OVH Community, your new community space.

machine bloquée en mode rescue FTP


janus57
11/03/2015, 21h50
Bonjour,

si justement, votre serveur envoie des (D)DoS à d'autre serveur, voilà pourquoi OVH vous coupe votre serveur et vous le fait clairement comprendre.

Je n'ai eu, a part ce mail, aucune information de ce genre, ni dans le premier, ni dans le deuxième message. C'est scandaleux de ne pas prévenir les gens ainsi.
Pardon ??
Ce que vous nous montrer l'indique clairement :
Votre serveur ns387168.ip-176-31-247.eu représentant une trop grande menace pour notre
réseau, nous n'avons eu d'autre choix que de le placer dans le mode
'rescue FTP'.
Avec ces infos vous chercher sur la doc OVH et vous verrez que quand OVH procède ainsi il rigole pas :
1er fois == ok l'admin va corriger la faille et re-lancer le serveur
2ième fois == ok l'admin na pas fait son boulot ou le serveur est encore corrompu => réinstallation obligatoire
3ième fouis == l'admin ne fait pas son job et compromet notre réseau, on le met dehors dans les 14prochains jours avec destruction de serveur à la clé.

Un serveur c'est pas un mutualisé, on install et on laisse tranquille, faut entretenir le tout, tout comme les applications/sites qui sont dessus.

Cordialement, janus57

d3cima
11/03/2015, 21h31
Je n'ai eu, a part ce mail, aucune information de ce genre, ni dans le premier, ni dans le deuxième message. C'est scandaleux de ne pas prévenir les gens ainsi.

Comment faire pour que ce problème ne se reproduise pas? Et vu le temps entre chaque requêtes, ce ne serait pas une attaque DDOS?

janus57
11/03/2015, 21h15
Bonjour,

normal, réinstallation obligatoire vu que c'est votre 2ième HACK.

La prochaine fois OVH va rompre le contrat.

Lors du message du 08/03 avant de re-lancer le serveur vous l'avez bien nettoyé et retirer les éléments qui ont permis aux hacker de rentrer et faire pas mal de choses ??

Cordialement, janus57

d3cima
11/03/2015, 21h05
Bonjour,
ce matin du 11/03, j'ai reçu un deuxième mail (le premier datant du 8/03) de anti-hack qui disait :
Votre serveur ns387168.ip-176-31-247.eu représentant une trop grande menace pour notre
réseau, nous n'avons eu d'autre choix que de le placer dans le mode
'rescue FTP'. Un identifiant et un mot de passe vous ont été communiqués
par email afin que vous puissiez récupérer simplement vos données encore
présente sur son espace de stockage.

N'hésitez pas à vous rapprocher du support technique afin que cette
situation ne devienne pas critique.

Vous pourrez retrouver ci-dessous les logs remontés par notre système qui
ont conduit à cette alerte.

- DEBUT DES INFORMATIONS COMPLEMENTAIRES -

Attack detail : 4K scans
dateTime srcIp:srcPort dstIp:dstPort protocol flags bytes reason
2015.03.11 06:45:53 CET 176.31.247.148:49135 104.0.9.112:22 TCP SYN 60 SCAN:SYN
2015.03.11 06:45:53 CET 176.31.247.148:57546 104.0.9.113:22 TCP SYN 60 SCAN:SYN
2015.03.11 06:45:53 CET 176.31.247.148:45849 104.0.9.114:22 TCP SYN 60 SCAN:SYN
2015.03.11 06:45:53 CET 176.31.247.148:46709 104.0.9.117:22 TCP SYN 60 SCAN:SYN
2015.03.11 06:45:53 CET 176.31.247.148:41803 104.0.9.116:22 TCP SYN 60 SCAN:SYN
2015.03.11 06:45:53 CET 176.31.247.148:55015 104.0.9.115:22 TCP SYN 60 SCAN:SYN
2015.03.11 06:45:53 CET 176.31.247.148:59849 104.0.9.119:22 TCP SYN 60 SCAN:SYN
2015.03.11 06:45:53 CET 176.31.247.148:44134 104.0.9.127:22 TCP SYN 60 SCAN:SYN
2015.03.11 06:45:53 CET 176.31.247.148:59711 104.0.9.125:22 TCP SYN 60 SCAN:SYN
2015.03.11 06:45:53 CET 176.31.247.148:60449 104.0.9.124:22 TCP SYN 60 SCAN:SYN
2015.03.11 06:45:53 CET 176.31.247.148:52057 104.0.9.130:22 TCP SYN 60 SCAN:SYN
2015.03.11 06:45:53 CET 176.31.247.148:50735 104.0.9.131:22 TCP SYN 60 SCAN:SYN
2015.03.11 06:45:53 CET 176.31.247.148:45075 104.0.9.132:22 TCP SYN 60 SCAN:SYN
2015.03.11 06:45:53 CET 176.31.247.148:39706 104.0.9.134:22 TCP SYN 60 SCAN:SYN
2015.03.11 06:45:53 CET 176.31.247.148:52970 104.0.9.136:22 TCP SYN 60 SCAN:SYN
2015.03.11 06:45:53 CET 176.31.247.148:35539 104.0.9.120:22 TCP SYN 60 SCAN:SYN
2015.03.11 06:45:53 CET 176.31.247.148:53492 104.0.9.147:22 TCP SYN 60 SCAN:SYN
2015.03.11 06:45:53 CET 176.31.247.148:58108 104.0.9.162:22 TCP SYN 60 SCAN:SYN
2015.03.11 06:45:53 CET 176.31.247.148:33814 104.0.9.159:22 TCP SYN 60 SCAN:SYN
2015.03.11 06:45:53 CET 176.31.247.148:48605 104.0.9.157:22 TCP SYN 60 SCAN:SYN
Depuis, j'ai : Statut du serveur : /!\ informations_server_status_hackedBlocked
et impossible de redémarrer mon dédié sur le disque dur. Que faire?
Je désespère du support OVH qui ne répond jamais à mes messages, je viens donc en appel à la communauté.
merci d'avance pour votre aide à tous.


D3cima