario de scripts" micorreo@gmail.com
rm -f $FICHERO
En teoria seria algo asi, pero con un "else". Es decir, busca estos archivos, si los encuentras, enviame un mail, si no los encuentras, no hagas nada.
¿Seria lo correcto?
Edito, estoy viendolo, y con poner bajo de fichero un if [ -f $FICHERO ]; then
Y bajo del mail un:
else
echo fichero no encontrado
A priori deberia funcionar.
Luego, por cada linea que quieras buscar, le añades un nice... a priori parece sencillo.
kennysamuerto
07/03/2012, 17:48
Publicado inicialmente por
Power
Hola,
Le veo el problema de que el nombre del fichero puede variar.
Se podría hacer un find que busque determinadas cadenas en todos los ficheros .php y .pl ... por ejemplo
Estamos, entre todos, diseñando una especie de "antivirus" para nuestros servidores.
Creo que puede ser algo muy útil.
Saludos
Correcto, si pudiesemos hacer entre todos un script de aviso, es decir, no que muestre dichos archivos, sino que nos avise si se suben, y poner un post en el HOW TO o similar con unas cadenas de archivos que entre todos vemos o encontramos...
Yo esta semana de .pl por el problema de Plesk, he visto para dar y regalar, si creamos este tipo de script, y alguien lo pone en su servidor, al minuto de que le suban el archivo, puede detectarlo, evitar el problema, y evitar el cierre del servidor.
Basicamente esa seria la idea. Yo tambien creo que el script que pusiste puede servirnos de base.
¿Como lo veis?
Pues echare un ojo a ese script de Power, se podría mejorar como bien decís, porque no gana para sustos uno últimamente. Por lo menos los de OVH hoy han tardado menos en abrirme, la otra vez fueron 20 horas, hoy han sido algunas menos
Hola,
Publicado inicialmente por
kennysamuerto
Lo ideal seria crear un script que solo se envie si se suben determinados ficheros, es decir:
Se ha subido un *.pl -> Aviso
Se ha subido un 663.php -> Aviso
...
Le veo el problema de que el nombre del fichero puede variar.
Se podría hacer un find que busque determinadas cadenas en todos los ficheros .php y .pl ... por ejemplo
Estamos, entre todos, diseñando una especie de "antivirus" para nuestros servidores.
Creo que puede ser algo muy útil.
Saludos
kennysamuerto
07/03/2012, 17:31
Publicado inicialmente por
sdzzds
Estos archivos son los que he encontrado:
root@rescue:/mnt# find . -type f -name 663.php -exec rm -f {} \;
root@rescue:/mnt# find . -type f -name 078c.php -exec rm -f {} \;
root@rescue:/mnt# find . -type f -name 8409.php -exec rm -f {} \;
root@rescue:/mnt# find . -type f -name accountec3.php -exec rm -f {} \;
root@rescue:/mnt# find . -type f -name unpire.php -exec rm -f {} \;
También hay una carpeta llamada "temper" que ya la habia visto.
Yo uso el cxs de configserver que en tiempo real para una subida de archivos pero lo malo es que la licencia cuesta 50$ y no lo tengo en todos los servers.
CXS es perfecto... si fuera multiplataforma. Ojala existiera algo similar para Plesk... y como bien dices, es una pasta instalarlo en cada servidor.
kennysamuerto
07/03/2012, 17:29
Publicado inicialmente por
Power
Hola,
Cada vez que un cliente hace un update de un CMS, los ficheros subidos tienen fecha del día y aparecen en el listado de ficheros .php cambiados de ese cliente.
Ese día tengo que agilizar un poco más la vista para ver si hay algún fichero raro.
Saludos
Correcto!
A mi tambien me pasa.
Lo ideal seria crear un script que solo se envie si se suben determinados ficheros, es decir:
Se ha subido un *.pl -> Aviso
Se ha subido un 663.php -> Aviso
En caso de no ocurrir, que no avise.
Es decir, entre todos crear una "libreria" de cosas que vamos detectando como problematicas, de esta forma, al menos, estamos mas pendientes (si cabe) de cualquier problema.
Porque una cosa es que te cierren un servidor, que bueno, vale, venga... Pero como tengais un alto ratio de "hackeos" respecto al numero de servidores, yo no me quiero imaginar el ataque al corazon que me daria levantarme un dia sin cuenta...
Se que es casi imposible, pero yo personalmente he aprendido a vivir con el constante susto en mi cuerpo...
Saludos
Hola,
Publicado inicialmente por
sdzzds
Estos archivos son los que he encontrado:
root@rescue:/mnt# find . -type f -name 663.php -exec rm -f {} \;
root@rescue:/mnt# find . -type f -name 078c.php -exec rm -f {} \;
root@rescue:/mnt# find . -type f -name 8409.php -exec rm -f {} \;
root@rescue:/mnt# find . -type f -name accountec3.php -exec rm -f {} \;
root@rescue:/mnt# find . -type f -name unpire.php -exec rm -f {} \;
También hay una carpeta llamada "temper" que ya la habia visto.
Yo uso el cxs de configserver que en tiempo real para una subida de archivos pero lo malo es que la licencia cuesta 50$ y no lo tengo en todos los servers.
Muy útil esa lista de ficheros "malos".
Lo añadiré en mi script diario de detección.
Gracias
Saludos
Hola,
Publicado inicialmente por
sdzzds
Power, pero el problema no son los que cambian sino los que suben, los que cambian te podría saltar con un update de un cms por ejemplo, y sería una locura.
Cada vez que un cliente hace un update de un CMS, los ficheros subidos tienen fecha del día y aparecen en el listado de ficheros .php cambiados de ese cliente.
Ese día tengo que agilizar un poco más la vista para ver si hay algún fichero raro.
Saludos
Estos archivos son los que he encontrado:
root@rescue:/mnt# find . -type f -name 663.php -exec rm -f {} \;
root@rescue:/mnt# find . -type f -name 078c.php -exec rm -f {} \;
root@rescue:/mnt# find . -type f -name 8409.php -exec rm -f {} \;
root@rescue:/mnt# find . -type f -name accountec3.php -exec rm -f {} \;
root@rescue:/mnt# find . -type f -name unpire.php -exec rm -f {} \;
También hay una carpeta llamada "temper" que ya la habia visto.
Yo uso el cxs de configserver que en tiempo real para una subida de archivos pero lo malo es que la licencia cuesta 50$ y no lo tengo en todos los servers.
Power, tu script me ha salvado el culo yo no se cuantas veces ya. Lo uso incluso en mis servidores Windows con Plesk.
Estaría muy bien hacer algo más completo como lo que dice kennysamuerto, un script que busque ciertos archivos o incluso ciertos contenidos, yo me he hecho una pequeña biblioteca con scripts que he ido encontrando en mis servidores.
Publicado inicialmente por
Power
Hola,
Pues sí que es una put-hada.
Yo de momento estoy teniendo suerte.
Con mi script detector de ficheros PHP cambiados ya he localizado y exterminado a tiempo algunos programas de spam que le habían colado a algún cliente.
Pero, al paso que vamos, veo que tendré que programarlo para que se ejecute varias veces al día.
Saludos
Power, pero el problema no son los que cambian sino los que suben, los que cambian te podría saltar con un update de un cms por ejemplo, y sería una locura.
Hola,
Pues sí que es una put-hada.
Yo de momento estoy teniendo suerte.
Con mi
script detector de ficheros PHP cambiados ya he localizado y exterminado a tiempo algunos programas de spam que le habían colado a algún cliente.
Pero, al paso que vamos, veo que tendré que programarlo para que se ejecute varias veces al día.
Saludos
kennysamuerto
07/03/2012, 12:58
Pues nada, otro ls a colocar al cron para que lo revise cada 5 minutos, y si detecta un 663.php me avise (creo que ademas del 663, hay mas).
Entre los cambios diarios de archivos PHP, los js, ahora los PL y los 663, voy a sobrecargar el servidor en busca de posibles problemas... al final tendremos que contratar una maquina para que haga de policia de las otras.
Si, la cosa la verdad no pinta nada bien, estamos indefensos. Yo ofrezco hosting y me tiro al igual que tú todo el día con la seguridad pero es imposible controlar lo que suben todos los clientes.
Además de fastidiarnos de cara a los clientes dando una imagen de pasotismo absoluto, debido a la tardanza que emplean en OVH en abrir un acceso ssh.
A ver si OVHJ cambia esta política de suspendo porque he visto un phishing, un scan, envio de spam y nos dan un tiempo prudencial para caparlo. Si a mi me avisan con un tema de estos ya pongo yo remedio para que no pase, pero que sea yo con mis conocimientos y con mis medios y no nos sintamos totalmente FUERA.
kennysamuerto
07/03/2012, 12:31
Uff! Eso tambien es bastante tipico, vamos, que puede pasar a cualquiera, en cualquier momento.
Joomlas desactulizados, Wordpress desactualizados... etc.
A mi me gustaria saber si en un servidor compartido de OVH detectan este tipo de problemas, ¿que hacen? ¿Cierran todo el servidor y todos los clientes?
Yo creo que estaria bien que OVH diera unas horas de respuesta, del tipo "hemos detectado esto, solucionalo en 24 horas o nos veremos obligados a..."
Seria lo adecuado, ya que este tipo de problemas, es complicado mantenerlos siempre totalmente controlados, aunque se intente.
Saludos
No tengo Plesk, es un server con Cpanel, han subido un archivo 663.php para enviar spam (ya lo había visto antes), todo parece indicar que habrá sido desde la máquina del cliente, es un server con solo una cuenta!
Vamos a tener que revisar todas las máquinas de nuestros clientes de hosting para ver qué tienen!!
Al ser un server de una cuenta no tengo ahí instalado el cxs
kennysamuerto
07/03/2012, 11:55
¿No sera la vulnerabilidad de Plesk no?
¿No te mandan ningun detalle del log? Seria interesante verlo...
Saludos
De nuevo el mismo problema, por subir un archivo que envia spam, un cliente sin server dedicado, acceso ftp solo lectura, ya tengo localizado el problema, y ahora a esperar que esta gente quiera darme acceso ssh, ESTO ES LAMENTABLE Y RAYA YA LA LOCURA.
@oles tu servicio antihack es una puta mierda. No dais ninguna flexibilidad, ni ninguna maniobra de operación. Vais a perder otro cliente como sigáis así.
jhnotario
13/02/2012, 19:41
Bueno, finalmente me pusieron el servidor en modo rescue y pude acceder por SSH al mismo, eso sí, ahora en modo normal no me arranca. Seguiremos investigando.
albertdb
13/02/2012, 18:51
A mi me han programado a las 12:45 de hoy una intenvención para las 12:40 de hoy (sí, 5 minutos antes de programarla). Y todavía sigo esperando.
Salu2
Sólo te cabe esperar, no contestes al ticket que entonces baja en la cola de espera pero cágate en sus muelas. A ver si conseguimos que esta gente nos escuche o nos vamos a tener que ir echando leches.
jhnotario
13/02/2012, 18:04
Actualmente, 28 horas con el servidor caido y se supone que han asignado el ticket esta tarde a las 15:00. Ya no se que hacer.
Publicado inicialmente por
jhnotario
Acabo de hablar con el servicio técnico y me dicen que lo único que puedo hacer es esperar a que me reabran el servidor desde Francia, lo cual seguramente será "Durante el día de hoy" o bien reinstalar el servidor. La primera vez en 4 años que me pasa esto con ellos pero mucho me temo que también será la última.
eso mismo me dijeron a mi, me lo abrieron a las 20.00h después de estar todo el puñetero dia diciendoles a los clientes que estería solucionado en breve. Lo peor de esto es que no sabes cuando vas a tener abierto el server, por lo que no puedes dar una estimación a los clientes, lo que mosquea aún más.
Si, exactamente, jriera, eso mismo me pasó a mí, menudo cabreo de los clientes, muchos se me han ido porque a estos de turno no les da la gana dar un acceso para poder solucionar el tema, a mi me tardaron 20 horas en abrírmelo y llamé 3 veces a Madrid pero claro ahí no hacen nada, sólo te dicen que van a intentar agilizarlo, pero que va, es todo mentira.
Es una lástima que tengan este protocolo de actuación, van a perder muchos buenos clientes que se ven impotentes de controlar esto. A quien le toque, que le pillen confesado como se suele decir porque es penoso.
jhnotario
13/02/2012, 08:19
Acabo de hablar con el servicio técnico y me dicen que lo único que puedo hacer es esperar a que me reabran el servidor desde Francia, lo cual seguramente será "Durante el día de hoy" o bien reinstalar el servidor. La primera vez en 4 años que me pasa esto con ellos pero mucho me temo que también será la última.
Y lo que es peor... que te paren el servidor porque un "cliente"/spammer capullo te ha comprado a través de tu Web... un plan y se ha dedicado a enviar SPAM. Eso en menos de 10 horas de margen. Reciben reporte de Spamcop y no avisan, no. Servidor en RESCUE mode y sin SSH.
Uhh!! No veas que hackeo! Piden reinstalación y todo... cuando en los headers del email aparece claramente que es un usuario autentificado, ni siquiera se trata de un script por un CMS hackeado....
Penoso vamos. Esto sumado a las dos últimas aventuras de antihack con 48 horas seguidas de auténtico "horror", que no recomendaría ni a mis peores enemigos... Sin respuesta de los Franceses, sin servidor, sin posibilidad de recuperar datos (Rescue FTP no funciona, no monta ni las particiones... y ya no digo que por FTP recuperar 500 GB de Maildir es simplemente... imposible).
Mira que hay formas de parar un servidor (como permitir sólo el acceso a una IP que tu indiques en el Manager), de esta forma podrías ver que ha sucedido en tiempo real (pues después del reboot en muchas ocasiones y gracias a sus detallados logs es como buscar una aguja en un pajar en un servidor con alojamiento compartido). ¿El caso de SpamCop? Bloquear el puerto de salida 25 y listo, hasta que el cliente (o sea, nosotros) lo solvente. Como hacen con los Cloud.
Nada, que nos valoran como NADA (por ser fino) entre sus 120.000 servidores... que más da si paramos el servidor a un cliente, que más da si éste tiene 500 dominios sin funcionar y con clientes cabreados, a los que no se le puede dar un argumento lógico. Que más da si tardamos 6 y 10 horas en responder un puñetero ticket para pulsar un enlace y poner el servidor en "RESCUE PRO". Báh, que más da... el dinero e imagen que pierda el cliente de OVH, y sus clientes...
¿De verdad alguien usa esta empresa para alojar VPS? No quiero ni pensarlo....
En definitiva, después de una larga trayectoria de más de 4 años con OVH, me temo... que debo decir ADIOS! Migramos a servidores propios, infraestructura propia, y desde luego... si tenemos un problema, que sea de una fuente de alimentación.... no de un supuesto hackeo.
Fue un placer. Seguro que seguire por aquí leyendo el foro.
Revisa en tu manager de ovh, puede que tengas el mensaje ahi.
Si no lo tienes, prueba a reiniciar el servidor, te enviará otra vez el correo.
jhnotario
12/02/2012, 18:36
Pues yo me encuentro en el mismo problema que tú, un servidor virtual se supone que ha enviado spam y me han bloqueado todo el servidor. Lo mejor de todo es que hoy es Domingo y no recibo respuesta por parte de OVH y además no tengo forma de acceder al servidor para nada, ya que me lo han puesto en rescue pero no me han enviado datos de acceso. Mal, mal, mal...
No, la ip no estaba bloqueada, estaba bloqueado el server entero!
En el manager hay un apartado donde puedes ver las IPs bloqueadas, lo que no se es si te deja desbloquearlas desde ahí mismo.
En mi caso, nos han jodido bien el dia, el server cortado 20 horas, en un server que hay dos VPS me lo bloquean porque uno de ellos (con un ip clara que se puede bloquear) mando varios correos de spam (no más de 10). Es lamentable y te dan acceso ftp sólo lectura para que bajes los archivos y hagas copai de seguridad y formatees.
Con este acceso no puedes montar discos por lo que la partición lba no se puede montar por lo que no se puede hacer copias, a las 20 horas nos dan acceso por fin ssh y podemos investigar mejor el caso y eliminar los archivos.
Es un claro caso de abuso en mi opinión, porque el acceso ssh se debe dar de primeras, además de que sólo se debería suspender o bloqeuar la ip que envia esos correos, no suspender todo el servidor. La ip principal del servidor está limpia.
Para mí, decepción total con esta gente, está claro que no puedes confiar en ellos porque el día menos pensado viene el gilipollas de turno y te suspende el servidor sin pensar lo que hay detrás. Me parece vergonzoso lo de OVH como trata a sus buenos clientes.
vpsdeploy
01/02/2012, 23:37
Yo he tenido algunos tickets de anti-hack y lo que hacen es bloquearme la IP fail over del VPS en cuestión. Eso si, siempre respondo al ticket lo antes posible diciendo que he suspendido el VPS de nuestro cliente y desbloqueo la IP cuando el cliente me da una razón de peso para dejarle seguir usando el servicio...
Lo de OVH y sus sistema de detección de hacks y actuaciones no tiene nombre. Llevamos desde anoche con un servidor cortado por un envio de spam desde una cuenta de cliente (un Joomla desactualizado) Unas 300 webs de cliente sin correo y sin web porque a los señoritos de OVH no les da la gana de hacer el bloqueo por ip. En el servidor tengo dos vps y los dos se ven afectados porque un puñetero cliente ha enviado spam.
Contactamos con ellos esta mañana y aún seguimos igual, es lamentable. Un cliente que usa sus servidores para alojar webs, que lleva 4 años con ellos, que nunca da problemas y que paga una pasta lo pisotean como una colilla, y la impotencia que siente uno ante estos casos.
@oles haztelo mirar porque esto no es forma de tratar a un buen cliente. Si un servidor se sabe que envia spam que se le corte la ip y se avise al cliente. Pero cortar un server entero donde hay otras ips, otros vps sin tener culpa del envio es lamentable.
