Hack detention
Team mi serve urgentemente il pannello i controllo per gestire i miei siti web!
Che stanno sorgendo altri problemi.
Vi pregherei dik attivare il mio pannello di controllo!
Ma vorrei che mi venga dato accesso al pannello togliendo questi due server. ( Mi scuso non succederà più situazioni del genere così successo con il mio server )
Aggiungo: ogni cosa che fai risalgono al ip master
I logs possono essere analizzati su diversi livelli
Originariamente Scritto da
Alberto88
Ciao, oggi mi sono stati consegnati altri log diversi da quelli precedenti che riguardano un server e non li capisco molto bene, non conosco nemmeno 1 degli ip presenti nei server, domanda se ho ip xx xx xx e il mio server ha 3 virtualizzazioni con ip failover, quando esce nei log vostri viene visto come ip principale o come fail over?
I flows sono disponibili in base all'ip master o failover che sia. Dipende dal tipo di analisi richiesta.
Certo analizzare il gw è più veloce e dimostra comunque il problema in molti casi senza scendere nei dettagli.
Originariamente Scritto da
Alberto88
io ho già altri server con varie aziende, ma ancora non ho avuto modo di accedere ai miei file...
L'accesso ai files è disponibile.
Il problema nel tuo caso è che non vi sono i files delle VM e questo non dipende da Ovh
Alberto88
22.12.2010, 10.36
io ho già altri server con varie aziende, ma ancora non ho avuto modo di accedere ai miei file...
Originariamente Scritto da
ciberdany
Io ribadisco, a ovh e lo faccio presente a tutti, che vogliamo una pagina dove poter segnalare i server che ci fanno scansioni sui server, di modo che se io becco uno di questi server che fa le scansioni a me io possa bannarlo da tutta la rete ovh ! mettendo al sicuro anche gli altri ! non ci interessa che stiano costruendo nuove farm, prima di tutto devono concentrare le loro risorse nel migliorare i servizi e la sicurezza, dando a noi la possibilità di aiutare loro ! e sono mesi che ancora la pagina del pagamento con carta di credito pare un sito di phishing ! :P
Abbiamo la pagina web, oltre al solito indirizzo email che e'
abuse@ovh.net.
La pagina web si trova al seguente link:
http://abuse.ovh.net/
Se avete suggerimenti per migliorare il nostro servizio, sono sempre ben accetti.
Grazie.
Originariamente Scritto da
Alberto88
Ciao, oggi mi sono stati consegnati altri log diversi da quelli precedenti che riguardano un server e non li capisco molto bene, non conosco nemmeno 1 degli ip presenti nei server, domanda se ho ip xx xx xx e il mio server ha 3 virtualizzazioni con ip failover, quando esce nei log vostri viene visto come ip principale o come fail over?
Ho controllato tutti gli indirizzi forniti nel log e alcuni , hanno prima inviato dati a alcune porte dei server ( log precedente su connessioni entranti )
Non credo che sia una coincidenza, ma da questi pochi log ( invio totale di 21 pacchetti) non capisco molto.
Codice:
OVH si riserva il diritto di interrompere la connessione ad Internet del Server noleggiato al Cliente, se questo
server costituisce un pericolo per il mantenimento della sicurezza della infrastruttura della OVH, in conseguenza
ad una violazione del server, o in seguito alla scoperta di una criticità nella sicurezza del sistema, o alla necessità
di aggiornamento del server.
OVH informerà preventivamente il Cliente, nella misura del possibile, con un preavviso ragionevole circa la natura
e la durata dell'interruzione, affinchè il Cliente adotti le misure appropriate. OVH si impegna a ristabilire la
connessione al momento in cui gli interventi di correzione siano stati effettuati dal Cliente
sono gli stessi ip che ho pure io?comunque fattore risolto ho acquistato altrove.Ma vorrei che mi venga dato accesso al pannello togliendo questi due server. ( Mi scuso non succederà più situazioni del genere così successo con il mio server )
Aggiungo: ogni cosa che fai risalgono al ip master
Alberto88
21.12.2010, 22.02
Ciao, oggi mi sono stati consegnati altri log diversi da quelli precedenti che riguardano un server e non li capisco molto bene, non conosco nemmeno 1 degli ip presenti nei server, domanda se ho ip xx xx xx e il mio server ha 3 virtualizzazioni con ip failover, quando esce nei log vostri viene visto come ip principale o come fail over?
Ho controllato tutti gli indirizzi forniti nel log e alcuni , hanno prima inviato dati a alcune porte dei server ( log precedente su connessioni entranti )
Non credo che sia una coincidenza, ma da questi pochi log ( invio totale di 21 pacchetti) non capisco molto.
Codice:
OVH si riserva il diritto di interrompere la connessione ad Internet del Server noleggiato al Cliente, se questo
server costituisce un pericolo per il mantenimento della sicurezza della infrastruttura della OVH, in conseguenza
ad una violazione del server, o in seguito alla scoperta di una criticità nella sicurezza del sistema, o alla necessità
di aggiornamento del server.
OVH informerà preventivamente il Cliente, nella misura del possibile, con un preavviso ragionevole circa la natura
e la durata dell'interruzione, affinchè il Cliente adotti le misure appropriate. OVH si impegna a ristabilire la
connessione al momento in cui gli interventi di correzione siano stati effettuati dal Cliente
Originariamente Scritto da
ciberdany
Io ribadisco, a ovh e lo faccio presente a tutti, che vogliamo una pagina dove poter segnalare i server che ci fanno scansioni sui server, di modo che se io becco uno di questi server che fa le scansioni a me io possa bannarlo da tutta la rete ovh ! mettendo al sicuro anche gli altri !
abuse@ovh.net
:: edited ::
non inerente
ciberdany
21.12.2010, 15.38
Io ribadisco, a ovh e lo faccio presente a tutti, che vogliamo una pagina dove poter segnalare i server che ci fanno scansioni sui server, di modo che se io becco uno di questi server che fa le scansioni a me io possa bannarlo da tutta la rete ovh ! mettendo al sicuro anche gli altri ! non ci interessa che stiano costruendo nuove farm, prima di tutto devono concentrare le loro risorse nel migliorare i servizi e la sicurezza, dando a noi la possibilità di aiutare loro ! e sono mesi che ancora la pagina del pagamento con carta di credito pare un sito di phishing ! :P
Originariamente Scritto da
Marcus
OVH rispetta tutte le SLA, le penalita' in caso di non rispetto delle SLA e sopratutto OVH rispetta la legge. E' per questo che stiamo molto attenti ai comportamenti dei nostri server. Sulle nostre condizioni generali di contratto e' scritto chiaramente cosa e' possibile fare e cosa non lo sia, peraltro attacchi ddos o altri attacchi ad altri utenti internet sono punibili dalla legge italiana. Ribadisco che OVH non si sveglia la mattina e chiude un server piuttosto che un altro, c'e' sempre un motivo valido. Visto che lo richiede, problema avuto con il server 91.121.180.105 e' il seguente:
Date flow start Duration Proto Src IP Addr:Port Dst IP Addr:Port Packets Bytes Flows
2010-12-19 19:19:00.039 67.456 TCP 91.121.180.105:80 -> 92.82.127.132:10625 12410 17.8 M 1
2010-12-19 19:19:28.718 65.664 TCP 91.121.180.105:80 -> 79.9.78.16:1477 13944 20.4 M 1
2010-12-19 19:20:07.560 70.912 TCP 91.121.180.105:80 -> 92.82.127.132:10625 12853 18.4 M 1
2010-12-19 19:22:30.277 65.856 TCP 91.121.180.105:80 -> 92.82.127.132:10625 12397 17.8 M 1
2010-12-19 19:23:15.955 75.584 TCP 91.121.180.105:80 -> 86.121.244.155:4135 20056 29.4 M 1
Summary: total flows: 6, total bytes: 104.1 M, total packets: 78747, avg bps: 2.5 M, avg pps: 237, avg bpp: 1322
Time window: 2010-12-19 19:19:00 - 2010-12-19 19:24:31
Total flows processed: 40972221, Blocks skipped: 0, Bytes read: 2130580732
Sys: 7.648s flows/second: 5356912.4 Wall: 7.667s flows/second: 5343844.9
Porta 80 e cmq ho solo fatto uno scan nel ip 72.55.146.76 ed una ltro sito di mia proprietà. io credo che ci sia un errore da parte vostra .. p.s volete rispondere alla email?
P.s: quelli son gli attacchi che il firewall è riuscito a bloccare da parte dei romeni ed un tipo che mi dossava il server alla seguente porta: 22 ED 80
http://whois.domaintools.com/92.82.127.132
http://whois.domaintools.com/86.121.244.155
http://whois.domaintools.com/79.9.78.16 <- riguardo questo ip sò chi è e lui dossava i server miei
Se io volessi fare un grosso abuso non farei altro? Non dosserei un server apposto nelel adsl? Rifletetteci raga.
Ah parlando di SLA sono stato 15 gg senza server nemmeno 1 cent di rimborso ho avuto che società dai
Originariamente Scritto da
gio0101
Almeno accesso al pannello togliendo i server lo date? poichè almeno vorrei gestire i domini.
Almeno quelli.
Un altra cosa: Qualè la legge che mi vieta di fare una cosa ?
P.s vorrei i log di tutto se non avete abbastanza prove dovete assolutamente attivarci i server.
Politiche di OVH che fanno perdere decine e decine di clienti. Lo sapete? apposto di affermarvi su processi automatici perchè non fate manualmente ed indagate col cliente stesso?
TUTTE LE SOCIETà DI HOSTING DEDICATI (E NOMINERò I NOMI POICHè SIAMO STUFI DI OVH E LE SUE POLITICHE NON RISPETTATE NEMMENO IL SLA FIGURATEVI SE NOI DOBBIAMO RISPETTARVI ) FANNO IN MODO CHE LORO STESSI VERIFICANO L'ACCADUTO E CHE CHIUDONO I LORO SERVER SOLO SE C'è DANNO GROSSO.NON COME VOI CHE VI SVEGLIATE UNA MATTINA E DITE: ADESSO DISATTIVIAMO SERVER XXX YYY.. COSì NON VA SFASCIATE UNA SOCIETà Detto questo voglio una risposta via e-mail grazie.
P.s http://nautilusmagazine.blogspot.com...ancese-si.html
OVH rispetta tutte le SLA, le penalita' in caso di non rispetto delle SLA e sopratutto OVH rispetta la legge. E' per questo che stiamo molto attenti ai comportamenti dei nostri server. Sulle nostre condizioni generali di contratto e' scritto chiaramente cosa e' possibile fare e cosa non lo sia, peraltro attacchi ddos o altri attacchi ad altri utenti internet sono punibili dalla legge italiana. Ribadisco che OVH non si sveglia la mattina e chiude un server piuttosto che un altro, c'e' sempre un motivo valido. Visto che lo richiede, problema avuto con il server 91.121.180.105 e' il seguente:
Date flow start Duration Proto Src IP Addr:Port Dst IP Addr:Port Packets Bytes Flows
2010-12-19 19:19:00.039 67.456 TCP 91.121.180.105:80 -> 92.82.127.132:10625 12410 17.8 M 1
2010-12-19 19:19:28.718 65.664 TCP 91.121.180.105:80 -> 79.9.78.16:1477 13944 20.4 M 1
2010-12-19 19:20:07.560 70.912 TCP 91.121.180.105:80 -> 92.82.127.132:10625 12853 18.4 M 1
2010-12-19 19:22:30.277 65.856 TCP 91.121.180.105:80 -> 92.82.127.132:10625 12397 17.8 M 1
2010-12-19 19:23:15.955 75.584 TCP 91.121.180.105:80 -> 86.121.244.155:4135 20056 29.4 M 1
Summary: total flows: 6, total bytes: 104.1 M, total packets: 78747, avg bps: 2.5 M, avg pps: 237, avg bpp: 1322
Time window: 2010-12-19 19:19:00 - 2010-12-19 19:24:31
Total flows processed: 40972221, Blocks skipped: 0, Bytes read: 2130580732
Sys: 7.648s flows/second: 5356912.4 Wall: 7.667s flows/second: 5343844.9
Originariamente Scritto da
Marcus
La situazione e' semplice, ovvero OVH non ammette che i propri clienti utilizzino i loro server in modo da infastidire un altro utente internet, sia che sia interno o esterno alla rete OVH, con degli attacchi, sia che gli attacchi vengano fatti volontariamente sia involontariamente. Per questo esistono gli hack. Tutti i server fermati da OVH con uno stato di Hack, sono stati fermati per un motivo ben preciso e non perche' a OVH piace fermare i server dei propri clienti. Ogni stato di hack ha la sua motivazione e la sua connotazione precisa, per cui dipende sempre da caso a caso.
e non perche' a OVH piace fermare i server dei propri clienti.
Almeno accesso al pannello togliendo i server lo date? poichè almeno vorrei gestire i domini.
Almeno quelli.
Un altra cosa: Qualè la legge che mi vieta di fare una cosa ?
P.s vorrei i log di tutto se non avete abbastanza prove dovete assolutamente attivarci i server.
Politiche di OVH che fanno perdere decine e decine di clienti. Lo sapete? apposto di affermarvi su processi automatici perchè non fate manualmente ed indagate col cliente stesso?
TUTTE LE SOCIETà DI HOSTING DEDICATI (E NOMINERò I NOMI POICHè SIAMO STUFI DI OVH E LE SUE POLITICHE NON RISPETTATE NEMMENO IL SLA FIGURATEVI SE NOI DOBBIAMO RISPETTARVI ) FANNO IN MODO CHE LORO STESSI VERIFICANO L'ACCADUTO E CHE CHIUDONO I LORO SERVER SOLO SE C'è DANNO GROSSO.NON COME VOI CHE VI SVEGLIATE UNA MATTINA E DITE: ADESSO DISATTIVIAMO SERVER XXX YYY.. COSì NON VA SFASCIATE UNA SOCIETà Detto questo voglio una risposta via e-mail grazie.
P.s
http://nautilusmagazine.blogspot.com...ancese-si.html
La situazione e' semplice, ovvero OVH non ammette che i propri clienti utilizzino i loro server in modo da infastidire un altro utente internet, sia che sia interno o esterno alla rete OVH, con degli attacchi, sia che gli attacchi vengano fatti volontariamente sia involontariamente. Per questo esistono gli hack. Tutti i server fermati da OVH con uno stato di Hack, sono stati fermati per un motivo ben preciso e non perche' a OVH piace fermare i server dei propri clienti. Ogni stato di hack ha la sua motivazione e la sua connotazione precisa, per cui dipende sempre da caso a caso.
Originariamente Scritto da
claber
Hai capito benissimo.
Originariamente Scritto da
gio0101
P.s il server citato è usato come backup. se per voi effettuare backup è ILLEGALE allora siete messi proprio male.
Non mi permetterei di effettuare attacchi del genere per enssun movito.
Originariamente Scritto da
gio0101
Avevo solo un tool che scannerizzava le porte aperte su un mio server IN POSSESSO e lo dossavo pure un MIO SERVER ( non ovh e quelli del altra società lo spaevano e mi hanno autorizzato a fare questi test )per vedere se c'erano falle di sicurezza ed altro.
Non credo che questo voi lo avete scambiato come hack detection?
Cioè e uno schifo così dai
ora sono confuso
Originariamente Scritto da
Giorgio
emh lui dossava il suo retro.............. almeno cosi ho capito da quello che ha scritto........
che retro....
emh lui dossava il suo retro.............. almeno cosi ho capito da quello che ha scritto........
Originariamente Scritto da
gio0101
Avevo solo un tool che scannerizzava le porte aperte su un mio server IN POSSESSO e lo dossavo pure un MIO SERVER ( non ovh e quelli del altra società lo spaevano e mi hanno autorizzato a fare questi test )per vedere se c'erano falle di sicurezza ed altro.
Non credo che questo voi lo avete scambiato come hack detection?
Cioè e uno schifo così dai
mi sembra normale che se dossi un'altro server la ovh ti blocca..
Avevo solo un tool che scannerizzava le porte aperte su un mio server IN POSSESSO e lo dossavo pure un MIO SERVER ( non ovh e quelli del altra società lo spaevano e mi hanno autorizzato a fare questi test )per vedere se c'erano falle di sicurezza ed altro.
Non credo che questo voi lo avete scambiato come hack detection?
Cioè e uno schifo così dai
Alberto88
20.12.2010, 18.25
Salve,
oggi attendevo una risposta dal signor Stefano ( contattato telefonicamente) per quanto riguardava l'hack del mio server, come ha visto anche lui non c'erano presenti software o altro che andavano contro il regolamento , e come si vede dal report consegnato il server ha subito una 20 di "hack" tentativi falliti su porta 22, 443, 23, 8000.
Quindi cosa mi sta a indicare che mi stacchiate dei server appena pagati ?
Ho già parlato con il mio avvocato per sapere come muovermi per esporre denuncia per Appropriazione illecita di Dati personali ( presenti nei server che non ho ancora avuto modo di prendere, perché come esposto telefonicamente il vostro rescue mi limita l'accesso alle directory interessate ).
marcus risolvete questa situazione e colpa vostra.........
Originariamente Scritto da
Alberto88
Anche a me è stato trovato hack detection questa notte... su 3 server, ho chiamato ieri sera la assistenza degli incidenti ( con persona che mi faceva da traduttore ), e questa mattina l'assistenza e sono in attesa di riscontro, perché addirittura il mio account del pannello è stato sospeso, e ho molti servizi off-line e ancora non sono riuscito a recuperare i dati.
Marcus come me lo decifri questo caso?
Originariamente Scritto da
asdone123
Beh io credo che non sia un problema della singola macchina ma di un attacco generalizzato su tutta la vostra FARM, quindi invece di bloccare gli account io provvederei a risolvere i problemi visto che la gente come noi che amministra server dedicati non puo' prevedere un attacco o impedirlo .....specialmente su ip master e non failover visto che l'attacco e' stato fatto almeno nel mio caso su ip master ..... non visibile da nessuno e non utilizzato da nessuno visto ke la macchina ha 2 virtualizzazioni che utilizzano ip fail over ..... che non sono stati attaccati MAI come me lo spiegate?
lasciami il tuo contatto ho bisogno di contattarti
Originariamente Scritto da
Marcus
Per quanto riguarda le hack detection, ogni caso viene trattato differentemente e puo' essere dovuto a cause diverse.
Sappiamo che l'hack per l'IP 91.121.180.105 e' stato causato da uno dei seguenti fattori e per questo il server e' stato chiuso:
proxy, camfrog, repeated attacks, bruteforce ssh, ip spoofing...
Immagino che lei sappia quale dei sopracitati abusi il suo server stesse effettuando.
Per qualsiasi ulteriore informazione non esiti a contattare il supporto.
Ah risponda via email e datemi tutte le prove .
Io rivoglio i server attivi poichè io non ho fatto proprio nulla.
Se e necessario contattiamo pure la postale.
P.s il server citato è usato come backup. se per voi effettuare backup è ILLEGALE allora siete messi proprio male.
Non mi permetterei di effettuare attacchi del genere per enssun movito.
Voglio traccia di ogni log ed altro.
SALUTI ed non esitate a rispondere via EMAIL con i dati che ho RICHIESTO
P.s un server che ho dal 2009 come mi viene in mente di rovinarlo? non credo che c'è qualcosa di sospetto NON DA PARTE MIA DATO CHE NON EFFETTUO COSE DEL GENETE?
asdone123
20.12.2010, 16.45
/quote
Forse non è chiara una cosa: io voglio che i server vengono riattivati poichè non ho fatto nessun abusodi esso citato.
Chi fa di queste cose? nessuno. Io non ho fatto proprio NULLA.
Io voglio che vengono attivati i server.
Uno riscontro via email desidero .
Desidero ogni traccia e log di esso.
Grazie
asdone123
20.12.2010, 16.43
Beh io credo che non sia un problema della singola macchina ma di un attacco generalizzato su tutta la vostra FARM, quindi invece di bloccare gli account io provvederei a risolvere i problemi visto che la gente come noi che amministra server dedicati non puo' prevedere un attacco o impedirlo .....specialmente su ip master e non failover visto che l'attacco e' stato fatto almeno nel mio caso su ip master ..... non visibile da nessuno e non utilizzato da nessuno visto ke la macchina ha 2 virtualizzazioni che utilizzano ip fail over ..... che non sono stati attaccati MAI come me lo spiegate?
Per quanto riguarda le hack detection, ogni caso viene trattato differentemente e puo' essere dovuto a cause diverse.
Sappiamo che l'hack per l'IP 91.121.180.105 e' stato causato da uno dei seguenti fattori e per questo il server e' stato chiuso:
proxy, camfrog, repeated attacks, bruteforce ssh, ip spoofing...
Immagino che lei sappia quale dei sopracitati abusi il suo server stesse effettuando.
Per qualsiasi ulteriore informazione non esiti a contattare il supporto.
beh speriamo che risolvano il problema al piu presto..................
Originariamente Scritto da
Alberto88
Anche a me è stato trovato hack detection questa notte... su 3 server, ho chiamato ieri sera la assistenza degli incidenti ( con persona che mi faceva da traduttore ), e questa mattina l'assistenza e sono in attesa di riscontro, perché addirittura il mio account del pannello è stato sospeso, e ho molti servizi off-line e ancora non sono riuscito a recuperare i dati.
pure il mio pannello
ecco quindi sarà un fattore legatomlavo OVh da RBX-97 MTU1500 leggevo
http://travaux.ovh.net/?do=details&i...86389147fda0f4
Alberto88
20.12.2010, 14.11
Anche a me è stato trovato hack detection questa notte... su 3 server, ho chiamato ieri sera la assistenza degli incidenti ( con persona che mi faceva da traduttore ), e questa mattina l'assistenza e sono in attesa di riscontro, perché addirittura il mio account del pannello è stato sospeso, e ho molti servizi off-line e ancora non sono riuscito a recuperare i dati.
Io ne ho dati parecchio ...in 5 anni che sto con ovh + di 8000€..
Io gradirei che mi facciano il rimborso oppure che ripristinano i server
altrimenti provvedo con un avvocato poichè i server sono del mio avvocato.
se erano i miei va bene fottevano ma essendo suoi non posso di certo fare passare liscia.
asdone123
20.12.2010, 13.37
Tu pensi che ti rispondano?
Beh stanotte abbiamo avuto lo stesso problema pure noi.... 3 server down, per hack....... ma la clausola del contratto dice che se noi amministratori non sappiamo contenere un attacco e generando problemi all'intera rete ovh i nostri account e server verranno disabilitati........ma io mi domando... come faccio a prevedere un attacco? e poi ... su ip MASTER ke nessuno conosce visto che uso ip failover e quelli non sono stati attaccati????? Piu' di 100 account disabilitati stanotte su OVH, cioe questi subiscono un'attacco su classi diverse e random nei loro sistemi invece di scusarsi e provvedere a risolvere i loro BUG di sicurezza cosa fanno???? DISABILITANO GLI ACCOUNT DI GENTE KE SPENDE PIU' DI 2400 euro ALL'ANNO----------> SIETE PESSIMI E PENOSI, ORA STO SCRIVENDO UN ARTICOLO SU SPECCHIO DEI TEMPI E ALTRI VARI QUOTIDIANI PER FAR CONOSCERE AI CONSUMATORI E UTILIZZATORI DEL VOSTRO SERVIZIO QUANTO PENOSO SIA......
e' gradita una risposta poichè ho SEMPRE pagato i server grazie.
Ok allora cosa dovrei fare in questi casi? non posso mica perdere 600Gb di roba di lavoro.
OVH coem agisce?... non mandandomi la nuova password del pannello -.-
Palle sempre sti server hack detention... che sarà successo sta volta? fino a 5 minuti fà andava tutto ok ora non più...
91.121.180.105 ip che e successo?
p.s nn ricevo la nuova pass del manager-.-
