Server Bloccato da 3 giorni

Inutile fare i conti e trarre conclusioni senza l'intervento da parte di chi ha aperto il thread

Chiediamo la collaborazione di D3vil ed attendiamo un suo intervento chiarificatore, come anche la prova di ciò che ha sostenuto.

Questo non significa che non sappiamo cosa sia accaduto ma molto semplicemente vogliamo approfondire la questione con il diretto interessato a scanso di ogni possibile equivoco.

la possibilità di un synflood uscente (causato magari da uno entrante per "colpa" di syn cookies attivi) o qualche altro tipo di attacco riflesso non la escluderei

A dir la verità non mi sembra "inutile". Visto che nessuno la dice chiaramente noi possiamo solo fare ipotesi. Questo è un forum e ci si sta per confrontarsi, no?

Io una idea me la sono fatta: D3vil ha un servizio di sharing, forse criptato. OVH ipotizza che sia materiale protetto da copyright diffuso illegamente e quindi chiude il servizio. D3vil si incavola e sostiene che non c'era niente di illegale e quindi OVH gli chiede le prove.

Se così fosse, confermerebbe che comunque, se OVH ha il sospetto che sia illegale, prima chiude il servizio e poi si informa. Mi sembra che le parole di "webdep" siano inequivocabili.

Nessuno dice che sia sbagliato bloccare i server a chi fa cose illegali, ma sempre nessuno qui capisce come mai non potete avvisare prima il cliente e dargli N ore per risolvere la situazione o fornirvi dettagli (come richiederebbe il vostro contratto).

Comunque attendiamo fiduciosi che la questione si sia risolta e che OVH spieghi come sono andate le cose, così ognuno di noi sa cosa gli può capitare e come.

Riassumendo in breve abbiamo detto: Dalle verifiche effettuate da OVH risulta che quel traffico non sia legittimo.

??? Ma non dovrebbe essere il contrario?
Quindi in OVH sei colpevole fino a prova contraria?

Se non avevate alcuna prova che il traffico violava le condizioni perchè avete bloccato il server?

E comunque la politica di bloccare i server con rescue-ftp mi sembra molto discutibile: se un cliente sa come sistemare farebbe molto prima con un rescue-pro, mentre se vuole solo farvi del danno può tranquillamente ripetere l'attacco da un altro server.. Nelle vostre condizioni di servizio dite che prima di bloccare un server avvisate, mentre sul forum si continuano a leggere casi in cui questo non avviene. Mah.

??? Ma non dovrebbe essere il contrario?
Quindi in OVH sei colpevole fino a prova contraria?

Se non avevate alcuna prova che il traffico violava le condizioni perchè avete bloccato il server?

E comunque la politica di bloccare i server con rescue-ftp mi sembra molto discutibile: se un cliente sa come sistemare farebbe molto prima con un rescue-pro, mentre se vuole solo farvi del danno può tranquillamente ripetere l'attacco da un altro server.. Nelle vostre condizioni di servizio dite che prima di bloccare un server avvisate, mentre sul forum si continuano a leggere casi in cui questo non avviene. Mah.

In ogni caso abbiamo richiesto delle prove che riteniamo necessarie per capire se realmente quel traffico è legittimo.

Stiamo attendendo i log che testimoniano che quel traffico non violava le nostre condizioni.

Grazie per la tua empatia che ne pensi della pensata/proposta che ho fatto?

Domanda, proprio per non trovarmi nella medesima situazione: ma perchè chiedi i log? Se avete bloccato perchè c'era del traffico uscente a 100 mbps, e l'avete "classificato" come un attacco.. Non è allora troppo avventato dichiarare la "chiusura definitiva" ? Sinceramente rimango perplesso a leggere questo caso...

Se chi gestisce il dedicato oggettivamente non ha fatto un attacco, la gestione della cosa mi sembra un po' come "ammazzare le formiche col bazooka"...

Può capitare a chiunque, e penso al mio business e ti faccio un esempio semplice semplice che ogni 6 mesi mi accade e visto che sono alle porte della cosa, la cosa mi spaventa e non poco.

Nel mio caso, quando rilascio i nuobi aggiornamenti dei programmi è per me la prassi (avuta finora anche da su di un altro hoster) mettere a disposizione in download un file da 600 MB circa, ovvero una immagine iso dei miei prodotti, e il download da parte dei clienti potrebbe avere come picco i primi 10-15giorni (stiamo parlando di una anagrafica di 2000 clienti) e poi lungo andare durante tutto il semestre... ma se al terzo giorno mi bloccate, blocchereste inevitabilmente i miei affari...

La cosa mi fa veramente paura...

A dimostrazione di quello che dici puoi riportare sul ticket i log riguardandi quei tre giorni?

Essendo un server che veniva usato per il download da parte degli utenti mi pare logico che il traffico uscente sia alto...

Al momento sto già provvedendo a fare il backup del server e spostare il tutto presso un altro server (acquistato presso altro provider)..
Inoltre vorrei far notare a tutti che per ricevere una risposta esauriente da parte dello staff di ovh, ho dovuto aspettare quasi 1 settimana (...) e la risposta mi è stata data solamente sul forum... tramite mail o tramite il ticket d'incidente non ho ricevuto nessuna risposta..

Mi sembra che OVH non ti permetta di farlo, il messaggio mi sembrava alquanto perentorio "Ciao D3vil, il tuo server è stato bloccato definitivamente in quanto è stato rilevato un attacco uscente da 100 Mbxs per 3 giorni consecutivi, non sarà quindi possibile reinstallarlo."

Se per loro, il log di traffico che hai fatto per l'installazione è stato considerato un ddoss, e quindi non potrai recuperare il server, se non i dati e dovrai farti un nuovo server.

Se vuoi qualche consiglio dimmi dove posso contattarti...

Essendo un server che veniva usato per il download da parte degli utenti mi pare logico che il traffico uscente sia alto... (forse avrei dovuto specificarlo all'inizio del post..)
comunque sai se reinstallando il sistema operativo il server si sblocca da solo? oppure devo contattare nuovamente lo staff di ovh?

In effetti traffico uscente ce n'è!

Questi sono i grafici di MRTG:

http://oi47.tinypic.com/nmj1wi.jpg

http://oi46.tinypic.com/1t928h.jpg

OK.

D3vil, puoi postare i grafici di MRTG per capirne di più?

In questo caso nell'apertura del ticket sono stati riportati due diversi risultati, uno script ritenuto sospetto e un attacco uscente.

Il server non è stato però chiuso per lo script sospetto, ma per un attacco uscente proveniente da quella macchina.

Sicuramente si è superfluo ed ovvio, ma a quanto letto, più che altro sembra che tutto si sia fermato per uno script... Vorrei capirne di più ad onor del vero.

Ciao rolandgrapow, i server che ricevono degli attacchi entranti non vengono bloccati o chiusi definitivamente, ma vengono semplicemente messi in protezione.

Nel caso di questo server, come ho scritto nella precedente risposta, l'attacco era uscente, ovvero partiva da questo server.

Penso sia superfluo aggiungere che i server OVH NON DEVONO essere utilizzati per eseguire degli attacchi.

Trovo però allucinante questa politica di DOVER RIFORMATTARE/BLOCCARE i server. Come se una volta riformattato/reinstallato magicamente non riuscisse a ricevere più ddoss.

avevi per caso attivi i syn cookies?

quelli riflettono tutto verso l'esterno in caso di syn spoofed entrante......

attento che spesso non fanno distinzione tra hack entrante e hack uscente...

se stavano attaccando te (vedi grafici mrtg) loro comunque ti mettono in stato di hack e ti fanno formattare :|

Scusami, ho dimenticato di risponderti.

Non è possibile ripristinarti il server. Hai accesso FTP: puoi fare backup e se vuoi reinstallare.

Il motivo è l'ultimo punto che ti ha girato il tecnico via ticket.