OVH Community, your new community space.

Message Anti-hack et rescue FTP


Akama
08/03/2014, 14h24
Philippe > Oui, PHPMyadmin qui était déjà dans la R2.

BBR > On a souvent utilisé WP auparavant mais on n'a pas eu de problèmes sérieux jusqu'à ce hack. Peut être de la chance

BBR
08/03/2014, 11h59
la R2 en elle-même est super stable et pas mal protégée, par contre les ajouts de wp et autre trucs du genre là c'est plus chaud.

Akama
08/03/2014, 07h23
Bonjour,

Merci pour tous vos précieux réponses et conseilles. Je vais de suite me mettre au travaille et faire le nécessaire.
Je tiendrai aussi compte du fait qu'un deuxième "Anti-hack" me fera perdre le serveur.

Encore merci.

Akama

nowwhat
07/03/2014, 22h33
Bonjour,

Je ne cache pas que j'aime pas ce R2 .... utiliser des vieux logiciels/OS, donc nada comme support n'est pas vraiment top. Le "apprendre" est même très difficile - car tu seras seul avec ton OS: les Kikolols ne comprennet pas (au fait: si: on te jack ton serveur) et les plus expérimentes n'ont pas de R2: ils ne sont pas fou.
Mais, je pense quand même que même un R2 installé (sans tes additives) aujourd’hui n'est pas hacké dans 3 jours ...

DONC: tes sites - e que t'as ajouté - tes scripts PHP, la façon comment il traite les uploads, les plugins/modules/extension : d'une qualité vraiment grave (car pas écrit par les éditeurs de tes CMS, mais par mon fils .... un super coder "tout fait dans l'heure" - et "ça marche donc cherchons plus").
Ne garde QUE tes CMS - à jour - sans thème "pourri" (des thèmes ont aussi leur code ...) - et n’accepte PLUS des plugins AVANT les avoir lu (si, si, il faut lire le code - comprendre ce qui ce passe - sinon: ne l'installe pas.)

Sache aussi que t'auras pas un deuxième "serveur mode hack - FTP" - OVH t'enlève ton serveur sur le champs pour "abus de contrat" (un peu comme le flics qui te saisi ta voiture pour conduite sans permis ni assurance ...) sans avertissement ni procès.
T'as intérêt à mettre en place un système de sauvegarde qui tient la route - ten auras besoin au moindre faux pas.

buddy
07/03/2014, 22h00
Bonjour,

si le serveur est neuf et doit être réinstallé, autant partir sur OVH release 3 ...
Pour le serveur, après avoir sécuriser wordpress, çà ne fera pas de mal d'installer Fail2ban sur le serveur (avec un bantime élevé ) et un firewall basé sur iptables aussi ...

phil_
07/03/2014, 20h06
Pas mal, hacké en 3 jours...

Déjà, il faudrait que tu lises des tutos sur comment sécuriser ton wordpress. De base, ce n'est vraiment pas du tout sécurisé, par exemple, des gens ont trouvés des méthodes pour faire exécuter à l'aide d'une requête url bien formatée n'importe quel code php par un serveur.

Déjà, au moins je peux te conseiller d'installer comme plug-in "Better WP Security" qui est pas trop mal. Mais, je t'en supplie, ne considère pas qu'un plug-in est la fin de tes problèmes de sécurisation du serveur. Ce n'est que le début. Hasard, tu n'aurais pas mis phpmyadmin?

Philippe

Akama
07/03/2014, 15h31
D'accord, j'ai compris. Merci pour votre aide.

nicobilaine
07/03/2014, 12h46
Si vous l'avez juste installé, il y a de forte chance qu'il faille le mettre à jour (quand vous installez Windows sur votre PC, il n'est pas à jour).

Akama
07/03/2014, 12h06
Nicobilaine > Nous venons d'acquérir le serveur et on y a installé Gentoo R2 Mardi dernier en supposant que l'installation était déjà à jour. Ou faudrait-il encore mettre tout à jour? Merci.

Buddy > Oui effectivement, on utilise Wordpress. Je vais tout mettre à jour y compris les plugins. Mais après, pour la réactivation, comment je fais? Merci.

buddy
07/03/2014, 11h58
Tous les sites sont a jour ??
Il n y aurait pas un cms ( joomla, wordpress, phpbb, drupal, ...) pas à jour ??

nicobilaine
07/03/2014, 11h46
Est-ce que la faille ce n'est pas un R2 (qui date de 2006) non mis à jour?

Akama
07/03/2014, 11h22
Bonjour Buddy,

Tout ce qu'il y a sur un Gentoo R2 (serveur web, serveur mail, php, mysql...) mais pas plus. Il y a actuellement 5 sites hébergés sur le serveur.

buddy
07/03/2014, 11h12
Bonjour,
Qu y a t il sur ton serveur comme services actif ? Site web ? Serveur mail ? Torrent ? Etc...

Ca peut etre une faille qui vient d un site comme autre chose puisque l on ne sait pas ce qui tourne sur ton serveur.

Akama
07/03/2014, 10h53
Bonjour à tous,

J'ai eu ce message d'OVH hier

Votre serveur nsxxxx.eu représentant une trop grande menace pour notre
réseau, nous n'avons eu d'autre choix que de le placer dans le mode
'rescue FTP'. Un identifiant et un mot de passe vous ont été communiqués
par email afin que vous puissiez récupérer simplement vos données encore
présente sur son espace de stockage.

N'hésitez pas à vous rapprocher du support technique afin que cette
situation ne devienne pas critique.

Vous pourrez retrouver ci-dessous les logs remontés par notre système qui
ont conduit à cette alerte.

- DEBUT DES INFORMATIONS COMPLEMENTAIRES -

Attack detail : 6Kpps/67Mbps
dateTime srcIp:srcPort dstIp:dstPort bytes protocol

06 Mar 2014 21:37:41:284 GMT 91.121.xxx.xxx:46346 205.196.211.81:80 1500 UDP
06 Mar 2014 21:37:41:284 GMT 91.121.xxx.xxx:47842 205.196.211.81:80 1500 UDP
06 Mar 2014 21:37:41:305 GMT 91.121.xxx.xxx:56028 205.196.211.81:80 1500 UDP
06 Mar 2014 21:37:41:296 GMT 91.121.xxx.xxx:56028 205.196.211.81:80 1500 UDP
...
Le serveur est sur Gentoo R2

J'aurais besoin d'une petite aide ou un conseille sur où je dois commencer à chercher la (les) faille(s) sur le serveur.
J'aimerai aussi savoir comment je pourrai réactiver mon serveur, ou dois-je complètement réinstaller?

Merci beaucoup de votre aide.