OVH, irc e obbligo formattazione server? Oo

[EvolutionCrazy]

Penso che a più di qualcuno in questi giorni sia arrivata questa email da OVH:

Buongiorno,

Abbiamo individuato un flusso di connessioni IRC verso
l'xxxx
appartenente al Vostro server xxxxx. Queste
connessioni servono a controllare
dei bots installati sul Vostro server.

Il Vostro server è stato infettato a causa di una versione
troppo vecchia e/o di una falla di sicurezza sul vostro
sistema. Il modus operandi dell'hacker gli permette di
ottenere l'accesso 'root' al server.
Solo una reinstallazione completa del Vostro server potrà
assicurarvi che il sistema sia sano nuovamente.

Abbiamo bloccato a livello di ruters le risorse che possono
controllare i bots e Vi chiediamo di procedere alla
reinstallazione del Vostro sistema in 24H.
Passato questo termine, saremo obbligati a disattivare il
Vostro server.


Cordialmente,
Il supporto tecnico

La mail fa paura (costringono a formattare la macchina entro 24ore!!!)
(soprattutto alla luce che tali connessioni IRC erano volute e utilizzate)...

Contattandoli per telefono hanno detto di non preoccuparsi... in realtà non staccheranno il servizio se si tratta di utilizzo noto all'utente (nel mio caso so di per certo che quelle specifiche connessioni irc (uscenti!) non sono di in trojan o roba del genere...)

Ho ovviamente risposto al ticket intimandoli a non procedere... la mail è arrivata ieri alle 16:55... quindi oggi alle 16:55 ci sarà il momento verità...

al ticket non mi hanno ancora risposto... :/

[EvolutionCrazy]

le 24H sembrano trascorse... e la macchina in questione è ancora up...

qualcun altro nella stessa situazione?

[GrG]

Tranquillo sono sicuro hanno qualcosa in cron a mezzanotte Marco.

[EvolutionCrazy]

intendi che stanotte mi staccano la macchina?

sembravano così sicuri al telefono...

al ticket ovviamente non hanno ancora risposto...

Se verso l'una sarà ancora UP mi sa che lancio un bell'rsync di tutta la macchina verso leaseweb.... non vorrei mai che domani arrivi il tecnico di turno più fubro degli altri :S

[GrG]

Lo vedi quello indicato nell'immagine centrale? Tua sorella vedrà qualcosa di simile stanotte.

Se non hai una sorella dimmelo che te ne spedisco una.

[EvolutionCrazy]

aahahha

speriamo di no :P

[gorkon]

Stessa storia, stessa mail minatoria (anche lo stesso orario...): vi risparmio la vagonata di insulti che hanno ricevuto via ticket (da me).

(@EvolutionCrazy: per curiosità, eri mica connesso ad Azzurra? se la risposta è sì, allora il problema è semplice: probabilmente qualche operatore del loro NOC ha scambiato uno dei nostri ircd per il controlling host di una botnet, l'ha messo in null-route e ha markato come compromesse tutte le loro macchine con connessioni aperte verso quell'host...)

[EvolutionCrazy]

si, si tratta di azzurra...

avevano messo in null route TUTTI i server azzurra... solo quello tin.it forse era rimasto accessibile ma non accettava connessioni da ovh...

sconcertante il modo in cui hanno seguito il problema...
mi hanno risposto dopo due giorni così:

Hello


This message follows the security alert that we sent you.
Please excuse for the response timedue to the fact that
the problem has touched a very large number of machines.



What is the reason for this warning?

We found abnormal connections from certain IPs connected to
IRC protocols and related to attacks in the network.
After checking we found a very large number of servers
hacked in root with illegal eggdrops and psybnc launched

If your server currently has not been suspended there are
chances that you're not affected by the hack / illegal
use.

How to check?

a) If you do not use IRC and if you not have declared any
IRC protocol in your manager (incoming or outgoing
connection) you must definitely check out your machine is
probably infected with a backdoor.

Check with lsattr /usr/xxx (folder that contains your
binarys) that NO ONE is listed in --ia-- rights.
More help: OVH : HackedMachineExample

b) if you run your own eggdrop psybnc or something else for
irc ) or if you have a linked your ircd to one of the
blocked IP's and you have correctly reported those
addresses into the manager, you can ignore this warning.
We recommend you any time to verify that your eggdrop,
psybnc etc.. is not hacked.

b1) if you have not yet reported your IRC connections (d)
thank you for doing so.

c) you can connect to an irc:
in this case it is quite possible that this gate is part of
IRC IP's who had the most illegal connections.
These IP are nullrouted.
The abuse @ NOC these IP's have been contacted.
This nullroute will be removed when an agreement between
the NOC and NOC ovh in question have been found.

Sincerely,
Angie

professionalità ai minimi storici per quanto riguarda OVH!
mi minacci di scollegare il server se non faccio un re-image entro 24h e poi nemmeno leggi di striscio la mia risposta a questa tua richiesta?

[andrea.paiola]

mi minacci di scollegare il server se non faccio un re-image entro 24h e poi nemmeno leggi di striscio la mia risposta a questa tua richiesta?

visto il numero elevato di clienti coinvolti avranno valutato che leggere tutte le risposte e rispondere di conseguenza sarebbe costato troppo

[WizOfOz]

visto il numero elevato di clienti coinvolti avranno valutato che leggere tutte le risposte e rispondere di conseguenza sarebbe costato troppo

più o meno di fare un backup dei db ?

[guest]

OVH sono esteri o sbaglio?
Ma all'estero, non era tutto rose e fiori? Non era l'Eden, l'Eldorado, l'ottava meraviglia del mondo o quant'altro?

[xAnder]

più o meno di fare un backup dei db ?

OFF TOPIC BOX

Ti stimo

Mi pare di aver letto sul forum di OVH che non sei obbligato a formattare a tutti i costi. Basta dimostrare che il collegamento era voluto e la macchina non è compromessa.

[gorkon]

OVH sono esteri o sbaglio?
Ma all'estero, non era tutto rose e fiori? Non era l'Eden, l'Eldorado, l'ottava meraviglia del mondo o quant'altro?

Per carità, nessuno ha mai detto questo: semplicemente non posso permettermi una cifra > 36 euro/mese per una macchina ad uso strettamente personale.
Chiaro che poi in caso di problemi c'è da fronteggiare un vero e proprio muro di gomma, ma "l'assistenza competente costa cara" (cit.)

Mi pare di aver letto sul forum di OVH che non sei obbligato a formattare a tutti i costi. Basta dimostrare che il collegamento era voluto e la macchina non è compromessa.

Il problema è convincerli. All'inizio han messo in dubbio che fossi in grado di amministrare la mia macchina, dopodiché hanno affermato che PROBABILMENTE era stato compromesso l'ircd a cui ero connesso (salvo poi ritrattare con un imbarazzatissimo "era solo un'ipotesi" quando ho spiegato loro che l'admin è un certo Marco d'Itri ).

[xAnder]

OFF TOPIC BOX

Mi sembrava di averlo già sentito sto Marco d'Itri.. mi ha risposto ad un ticket di seeweb.

Ma alla fine hai dovuto formattare?

[WizOfOz]

allora ragazzi bisogna mettersi d'accordo....
quando si dice che non va si tira fuori la carta del prezzo basso...

nell'altra discussione c'è gente che sostiene a spada tratta che la qualità è indipendente dal prezzo anche nel lowcost....