OVH Community, your new community space.

[VPS] Anti hack e mancanza di professionalità

Gnoll

27.09.2012, 14.16

Ma posso sapere perchè sono l'unico che non si lamenta?

Io ho avuto due "emergenze" in 3 anni, che vi racconto di seguito:

Emergenza numero 1:
Hacking del server - il 01/11/2010 ( mio compleanno sigh -.-' ) il server dedicato della mia ditta viene spento ( ore 10.00 se non sbaglio ), ore 12:00 apro un ticket con priorità "emergenza", alle 14:00 mi rispondono che l'hanno riavviato in rescue mode, alle 15:00 avevo rimosso il "rootkit" e riavviato il server. Tempo di downtime: 5 ore.

Emergenza numero 2:
Per un mio cliente stavo effettuando un attività di notte su un vps, il vps aveva l'hard disk pieno e non rilasciava spazio, e il cliente non sapeva la password del server, ho provato a richiedere la password da pannello due volte, alla seconda la procedura si è bloccata e dopo 5 minuti di attesa ho chiamato il numero emergenze di ovh, dove mi ha risposto un operatore in inglese e dopo avergli spiegato la situazione mi ha riavviato il server.
Il giorno dopo ho inviato una mail a supporto@ovh.it perchè non aveva cambiato la password ( mail inviata alle 16:00 ) ed ho ricevuto una risposta alle 18:00 esaustiva.

Il cambio password l'ho effettuato riavviando il server in single user mode da kvm web.

E poi valutiamo una cosa, OVH è una società internazionale, che per esistere un sede dedicata all'italia vuol dire che deve averci come minimo 5000 clienti.
I pochi problemi che ho letto su questo forum equivalgono ad uno puntino microscopico in confronto a quella che è la somma di clienti che detiene OVH.

Inoltre esattamente come lo SLA viene massimizzato, i problemi vengono "minimizzati", questo non significa che essi non esistano, o che il server "sta sempre su", significa che si cerca in tutti i modi di raggiungere quell'obiettivo, nel modo da avere una percentuale molto bassa ( es. sla 0,01% downtime annuo permesso ) di problemi, e se c'è un errore può capitare, è calcolato. Ricordiamoci che errare è umano, e OVH è gestita da umani.

Quindi se capita qualche problema, non dobbiamo pensare "è ovh che è così", ma semplicemente "che sfiga! l'unico problema in un anno è capitato proprio a noi".

zerohack

09.09.2012, 06.31

Noi abbiamo risolto reinstallando il sistema operativo.
Faccio fede che se si aggiorna il SO questi problemi di
bypass con backdoor non ci sarebbero.
State attenti invece ai software di terze parti, tipo xampp
versione apache, ssl che invece di proteggere col crypt, permette
l'accesso (vecchie versioni)
isapi.dll (attenzione alla versione
WEBDAV (permette l'invio files da remoto e loro esecuzione)
Ragazzi, benvenuti nel mondo sysadmin!
Scaricatevi Acunetics web vulnerability scanner
ne scoprirete delle belle sui vostri server!
Quando vi installate un sistema operativo,
esso é di default, e quindi penetrabile amici!
Non basta averlo installato e messo online!
Adesso avviene il DURO lavoro di divenire çAMER di voi stessi!
Dovete fare dei test penetration, iscrivervi nelle
liste forum di hacker's (se cosi vogliamo chiamare questi)
iscrivervi e scaricarvi METASPLOIT
e se imparate bene, dopo qualche test ed exploit avviato,
vi trovate root del vostro server
senza username e password! Grave? OVVIO!
Ma voi quindi saprete quale servizio, quale software
bisognerà fixare, rimuovere, aggiornare!
Giacomo

invbit

13.02.2012, 10.38

Certo.. e in quel caso vi ritrovereste con la metà dei clienti che avete ora!

Direi che questa discussione è diventata sterile, è anche inutile andare avanti.

Ribadisco solo che qualunque cosa accada un cliente non deve mai sentirsi abbandonato al suo destino...
Con nessun altro provider mi è capitata una cosa del genere.
Al massimo mi sono sentito rispondere è colpa tua arrangiati, ma almeno mi veniva data la possibilità di intervenire, anche la domenica!
Ripeto: bastava rispondere a una mail e accendere quella maledetta VM! E abbiamo dovuto aspettare lunedì alle 10 perchè accadesse..

Ma tanto avete comunque ragione voi. La cosa certa è che avete perso un cliente.

P.

tmit

13.02.2012, 10.25

In base ai nostri contratti noi potevamo anche rescindere direttamente in battuta il servizio per abuso.

invbit

13.02.2012, 10.20

Non sto mettendo in dubbio che ci sia stata o meno un'intrusione.
Non metto nemmeno in dubbio lo SLA in questo caso.

Ma avete comunque un problema.

Venerdì sera ci avete spento il server utilizzando un tool automatico, e ci avete inviato un messaggio automatico.
Nel messaggio si legge (estraggo il pezzo saliente):

Abbiamo quindi bloccato il vostro server.

Al fine di risolvere il problema, dovete necessariamente
reinstallare
il sistema operativo del vostro server. Questa operazione
pu? essere
richiesta a partire dal vostro manager v5.

Accedendo al manager v5 si scopre che nessuna opzione per reinstallare o avviare il sistema è presente, perché la VM è spenta!

I nostri ticket erano solo per esercitare un nostro diritto: avere la macchina accesa!
Tutte le nostre richieste sono cadute nel vuoto, per il semplice fatto che non avevate un tecnico allocato il weekend almeno per rispondere ai ticket!

Avere la macchina spenta equivale a violare da parte vostra lo SLA hardware, perché rendete impossibile da parte del cliente effettuare qualunque operazione, compresa la reinstallazione.

Credo che un buon avvocato non abbia difficoltà a darmi ragione.

Saluti
Paolo

tmit

13.02.2012, 10.04

Come già indicato non esistono SLA e quindi tempistiche in casi di abuso.

L'abuso c'è stato ed un estratto è il seguente:

Codice:

[...]
start time                end time                  src IP         src port   dst IP           dst port   protocol   TCP flags   pkts    bytes   
2012-02-10 19:30:48.941   2012-02-10 19:30:48.941   46.105.28.83   36699      22.147.200.216   80         TCP              SYN    200   12 000   
2012-02-10 19:32:02.880   2012-02-10 19:32:02.880   46.105.28.83   56084      22.147.202.49    80         TCP              SYN    200   12 000   
2012-02-10 19:32:05.790   2012-02-10 19:32:05.790   46.105.28.83   50828      22.147.204.143   80         TCP              SYN    200   12 000   
2012-02-10 19:30:49.571   2012-02-10 19:30:49.571   46.105.28.83   43239      22.147.201.7     80         TCP              SYN    200   12 000   
2012-02-10 19:30:49.602   2012-02-10 19:30:49.602   46.105.28.83   43861      22.147.198.113   80         TCP              SYN    200   12 000   
2012-02-10 19:30:55.434   2012-02-10 19:30:55.434   46.105.28.83   50980      22.147.202.178   80         TCP              SYN    200   12 000   
2012-02-10 19:30:58.394   2012-02-10 19:30:58.394   46.105.28.83   44007      22.147.203.64    80         TCP              SYN    200   12 000   
2012-02-10 19:30:53.211   2012-02-10 19:30:53.211   46.105.28.83   59929      22.147.203.96    80         TCP              SYN    200   12 000   
2012-02-10 19:30:56.181   2012-02-10 19:30:56.181   46.105.28.83   57457      22.147.205.84    80         TCP              SYN    200   12 000   
2012-02-10 19:30:49.441   2012-02-10 19:30:49.441   46.105.28.83   34389      22.147.198.231   80         TCP              SYN    200   12 000   
2012-02-10 19:30:49.502   2012-02-10 19:30:49.502   46.105.28.83   53041      22.147.202.84    80         TCP              SYN    200   12 000   
2012-02-10 19:30:52.367   2012-02-10 19:30:52.367   46.105.28.83   39598      22.147.199.110   80         TCP              SYN    200   12 000   
2012-02-10 19:30:55.288   2012-02-10 19:30:55.288   46.105.28.83   59806      22.147.203.137   80         TCP              SYN    200   12 000   
2012-02-10 19:30:58.225   2012-02-10 19:30:58.225   46.105.28.83   49934      22.147.202.201   80         TCP              SYN    200   12 000   
2012-02-10 19:30:58.254   2012-02-10 19:30:58.254   46.105.28.83   55993      22.147.205.153   80         TCP              SYN    200   12 000   
2012-02-10 19:32:29.252   2012-02-10 19:32:29.252   46.105.28.83   41980      22.147.208.19    80         TCP              SYN    200   12 000   
2012-02-10 19:31:00.482   2012-02-10 19:31:00.482   46.105.28.83   33038      22.147.207.162   80         TCP              SYN    200   12 000   
2012-02-10 19:31:06.321   2012-02-10 19:31:06.321   46.105.28.83   34012      22.147.211.238   80         TCP              SYN    200   12 000   
2012-02-10 19:32:14.536   2012-02-10 19:32:14.536   46.105.28.83   57178      22.147.209.28    80         TCP              SYN    200   12 000   
2012-02-10 19:32:17.455   2012-02-10 19:32:17.455   46.105.28.83   47144      22.147.210.162   80         TCP              SYN    200   12 000   
[...]
2012-02-10 19:39:30.122   2012-02-10 19:39:30.122   46.105.28.83   41752      30.229.228.169   80         TCP              SYN    100   6 000   
2012-02-10 19:39:31.258   2012-02-10 19:39:31.258   46.105.28.83   50768      145.56.213.9     80         TCP              SYN    100   6 000   
2012-02-10 19:39:32.763   2012-02-10 19:39:32.763   46.105.28.83   51622      30.229.231.250   80         TCP              SYN    100   6 000   
2012-02-10 19:39:32.775   2012-02-10 19:39:32.775   46.105.28.83   55174      30.229.233.233   80         TCP              SYN    100   6 000   
2012-02-10 19:39:34.064   2012-02-10 19:39:34.064   46.105.28.83   49689      145.56.211.182   80         TCP              SYN    100   6 000   
2012-02-10 19:39:35.563   2012-02-10 19:39:35.563   46.105.28.83   60122      30.229.232.90    80         TCP              SYN    100   6 000   
2012-02-10 19:39:38.383   2012-02-10 19:39:38.383   46.105.28.83   55894      30.229.234.93    80         TCP              SYN    100   6 000   
2012-02-10 19:39:39.716   2012-02-10 19:39:39.716   46.105.28.83   56520      145.56.217.34    80         TCP              SYN    100   6 000   
2012-02-10 19:39:28.245   2012-02-10 19:39:28.245   46.105.28.83   59821      30.229.230.135   80         TCP              SYN    100   6 000   
2012-02-10 19:39:41.247   2012-02-10 19:39:41.247   46.105.28.83   59738      30.229.237.156   80         TCP              SYN    100   6 000   
2012-02-10 19:39:45.080   2012-02-10 19:39:45.080   46.105.28.83   58918      30.229.239.3     80         TCP              SYN    100   6 000   
2012-02-10 19:39:30.967   2012-02-10 19:39:30.967   46.105.28.83   56561      30.229.232.248   80         TCP              SYN    100   6 000   
2012-02-10 19:39:32.219   2012-02-10 19:39:32.219   46.105.28.83   33970      145.56.216.14    80         TCP              SYN    100   6 000   
2012-02-10 19:39:37.460   2012-02-10 19:39:37.460   46.105.28.83   58858      30.229.237.50    80         TCP              SYN    100   6 000   
2012-02-10 19:39:37.557   2012-02-10 19:39:37.557   46.105.28.83   57215      145.56.216.136   80         TCP              SYN    100   6 000   
2012-02-10 19:39:43.047   2012-02-10 19:39:43.047   46.105.28.83   44033      145.56.219.27    80         TCP              SYN    100   6 000   
2012-02-10 19:39:44.562   2012-02-10 19:39:44.562   46.105.28.83   57580      30.229.238.101   80         TCP              SYN    100   6 000   
2012-02-10 19:39:44.575   2012-02-10 19:39:44.575   46.105.28.83   43076      30.229.240.26    80         TCP              SYN    100   6 000   
2012-02-10 19:39:45.904   2012-02-10 19:39:45.904   46.105.28.83   42289      145.56.225.199   80         TCP              SYN    100   6 000   
2012-02-10 19:39:32.475   2012-02-10 19:39:32.475   46.105.28.83   43331      30.229.231.6     80         TCP              SYN    100   6 000   
[...]

invbit

13.02.2012, 09.54

@tmit

1. la VPS è tornata online 5 minuti fa, sempre a 64 ore dall'apertura del ticket originale

2. noi non abbiamo violato alcun contratto, e comunque avevamo solo chiesto di avere la macchina in rescue perché ce l'avete spenta e per noi non c'è modo di avviarla da remoto, e resta ancora più grave il fatto che siete sotto dimensionati il weekend (nel datacenter ovviamente).

Testuali parole dalla vostra signorina del call center: "dobbiamo chiamare un tecnico perchè venga a controllare il ticket. Dovreste avere una risposta in giornata.."
In realtà tutto il weekend è passato al "buio".

Ribadisco: non ho mai avuto un'esperienza di assistenza così negativa con un provider come questa!

tmit

13.02.2012, 09.43

Io vi rispondo dall'italia non dal datacenter.
Attualmente comunque il VPS è attivo in rescue mode.

Per un supporto 24/24 esiste il servizio VIP a pagamento che vi permette di avere una linea preferenziale in ogni caso.

Tenete da conto che non esiste SLA nel caso in cui ci sia una violazione di contratto.

invbit

13.02.2012, 09.23

@tmit

Questo è il ticket ricevuto da voi:

Da: Ludovic D.
Per va200445-ovh
Data: 2012-02-11 18:44:00
Salve,

metteremo il server in modalità rescue per
poter effettuare le verificazioni necessarie, recuperare
i dati e reinstallare il vostro VPS.

Cordialmente
Philippe.

Se guardi bene la data è di sabato sera...
Da allora non avete fatto nulla, la macchina è ancora ferma (adesso mentre scrivo), e non avete più risposto a tutti i nostri solleciti.
Morale un fermo di 64 ore totali!!!

Questa la chiamate assistenza? Dovevate solo cliccare su un pulsante per avviarla.

La realtà è che non avete presidio il weekend, e per una società come la vostra è uno scandalo.
Siete fortunati se non vi facciamo causa.

Paolo

tmit

13.02.2012, 09.16

Nel frattempo abbiamo rilanciato internamente la richiesta di riapertura in rescue.

invbit

11.02.2012, 18.17

Alla ennesima chiamata ci hanno detto che avrebbero (di nuovo) allertato il tecnico.

Mezzora fa arriva una risposta al ticket, dicendo che avrebbero riavviato la vps in modalità rescue.
In questo momento è ancora ferma e nessun cenno di vita...
Siamo a 24 ore dal blocco del server, e loro se la prendono ancora con calma.

Inoltre il manager v5 è quanto di + lento e incompleto abbia mai provato.

Se questo è OVH, allora addio OVH! Manterrò solo le macchinette di test e sviluppo, dato che costa poco, ma di produzione mai +, e credo consiglierò a tutti di starne alla larga.

P.

alex88

11.02.2012, 12.49

Purtroppo anche noi abbiamo avuto lo stesso problema, abbiamo risolto dopo 3 chiamate al numero per gli incidenti, e telefonicamente ci hanno detto di scrivere nel ticket che avremmo risolto noi, quindi se non avessimo chiamato chissà per quanto il ticket sarebbe rimasto aperto..

invbit

11.02.2012, 12.23

Grazie per le dritte..
comunque che non sia una novità non cambia la gravità del loro comportamento.

Abbiamo anche chiamato il supporto (italiano), e ci hanno detto che non c'è nessun tecnico oggi per verificare la situazione, e che "in giornata" (forse) ci faranno sapere...

Cioè non hanno un presidio?

Ti posso dire che la mia esperienza con altri 2 provider italiani con cui ho dei server è nettamente diversa.
Un paio di volte mi hanno chiamato loro di domenica perché non avevo risposto ad un ticket di segnalazione per un possibile guasto...

Quali sono le tue precedenti esperienze con il supporto tecnico OVH?
E' solo perché siamo italiani che veniamo trattati in questo modo?
E se si c'è modo di saltare il filtro italiano e accedere al supporto, magari in inglese (il francese non lo mastico) e non con il "finto" italiano con cui rispondono?

In ogni caso per la mia esperienza un supporto tecnico del genere rende QUALUNQUE prodotto (anche se vendessero server della NASA) totalmente inaffidabile.

Ciao
P.

mac

11.02.2012, 10.52

Questa cosa che ti è capitata non è una novità.
Nel forum qui l'abbiamo letta decine di volte e ogni volta *tutti* si sono indignati ed hanno fatto le tue stesse considerazioni.
Alcune volte chi si lamentava era vittima inconsapevole, altre volte sapeva benissimo che aveva fatto qualcosa di illegale...

A meno di errori da parte di OVH, che ovviamente solo il supporto può valutare, la "politica" è questa...
l'unico modo è prevenire il più possibile queste situazioni ed avere sempre un backup da ripristinare in modo rapido.

Non so se hai già visto queste guide:
http://guida.ovh.it/serverhack
http://guida.ovh.it/SemiHack
http://guida.ovh.it/SemiHack2
http://guida.ovh.it/ServerVirato

Spero tu risolva al più presto.
ciao

invbit

11.02.2012, 10.39

Ciao mac
[si di solito capitano SOLO il fine settimana.. ]

comunque qui il problema non è il backup, potrei averne anche uno all'ora, ma mi hanno bloccato totalmente il server, non pinga nemmeno...
E l'assistenza non risponde da ieri sera, quello che mi hanno mandato è un messaggio automatico.
Ma secondo te è possibile bloccare un server di produzione con un tool automatico e poi sbattersene le peotas???
E il consiglio di reinstallare tutto? Ma santo cielo me l'hanno formattato il server? Se no in linux puoi ripristinare QUALUNQUE cosa, basta sapere come fare! (e avere l'accesso SSH...)

P.

mac

11.02.2012, 10.33

[chissà perché ste cose capitano sempre il fine settimana...]

Non hai un backup?

invbit

11.02.2012, 10.22

Buongiorno a tutti,
vi riporto qui l'esperienza che stiamo vivendo in questo momento con OVH, che ha dell'assurdo.

Ieri sera riceviamo questa email dal supporto:

Da: OVH anti-hack Per va200445-ovh Nascondere il messaggio
Data: 2012-02-10 19:43:02

Gentile Cliente buongiorno,

Siamo dovuti intervenire con urgenza sul vostro server
vps18658.ovh.net al fine di bloccare un attacco. Questo
attacco
e quasi certamente stato lanciato da hackers.
Sfruttando una falla di sicurezza sul vostro server, questi
hacker hanno potuto installare delle 'backdoor'. La falla
di sicurezza pu? avere le seguenti origini:
- problemi negli script php, cgi, ... (phpNuke, phpBB,
...);
- account utenti con password triviali.

Abbiamo quindi bloccato il vostro server.

Al fine di risolvere il problema, dovete necessariamente
reinstallare
il sistema operativo del vostro server. Questa operazione
pu? essere
richiesta a partire dal vostro manager v5.

Trovate qui di seguito le informazioni concenrnenti i
processi
in corso e le porte aperte sul vostro server nel momento in
cui
siamo intervenuti.

------- INIZIO DELLE INFORMAZIONI AGGIUNTIVE RIGUARDANTI
L'ATTACCO -------

scan

------- FINE DELLE INFORMAZIONI AGGIUNTIVE RIGUARDANTI
L'ATTACCO -------

Cordialmente
Il Supporto Incidente OVH

Molto bene.. proprio un rapporto dettagliato di quello che sarebbe (e sottolineo sarebbe) successo...
Ma che cavolo sarebbe quello "scan"? Hanno bloccato il server per un port scan? Per uno scan dall'interno all'esterno? Per COSA?
E soprattutto a voi non si contorcerebbero le budella leggendo:

Abbiamo quindi bloccato il vostro server.

Al fine di risolvere il problema, dovete necessariamente
reinstallare
il sistema operativo del vostro server.

Ecco la mia risposta:

Salve
scusate cosa significa che dobbiamo reinstallare il
server?
E tutti i dati e le configurazioni?

E' necessario avere l'accesso SSH per poter verificare
l'accaduto, stimare i danni e recuperare le
configurazioni.
E' possibile (come ultima spiaggia) almeno avere un
ripristino dell'ultimo snapshot?

Il server ospitava servizi di produzione ed è quindi
necessaria una risposta urgente.

Grazie.

Questo avveniva poco dopo la loro segnalazione.

Ora sono passate 15 (quindici) ore e da OVH nessun cenno di vita.
E il server è completamente irraggiungibile.

Posterò gli sviluppi della vicenda, ma considerando gli ultimi rapporti avuti con l'assistenza OVH (ho anche un RPS acquistata 1 anno fa, e loro mi hanno detto che è OBSOLETA, insomma arrangiati), consiglio a tutti di quelli che hanno servizi importanti di avere sempre un piano B (magari lontani da OVH).

Paolo