BiagioParuolo
07.10.2011, 15.04
Originariamente Scritto da Acidflame
Hack Status: ns223477
Originariamente Scritto da Acidflame
BiagioParuolo
07.10.2011, 15.03
Originariamente Scritto da raffo
La vps ha il suo Ip failover con MAC tipo OVH e gw il gateway del server dedicato.
Acidflame
07.10.2011, 11.13
Purtroppo è capitato anche ad un mio clienti abbiamo ricevuto tre hack status, ricontrollato 20 volte la macchina riformattata e dopo un mese stamattina riceviamo lo stesso hack per port scan, il problema che entrando nella vps del cliente non c'è nulla che possa far pensare ad una violazione e la vps è stata formattata appena ieri nel pomeriggio. La cosa strana è che mi è arrivato l'hack status, ma l'ip non era bloccato quindi suppongo che è stato un errore, però anche io che sono da quasi un anno su ovh nn capisco ocme funziona l'hack status
raffo
05.10.2011, 11.27
Forse nel routing dell'IP failover hai configurato un gateway in modo tale che se fai un traceroute vedi che prima di andare all'ip finale passa attraverso l'ip dell'host. Questo penso perchè non hai configurato un mac virtuale nella vps..
BiagioParuolo
05.10.2011, 11.12
Appunto la cosa è strana...dai log ricevuti i pacchetti partivano da una VPS con IP failover e andavano ad un altra VPS dello stesso server.
raffo
04.10.2011, 01.11
Previeni questo tipo di incidenti impostando un firewall nel server host, in questo modo se una VPS invia ad esempio un synflood, puoi impostare che l'host limita fino a 200 connessioni syn simultanee e cosi non sarà riconosciuto come hack.
Inoltre, OVH riavvia il server host solo quando gli attacchi partono dall'IP centrale, altrimenti se partono da una vps con un ip failover ti verrà bloccato solo quell'ip e lo potrai sbloccare nel manager su "Stato del server".
Effettivamente pero questo sistema anti-hack è un po troppo rigido, anche io mi sono fregato un giorno facendo delle prove interne per provare un kimsufi che faceva da firewall con bsd..
Inoltre, OVH riavvia il server host solo quando gli attacchi partono dall'IP centrale, altrimenti se partono da una vps con un ip failover ti verrà bloccato solo quell'ip e lo potrai sbloccare nel manager su "Stato del server".
Effettivamente pero questo sistema anti-hack è un po troppo rigido, anche io mi sono fregato un giorno facendo delle prove interne per provare un kimsufi che faceva da firewall con bsd..
BiagioParuolo
02.10.2011, 19.26
Macchina ripartita.
E' possibile che il sistema di monitoring ( Zabbix ) possa simulare un'hack o confondere i vs sistemi, dato che il traffico anomalo segnalato proveniva da una mia vps con Zabbix?
Grazie
E' possibile che il sistema di monitoring ( Zabbix ) possa simulare un'hack o confondere i vs sistemi, dato che il traffico anomalo segnalato proveniva da una mia vps con Zabbix?
Grazie
BiagioParuolo
02.10.2011, 14.33
Buongiorno,
ho necessità di riavviare il server per bloccare la VPS causa dell'hack in questione. Ma è mai possibile che dalla segnalazione al reboot del server in rescue mode lasciate solo 2 minuti!!!!! ( ho l'email ... dalla segnalazione alla variazione di stato solo 2 minuti!!!! ) ... nemmeno Flash Man...non date la possibilità di intervenire in modo rapido e non si può nemmeno accedere via SSH e montare i dischi per prelevare i file delle VPS.
Potete aiutarci?
Grazie
ho necessità di riavviare il server per bloccare la VPS causa dell'hack in questione. Ma è mai possibile che dalla segnalazione al reboot del server in rescue mode lasciate solo 2 minuti!!!!! ( ho l'email ... dalla segnalazione alla variazione di stato solo 2 minuti!!!! ) ... nemmeno Flash Man...non date la possibilità di intervenire in modo rapido e non si può nemmeno accedere via SSH e montare i dischi per prelevare i file delle VPS.
Potete aiutarci?
Grazie