J'ai un serveur depuis des années chez OVH et il a été hacké hier soir.
Je suis en mode "rescue" mais le manager ne me laisse pas la possibilité
de redémarrer sur mon noyau d'origine.
Je pense avoir résolu le problème, j'ai trouvé les logiciels installés
par les malotrus.
Quand je veux changer de noyaux sur le manager, on me dit que ce n'est
pas possible et de contacter le support technique.
Mais le support technique ne réponds pas à mes questions depuis ce
matin.
Le serveur est donc invisible pour mes clients et utlisateurs depuis
presque 24 heures :-(
Connaissez-vous les délais normaux d'intervention chez OVH ?
Je commence à me faire du soucis...
J'ai un serveur depuis des années chez OVH et il a été hacké hier soir. Je suis en mode "rescue" mais le manager ne me laisse pas la possibilité de redémarrer sur mon noyau d'origine. Je pense avoir résolu le problème, j'ai trouvé les logiciels installés par les malotrus. Quand je veux changer de noyaux sur le manager, on me dit que ce n'est pas possible et de contacter le support technique.
Dans le cas d'une machine corrompue, on efface et on réinstalle tous les binaires, on ne repart surement pas de la machine corrompue... Car, es-tu vraiment sûr d'avoir corrigé *tous* les problèmes dûs à la corruption? Es-tu vraiment absolument certain que les attaquants n'ont pas pu devenir root ? Es-tu vraiment sûr que tu n'as laissé aucun processus/script/cron/etc installé par les attaquants ? Qu'il n'y a pas un rootkit sympa d'installé ?
Bref, une fois que la machine a été corrompue, ben c'est réinstallation si on veut faire ça sérieusement. Et surtout pas correction de ce qui a été détecté, car tu n'as aucune idée de ce qui a effectivement été fait, en particulier si l'attaquant a pu devenir root et en effacer les traces...
Yves
J'ai un serveur depuis des années chez OVH et il a été hacké hier soir.
Je suis en mode "rescue" mais le manager ne me laisse pas la possibilité
de redémarrer sur mon noyau d'origine.
Je pense avoir résolu le problème, j'ai trouvé les logiciels installés
par les malotrus.
Quand je veux changer de noyaux sur le manager, on me dit que ce n'est
pas possible et de contacter le support technique.
Dans le cas d'une machine corrompue, on efface et on réinstalle tous les
binaires, on ne repart surement pas de la machine corrompue... Car,
es-tu vraiment sûr d'avoir corrigé *tous* les problèmes dûs à la
corruption? Es-tu vraiment absolument certain que les attaquants n'ont
pas pu devenir root ? Es-tu vraiment sûr que tu n'as laissé aucun
processus/script/cron/etc installé par les attaquants ? Qu'il n'y a pas
un rootkit sympa d'installé ?
Bref, une fois que la machine a été corrompue, ben c'est réinstallation
si on veut faire ça sérieusement. Et surtout pas correction de ce qui a
été détecté, car tu n'as aucune idée de ce qui a effectivement été
fait, en particulier si l'attaquant a pu devenir root et en effacer les
traces...
J'ai un serveur depuis des années chez OVH et il a été hacké hier soir. Je suis en mode "rescue" mais le manager ne me laisse pas la possibilité de redémarrer sur mon noyau d'origine. Je pense avoir résolu le problème, j'ai trouvé les logiciels installés par les malotrus. Quand je veux changer de noyaux sur le manager, on me dit que ce n'est pas possible et de contacter le support technique.
Dans le cas d'une machine corrompue, on efface et on réinstalle tous les binaires, on ne repart surement pas de la machine corrompue... Car, es-tu vraiment sûr d'avoir corrigé *tous* les problèmes dûs à la corruption? Es-tu vraiment absolument certain que les attaquants n'ont pas pu devenir root ? Es-tu vraiment sûr que tu n'as laissé aucun processus/script/cron/etc installé par les attaquants ? Qu'il n'y a pas un rootkit sympa d'installé ?
Bref, une fois que la machine a été corrompue, ben c'est réinstallation si on veut faire ça sérieusement. Et surtout pas correction de ce qui a été détecté, car tu n'as aucune idée de ce qui a effectivement été fait, en particulier si l'attaquant a pu devenir root et en effacer les traces...
Yves
oles
Salut, En cas de danger de mort d'homme, tu peux toujours m'écrire sur en privé.
En ce moment (depuis 2 semaines) on a un flux des backdoor et des attaques. Ca se detecte automatiquement (ou plus au moins automatiquement) via netflow (ah tiens, un flux important d'une machine chez ovh ? tiens, rtm nous dit qu'il y a un backdoor sur la machine, bon bahh on le reboot en rescue, on envoit un email au client et on lui dit de verifier les logs). sinon un humain passe et reboot en rescue. C'est presque le même delai de reboot vu qu'on logge toutes les opérations des robots (et certains robot sont en beta et donc font des fakes operations: ah si j'étais un humain, je rebooterais cette machine).
Depuis 2 semaines, on a dû avoir une bonne 100 d'attaques de ce genre avec pas mal des machines en rescue. Le support s'est pris un peu de delai de reponse. Il reste pas mal des guides à écrire.
Octave
Renaud a écrit:
J'ai un serveur depuis des années chez OVH et il a été hacké hier soir. Je suis en mode "rescue" mais le manager ne me laisse pas la possibilité de redémarrer sur mon noyau d'origine. Je pense avoir résolu le problème, j'ai trouvé les logiciels installés par les malotrus. Quand je veux changer de noyaux sur le manager, on me dit que ce n'est pas possible et de contacter le support technique. Mais le support technique ne réponds pas à mes questions depuis ce matin. Le serveur est donc invisible pour mes clients et utlisateurs depuis presque 24 heures :-(
Connaissez-vous les délais normaux d'intervention chez OVH ? Je commence à me faire du soucis...
-- Simplifiez la gestion de votre hebergement et telechargez MoM: http://www.ovh.com/fr/download pour Windows, Mac ou Linux. C'est gratuit !
Salut,
En cas de danger de mort d'homme, tu peux toujours m'écrire sur
oles@ovh.net en privé.
En ce moment (depuis 2 semaines) on a un flux des backdoor et des
attaques. Ca se detecte automatiquement (ou plus au moins automatiquement)
via netflow (ah tiens, un flux important d'une machine chez ovh ?
tiens, rtm nous dit qu'il y a un backdoor sur la machine, bon bahh
on le reboot en rescue, on envoit un email au client et on lui dit
de verifier les logs). sinon un humain passe et reboot en rescue.
C'est presque le même delai de reboot vu qu'on logge toutes les
opérations des robots (et certains robot sont en beta et donc font
des fakes operations: ah si j'étais un humain, je rebooterais cette
machine).
Depuis 2 semaines, on a dû avoir une bonne 100 d'attaques de ce genre
avec pas mal des machines en rescue. Le support s'est pris un peu de
delai de reponse. Il reste pas mal des guides à écrire.
Octave
Renaud <renaudraffier@infonie.fr> a écrit:
J'ai un serveur depuis des années chez OVH et il a été hacké hier soir.
Je suis en mode "rescue" mais le manager ne me laisse pas la possibilité
de redémarrer sur mon noyau d'origine.
Je pense avoir résolu le problème, j'ai trouvé les logiciels installés
par les malotrus.
Quand je veux changer de noyaux sur le manager, on me dit que ce n'est
pas possible et de contacter le support technique.
Mais le support technique ne réponds pas à mes questions depuis ce
matin.
Le serveur est donc invisible pour mes clients et utlisateurs depuis
presque 24 heures :-(
Connaissez-vous les délais normaux d'intervention chez OVH ?
Je commence à me faire du soucis...
--
Simplifiez la gestion de votre hebergement et
telechargez MoM: http://www.ovh.com/fr/download
pour Windows, Mac ou Linux. C'est gratuit !
Salut, En cas de danger de mort d'homme, tu peux toujours m'écrire sur en privé.
En ce moment (depuis 2 semaines) on a un flux des backdoor et des attaques. Ca se detecte automatiquement (ou plus au moins automatiquement) via netflow (ah tiens, un flux important d'une machine chez ovh ? tiens, rtm nous dit qu'il y a un backdoor sur la machine, bon bahh on le reboot en rescue, on envoit un email au client et on lui dit de verifier les logs). sinon un humain passe et reboot en rescue. C'est presque le même delai de reboot vu qu'on logge toutes les opérations des robots (et certains robot sont en beta et donc font des fakes operations: ah si j'étais un humain, je rebooterais cette machine).
Depuis 2 semaines, on a dû avoir une bonne 100 d'attaques de ce genre avec pas mal des machines en rescue. Le support s'est pris un peu de delai de reponse. Il reste pas mal des guides à écrire.
Octave
Renaud a écrit:
J'ai un serveur depuis des années chez OVH et il a été hacké hier soir. Je suis en mode "rescue" mais le manager ne me laisse pas la possibilité de redémarrer sur mon noyau d'origine. Je pense avoir résolu le problème, j'ai trouvé les logiciels installés par les malotrus. Quand je veux changer de noyaux sur le manager, on me dit que ce n'est pas possible et de contacter le support technique. Mais le support technique ne réponds pas à mes questions depuis ce matin. Le serveur est donc invisible pour mes clients et utlisateurs depuis presque 24 heures :-(
Connaissez-vous les délais normaux d'intervention chez OVH ? Je commence à me faire du soucis...
-- Simplifiez la gestion de votre hebergement et telechargez MoM: http://www.ovh.com/fr/download pour Windows, Mac ou Linux. C'est gratuit !
