OVH Community, votre nouvel espace communautaire.

Anti-Hack


uromar
30/08/2016, 21h31
Citation Envoyé par buddy
Si ce n'est pas fait pense à mettre fail2ban avec un bantime très élevé pour limiter le brute force sur le FTP et ssh
C'est fait aussi, je ne pense quand meme pas que le hack viennent d'un bruteforce, mais plus d'un script d'un de mes user qui n'est pas a jour.

Ma faute, car je n'ai pas assez securise leurs espace. Le hack a pu avoir acces a un shell.
buddy
30/08/2016, 17h46
Si ce n'est pas fait pense à mettre fail2ban avec un bantime très élevé pour limiter le brute force sur le FTP et ssh
uromar
30/08/2016, 16h40
Bon, j'ai demande le mode rescue et je me retrouve avec un
Code:
There has been a problem with "MyServer" (ID Openstack Nova: 6cfd8d85-4345-4413-bd68-****)
J'attends le retour du support.

En attendant j'ai cree une autre instance, avec un systeme neuf, et tout pour laisser les users dans un jail, et n'autoriser que le ftp et http(s).

Je vais copier les fichiers du premier vers le 2eme quand j'aurais access...
Nowwhat
30/08/2016, 08h24
Ouvre un ticket dans le Manager :
Citation Envoyé par uromar
....
N'hésitez pas à contacter notre équipe support pour plus d'information.
Mais :
... reccuperer les fichiers et reinstaller le systeme ...
Attention : ton OS, comme livré, et installé, et fiable.
Quelque chose que t'as ajouté comporte des failles - soit le mot de passe SSH (ou panel) d'accès de ton serveur est devenu publique - un serveur FTP mal paramétré - etc etc.
uromar
30/08/2016, 02h29
Bonjour,
Mon public cloud a ete suspendu suite a une detection de hack:

Code:
Bonjour,

Nous avons détecté une activité inhabituelle sur un de vos serveurs Cloud Public OVH ({my ip}).

Afin de protéger notre infrastructure, et pour délivrer le meilleur service possible à nos clients, nous avons dû suspendre votre serveur.

N'hésitez pas à contacter notre équipe support pour plus d'information.

Voici les logs retournés par notre système :

Attack detail : 67Kpps/210Mbps
dateTime                   srcIp:srcPort           dstIp:dstPort           protocol flags       bytes reason
2016.08.29 22:56:58 CEST   {my ip}:43473   {dest ip}:22        UDP      ---           103 ATTACK:UDP
2016.08.29 22:56:58 CEST   {my ip}:43473   {dest ip}:22        UDP      ---           777 ATTACK:UDP
2016.08.29 22:56:58 CEST   {my ip}:43473   {dest ip}:22        UDP      ---           253 ATTACK:UDP
2016.08.29 22:56:58 CEST   {my ip}:43473   {dest ip}:22        UDP      ---           725 ATTACK:UDP
2016.08.29 22:56:58 CEST   {my ip}:43473   {dest ip}:22        UDP      ---           441 ATTACK:UDP
2016.08.29 22:56:58 CEST   {my ip}:43473   {dest ip}:22        UDP      ---           542 ATTACK:UDP
2016.08.29 22:56:58 CEST   {my ip}:43473   {dest ip}:22        UDP      ---           222 ATTACK:UDP
2016.08.29 22:56:58 CEST   {my ip}:43473   {dest ip}:22        UDP      ---           561 ATTACK:UDP
2016.08.29 22:56:58 CEST   {my ip}:43473   {dest ip}:22        UDP      ---           585 ATTACK:UDP
2016.08.29 22:56:58 CEST   {my ip}:43473   {dest ip}:22        UDP      ---           103 ATTACK:UDP
2016.08.29 22:56:58 CEST   {my ip}:43473   {dest ip}:22        UDP      ---           248 ATTACK:UDP
2016.08.29 22:56:58 CEST   {my ip}:43473   {dest ip}:22        UDP      ---           127 ATTACK:UDP
2016.08.29 22:56:58 CEST   {my ip}:43473   {dest ip}:22        UDP      ---           418 ATTACK:UDP
2016.08.29 22:56:58 CEST   {my ip}:43473   {dest ip}:22        UDP      ---           275 ATTACK:UDP
2016.08.29 22:56:58 CEST   {my ip}:43473   {dest ip}:22        UDP      ---           220 ATTACK:UDP
2016.08.29 22:56:58 CEST   {my ip}:43473   {dest ip}:22        UDP      ---           296 ATTACK:UDP
2016.08.29 22:56:58 CEST   {my ip}:43473   {dest ip}:22        UDP      ---           636 ATTACK:UDP
2016.08.29 22:56:58 CEST   {my ip}:43473   {dest ip}:22        UDP      ---           148 ATTACK:UDP
2016.08.29 22:56:58 CEST   {my ip}:43473   {dest ip}:22        UDP      ---           119 ATTACK:UDP
2016.08.29 22:56:58 CEST   {my ip}:43473   {dest ip}:22        UDP      ---           323 ATTACK:UDP
Je veux trouver et reparer le probleme, ou reccuperer les fichiers et reinstaller le systeme, mais mon serveur est inaccessible.
Je ne peux pas redemarrer le public cloud en mode rescue.
Comment faire?