OVH Community, your new community space.

Ticket d'incident


BBR
13/02/2014, 18h49
http://forum.kimsufi.com/forumdispla...s-(KS)-English

iph
13/02/2014, 18h45
Hello,
could you please check a server ks3099751,
Windows can't boot after reboot, at the rescue mode everything looks good, but in normal mode server isn't available, no ping, no RDP. Firewall is disabled.
We have created a separate topic here http://forum.kimsufi.com/showthread....nd-not-booting, but still didn't recieve answer.

BBR
13/02/2014, 17h56
en rescue il est stoppé, je te dis qu'il faudra le faire quand tu en seras à la partie restauration de tes données.

mlorentz
13/02/2014, 17h06
@BBR
comment stopper mysql en mode rescue ?
Merci

BBR
06/02/2014, 17h41
tu ne peux pas faire de dumps des bases, tu peux juste copier les fichiers directement, quand tu voudras les remettre il faut impérativement stopper mysql avant sinon tu risques de grosses erreurs/pertes.
Supprimer les fichiers compromis n'est pas suffisant il faut trouver comment ils sont arrivés là

sloomy
06/02/2014, 17h27
Bonjour,

Demander au support de vous permettre d'avoir accès a votre serveur pour résoudre le soucis et/ou récupérer vos bases de données. Il devrait pouvoir vous le permettre le temps de ...

Bruno

mlorentz
06/02/2014, 17h13
Bonjour,

@nowhat : je suis bel et bien entrain de sauvegarder les fichiers se trouvant sur le serveur. Toutefois comment dois je procéder pour faire un dump de mes bases ?

j'ai repéré les fichiers corrompus, je veux les supprimer mais comment procéder sans accès ssh ou ftp avec des droits ?

Amicalement

sloomy
06/02/2014, 16h18
Bonjour,

What ? on peut pas rebooter son serveur pour mettre la main à la patte en ssh !! non mais "allo ..."

Bruno

nowwhat
06/02/2014, 16h10
Le mode "rescue FTP" est la dernière chance qu’OVH donne à un locatair de serveur.
C'est simplement pour faire UNE chose: Faire des sauvegardes.
En suite, mlorentz peut activer qu'UNE chose dans le Manager: la réinstallation (qui efface le disque dur)

C'est la réinstallation complète du serveur qui débloque la situation.
Après installation, de serveur est normallement utilsable.

@mlorentz : il n'y aura pas une prochaine situation "rescue FTP". C'est la résiliation du contrat direct.

Il existe une astuce : Il existe une preuve formelle que dans la sauvegarde il peut y avoir la faille qui a permis qu’un tiers prend la contrôle de ton serveur. Il est très conseillé de remettre en place la sauvegarde après une sévère vérification. En cas de doute => poubelle.

@sloomy: copier un disque avec l'accès FTP est longue et chiant. De plus, il me semble qu'il faut noter les droits et propriétaires de chaque répertoire et fichier q'on sauvegarde, car cette info est perdu quand on copie vers un système NTFS "chez soi".
@mlorentz n'a pa besoin d'aide avec ça car il s'agit de "sauvegarder" quelque chose de son serveur vers une autre endroit, quelque chose que chaque admin sur terre sais faire déjà.

C'est la mise en place eventuèlle des dossiers après installation qui peut poser des problèmes .....

sloomy
06/02/2014, 15h49
Bonjour,

Mouai je me serais bien proposer pour aider, mais j'ai pas réellement de temps aujourd'hui pour jouer le dépannage d'infogérance.
Tout dépends de ce qu'il a sur son serveur et de l'urgence.

Bruno

BBR
06/02/2014, 15h41
ftp rescue = ftp sur port 22
le support lui propose de le passer en rescue normal s'il sait comment combler les failles mais est-ce que cela va l'aider... je doute

sloomy
06/02/2014, 15h38
Re,

Rescue Mode te permet pas une connexion ssh ?
Ouaips mais si tu as 150 Go a récupérer et a ré-uploader tu en as pas un temps certains

Bruno

BBR
06/02/2014, 15h36
Citation Envoyé par sloomy
Bonjour,

S'il a la main sur rien, il va pas pouvoir sauvegarder

Bizarre que tu n'es pas accès en ssh a ta machine !!

Bruno
mais si il est en rescue ftp, c'est fait pour ça !

sloomy
06/02/2014, 15h34
Bonjour,

S'il a la main sur rien, il va pas pouvoir sauvegarder

Bizarre que tu n'es pas accès en ssh a ta machine !!

Bruno

BBR
06/02/2014, 15h30
Tu as une autre solution plus radicale certes mais qui te permettrait de repartir sur de bonnes bases :
- 1 sauvegarder tes données
- 2 réinstaller le serveur
- 3 aussitôt tu te penches sur la sécurité AVANT de remettre quoi que ce soit dessus car le hackeur qui est entré va revenir si tu ne fais pas ce qu'il faut
- 4 prends soin de changer tous tes mots de passe, mets en de bien costauds et aussi vérifie que tout ce que tu vas remettre sera bien à jour (les CMS, forums, scripts en tous genres)
Option : si tu n'es pas sûr de pouvoir faire tout ça, demande si quelqu'un veut bien te le faire (infogérance ponctuelle),

mlorentz
06/02/2014, 15h14
Je suis actuellement en rescue mode, je n'ai accès qu'à mon ftp, je ne peux rien supprimer, comment puis je procéder ?
Désolé je suis nul en matière de serveur, c'est pas vraiment mon métier la maintenance serveur

sloomy
06/02/2014, 15h09
Bonjour,

Ne laisse que ton ip pour accès a ton serveur.
Passe un coup de rkhunter
Fait le ménage

Bon courage.

Bruno

nowwhat
06/02/2014, 14h52
Bonjour !

Effectivement, ton serveur 176.31.103.50 avec le programme connécté à ta porte 49214 (à ce moment là, 05 Feb 2014 09:54:52:240 ) est en train de défoncer la porte 53 (DNS !) chez le pauvre 173.214.161.148 ( oracle.rdp.usa.cc ).
Un vrai DDOS-partie.
Soit : t’as un vrai souci de paramétrage coté DNS ou tous ce qui est lié au DNS sur ton serveur …
Mais je ne pense pas.

C’est ça :
Ta mission: t'as fait entrer 'par négligence’ un sous-locataire sur ton serveur – fout-le dehors et interdit lui l’accès. Enlève les outils qu’il a du deploier sur ton serveur pour le transformer en ‘zombie’ (pilotable à distance).

mlorentz
06/02/2014, 14h28
BBR voici l'extrait de logs
- DEBUT DES INFORMATIONS COMPLEMENTAIRES -

Attack detail : 37Kpps/8Mbps
dateTime srcIp:srcPort dstIp:dstPort bytes protocol

05 Feb 2014 09:54:51:915 GMT 176.31.103.50:49214 173.214.161.148:53 232 UDP
05 Feb 2014 09:54:52:264 GMT 176.31.103.50:49214 173.214.161.148:53 232 UDP
05 Feb 2014 09:54:51:913 GMT 176.31.103.50:49214 173.214.161.148:53 232 UDP
05 Feb 2014 09:54:52:127 GMT 176.31.103.50:49214 173.214.161.148:53 232 UDP
05 Feb 2014 09:54:51:964 GMT 176.31.103.50:49214 173.214.161.148:53 232 UDP
05 Feb 2014 09:54:52:037 GMT 176.31.103.50:49214 173.214.161.148:53 232 UDP
05 Feb 2014 09:54:52:348 GMT 176.31.103.50:49214 173.214.161.148:53 232 UDP
05 Feb 2014 09:54:52:080 GMT 176.31.103.50:49214 173.214.161.148:53 232 UDP
05 Feb 2014 09:54:51:494 GMT 176.31.103.50:49214 173.214.161.148:53 232 UDP
05 Feb 2014 09:54:52:240 GMT 176.31.103.50:49214 173.214.161.148:53 232 UDP



- FIN DES INFORMATIONS COMPLEMENTAIRES -

BBR
06/02/2014, 13h35
ils ont du joindre un extrait de logs à l'email ? montre le

sloomy
06/02/2014, 13h34
Bonjour,

Le minimum
Je croyais qu'OVH avait lancé un service payant pour l'aide ! semble t'il que cela ne s'applique pas au KS !

Bruno

BBR
06/02/2014, 13h33
ben oui, ça m'étonnait aussi ^^

mlorentz
06/02/2014, 13h22
ah je viens d'avoir une réponse d'Audrey environ 18h après ma demande
Bonjour,

Nous regrettons pour le désagrément.Mais votre serveur
fait partie de la gamme kimsufi.Donc nous ne pouvons pas
procéder avec le diagnostique.

Si vous souhaitez avoir plus d'assistance, veuillez poster
votre demande sur le forum:http://forum.kimsufi.com/



Cordialement,
Audrey A
Abuse team
Je trouve ca énorme

sloomy
06/02/2014, 13h00
Bonjour,

Audrey a encore sévit

lol

Sinon on pouvait peut-être vous aider. Pensez à l'infogérance peut-être pas mal.

Bruno

mlorentz
06/02/2014, 12h54
Voici le message, j'ai donc choisi une intervention payante
Bonjour,

Votre machine a passé en état bloqué car notre système

de sécurité a détecté un flux important depuis l'ip
176.31.x.x

Il est en mode rescue ftp qui vous permet de sauvegarder
vos données et réinstaller l'os comme première solution
<== http://guides.ovh.com/ReinstallerMachine

ou bien si vous voulez et vous pouvez corriger le soucis
sans réinstaller, vous devez s'engager à fixer la faille
en rescue pro <== http://guides.ovh.com/ModeRescue

Suite a votre engagement je peux changer le mode en
rescu-pro et vous aurez l'accès ssh lecture écriture
pour corriger avant de rebouter le serveur sur disque
dur.

Si vous le souhaitez, nous pouvons effectuer une
intervention pour vérifier l'origine de soucis pour vous
dans le cadre d'un diagnostique facturé pour 80
€(+tva).


Vous pouvez vérifier également de votre coté en
visualisant les MRTG , qui sont disponibles dans le manager

ou alors directement dans les logs du serveur.


Cordialement,
Audrey A
Abuse team

BBR
06/02/2014, 12h38
sur ks les diagnostics sont faits par l'admin du serveur, donc par toi, pas d'intervention même payante du support car ce n'est pas un problème matériel
tu explores tes logs, tu corriges les failles puis tu demandes la remise en ligne du serveur, mets nous le contenu du mail envoyé par le support si tu veux que quelqu'un (autre client) t'aide.

mlorentz
06/02/2014, 12h29
Je sais qu'il s'agit d'une attaque vers d'autres serveurs, mais j'ai demandé un diagnostic pour en connaître la source

BBR
06/02/2014, 12h27
En principe tu as du recevoir un email te disant la raison du passage en mode rescue (problème hardware, spam, attaque vers d'autres serveurs, etc.)

mlorentz
06/02/2014, 11h59
Bonjour,

mon serveur ks391128.kimsufi.com est en mode rescue, depuis hier.

A 16h39, j'ai commandé un diagnostic, mais je n'ai toujours pas de réponse de votre part, pouvez-vous m'indiquer quand mon serveur sera à nouveau opérationnel ?

Cordialement