We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Kimsufi on mit mon serveur en Mode Rescue


nowwhat
26/12/2016, 09h47
Citation Envoyé par Sen
.... avec mon petit site dessus rien de plus.
Gros site ou petit site : un simple faille permet un tiers de contrôler ton serveur, pour qu'il devient un zombie pour attaquer d'autres serveurs.

Regarde dans le fichier de config de MySQL (normalement /etc/mysql/my.ini) pour que tu trouve l'endroit ou sont stockés les fichiers internes de MySQL (tes bases). Récupère-les.
Fait gaffe avec ton site (les fichiers html, php etc car avec ces fichiers le hackeur (le "tiers") a eu accès à ton serveur. Les replacer sur le serveur fraichement ré-installé sans vérification avant comporte d'énormes risques (perte de serveur).

Si t'as qu'un petit site sur ton serveur, pense à louer un Mutu Perso ou produit du genre, la gestion est bien plus simple.

Je ne sais pas (D)Dos,
Normal.
Le hackeur exploite autre chose : le fait que t'as employé des fichiers script sur ton serveur qui lui permet de prendre la contrôle.
Lui, il s'occupe de ton serveur après .... sous TA responsabilisé.

Sen
26/12/2016, 02h05
Bonjour,

C'est le premier mail que je reçois. Mise à part celui de la mitigation.

Cordialement, Sen

janus57
25/12/2016, 23h39
Bonjour,

donc ce mail indique bien que votre Kimsufi à soit fait un (D)DoS soit il était un zombie soit il avait été piraté et avait des pages de phishing etc…

Bref votre KS a été piraté et fait des actions contraires aux lois et/ou CGU/CGV.

De plus si vous regarder le mail en entier vous verrez si c'est la 2nd fois ou la 3ième fois.

Car au bout de la 3ième fois OVH laisse l'accès rescue FTP 14jours (la dernière fois que j'ai vu une personne poster le mail au complet sur le forum) avant de vous résilier le dédié pour manquement à vos responsabilités comme l'indique les CGU/CGV.

Cordialement, janus57

Sen
25/12/2016, 17h02
Bonjour,

Le second mail de kimsufi:

"Bonjour,

Votre serveur ******* représentant une trop grande menace pour notre
réseau, nous n'avons eu d'autre choix que de le placer dans le mode
'rescue FTP'. Un identifiant et un mot de passe vous ont été communiqués
par email afin que vous puissiez récupérer simplement vos données encore
présente sur son espace de stockage."

janus57
24/12/2016, 21h26
Bonjour,

sauf que ce mail n'indique pas la mise en rescue du dédié, elle indique simplement que le VAC a été mis en place pour mitiger une attaque qui cible votre IP/serveur.

Si votre serveur a été mis en rescue par OVH vous avez un autre mail avec les code de rescue et la raison du passage en rescue (panne ou attaque généré par votre serveur).

Cordialement, janus57

Sen
24/12/2016, 19h39
Citation Envoyé par janus57
Bonjour,

relisez votre mail car il y a 99,99% de chance que ce soit votre serveur qui est envoyé des (D)DoS sur d'autre personne et non votre serveur qui en a reçus.
le mail de kimsufi:
Madame, Monsieur,

Nous venons de détecter une attaque sur l'adresse IP 9******. <==(C'est mon ip serveur)

Afin de protéger votre infrastructure, nous avons aspiré votre
traffic sur notre infrastructure de mitigation.


Je ne sais pas (D)Dos, j'ai mon petit serveur avec mon petit site dessus rien de plus.

janus57
24/12/2016, 19h14
Bonjour,

relisez votre mail car il y a 99,99% de chance que ce soit votre serveur qui est envoyé des (D)DoS sur d'autre personne et non votre serveur qui en a reçus.

Et si vous êtes en rescue FTP c'est au minimum la second fois qu'il coupe votre serveur pour un problème de ce genre, donc vous devez récupérer votre BDD manuellement en copier les fichiers de MySQL/MariaDB ou autre SGBD que vous utilisez.

Et donc si c'est la secondes fois (donc rescue FTP), le seul moyen de changer le netboot est la réinstallation complet du système (mesure qui permet à OVH de forcer le propriétaire du serveur corrompu à refaire une installation propre et théoriquement sans les failles qui permet au hacker d'utiliser le réseau OVH pour lancer des attaques).

Cordialement, janus57

Sen
24/12/2016, 18h26
Bonjour,

J'ai reçus un mail de kimsufi comme quoi mon serveur à eu des attaques DDOS, du coup ils l'ont mit en Mode Rescue.
Impossible de chercher le mode dans le NetBoot mais il ne marche pas
Je souhaiterai au moins récupérer ma base de donnée, mais impossible de se connecté via ssh. Les seul log qui m'on donner c'est en FTP.
J'ai fais un ticket mais ils n'ont toujours pas répondu.

Avez vous une solution pour récupérer la base de donnée ? ou Avez une solution pour changer ce mode sans passer part le NetBoot qui ne fonctionne pas.

Merci beaucoup, passez de bonnes fêtes.