OVH Community, votre nouvel espace communautaire.

Ticket - Anti-hack


hr67
01/12/2014, 20h58
A priori j'ai trouvé l'origine du problème : on me confirme que le vps2(y) a subi des désagréments (http://travaux.ovh.net/?do=details&id=12124).
Injoignable, vps1 a du s'excité pour tenter plusieurs connexions générant le mail anti-hack. Comme ce dernier est devenu également injoinable, j'ai cru que OVH m'avait bloqué le serveur...
Il me faut donc voir avec OVH si, une fois que je rentre en production, je ne risque pas de rencontré ce type de souci avec vps1 interrogera énormément vps2...
merci du temps consacré à me répondre Nowwhat.

hr67
01/12/2014, 15h01
Oui, vps1 (x pour toi ; serveur web) interroge vps2 (y pour toi ; serveur mysql).

Et vps1 a été mis en mode hack oui.

Nowwhat
01/12/2014, 14h55
Citation Envoyé par hr67
....
- DEBUT DES INFORMATIONS COMPLEMENTAIRES -
Attack detail : 92Kpps/5Mbps
dateTime srcIp:srcPort dstIp:dstPort [/I]
Les logs (du mail) ne montrent rien, qu'une connexion à mysql (sur un port spécifique ; règles IPTABLES gérées sur les deux VPS) du VPS1 vers le VPS2, ce qui est normal (à mon sens puisque c'est ainsi puisque c'est ainsi que je l'ai construit).
Donc, dans ce log d'OVH, le dstIP et srcIP sont toutes les deux TES VPS à toi ?? !!
Autrement dit: ton VPSx canarde ton VPSy, qui en suite ton VPSx (ou y) se fait mettre en mode hack ?
Alors, la ...... c'est fort.
Je te conseille de lancer un ticket ...

hr67
01/12/2014, 14h47
Bonjour,

Non je n'ai pas eu d'avertissement.

j'ai directement eu ceci

Bonjour,

Une activite anormale a ete detectee sur votre VPS vpsXXX.ovh.net.


N'hesitez pas a vous rapprocher du support technique afin que cette
situation ne devienne pas critique.

Vous pourrez retrouver ci dessous les logs remontes par notre systeme qui
ont conduit a cette alerte.

- DEBUT DES INFORMATIONS COMPLEMENTAIRES -

Attack detail : 92Kpps/5Mbps
dateTime srcIp:srcPort dstIp:dstPort


Les logs (du mail) ne montrent rien, qu'une connexion à mysql (sur un port spécifique ; règles IPTABLES gérées sur les deux VPS) du VPS1 vers le VPS2, ce qui est normal (à mon sens puisque c'est ainsi puisque c'est ainsi que je l'ai construit).

Merci pour ta réponse

H.

Nowwhat
01/12/2014, 14h33
Bonjour,

Normalement, t'as du recevoir un mail qui confirme la mode "mise-en-anti-hack" et le mot de passe root (ssh ou ftp) pour accéder à ton serveur pour réparer ou, au pire, récupérer test fichiers avant ré-installation.

Citation Envoyé par hr67
.... Rien n’a vraiment changé entre temps).
T'inquiète.
Personne à dit que t'as hack ton propre serveur
Le hack ce fait par un tiers ....
Donc quelque chose a bien été changé sur ton serveur, mais pas par toi.
Ce tiers (le hackeur) utilise en suite ton serveur pour faire SON salle travail.

hr67
01/12/2014, 14h28
Bonjour,

Je possède deux VPS (depuis un mois) et un serveur dédié (depuis des années).

Le VPS1 (WEB) se connecte au VPS2(BDD). VPS1 vient d’être bloqué par abuse Team (à minuit).

Je n’ai plus la main sur le serveur, je ne peux plus m’y connecter quelle que soit la façon.

On me répond laconiquement sur le ticket

Bonjour,

En fait, en cas de détection de flux sortant depuis l'un de nos
serveurs, nous agissons par bloquer le serveur concerné pour protéger
les données et permettre à nos clients de vérifier l'origine de la
faille et apporter les corrections nécessaires.


Veuillez prendre les mesures de sécurité nécessaires pour protéger
votre serveur.


Comment faire pour intervenir sur mon VPS1 puisque je n’ai plus la main?

Question subsidiaire : ce mode de fonctionnement n’est-il pas autorisé par OVH ? (le VPS1 tourne depuis un mois, un essai de mise en production a été mis en place 4 jours avant le bannissement. Rien n’a vraiment changé entre temps).

Cdt,

H.