Jump to content
Sign in to follow this  
EvolutionCrazy

OVH, irc e obbligo formattazione server? Oo

Recommended Posts

Penso che a più di qualcuno in questi giorni sia arrivata questa email da OVH:

 

Buongiorno,

 

Abbiamo individuato un flusso di connessioni IRC verso

l'xxxx

appartenente al Vostro server xxxxx. Queste

connessioni servono a controllare

dei bots installati sul Vostro server.

 

Il Vostro server è stato infettato a causa di una versione

troppo vecchia e/o di una falla di sicurezza sul vostro

sistema. Il modus operandi dell'hacker gli permette di

ottenere l'accesso 'root' al server.

Solo una reinstallazione completa del Vostro server potrà

assicurarvi che il sistema sia sano nuovamente.

 

Abbiamo bloccato a livello di ruters le risorse che possono

controllare i bots e Vi chiediamo di procedere alla

reinstallazione del Vostro sistema in 24H.

Passato questo termine, saremo obbligati a disattivare il

Vostro server.

 

 

Cordialmente,

Il supporto tecnico

 

La mail fa paura (costringono a formattare la macchina entro 24ore!!!)

(soprattutto alla luce che tali connessioni IRC erano volute e utilizzate)...

 

Contattandoli per telefono hanno detto di non preoccuparsi... in realtà non staccheranno il servizio se si tratta di utilizzo noto all'utente (nel mio caso so di per certo che quelle specifiche connessioni irc (uscenti!) non sono di in trojan o roba del genere...)

 

Ho ovviamente risposto al ticket intimandoli a non procedere... la mail è arrivata ieri alle 16:55... quindi oggi alle 16:55 ci sarà il momento verità...

 

al ticket non mi hanno ancora risposto... :/

Share this post


Link to post
Share on other sites

intendi che stanotte mi staccano la macchina? :(

 

sembravano così sicuri al telefono...

 

al ticket ovviamente non hanno ancora risposto...

 

Se verso l'una sarà ancora UP mi sa che lancio un bell'rsync di tutta la macchina verso leaseweb.... non vorrei mai che domani arrivi il tecnico di turno più fubro degli altri :S

Share this post


Link to post
Share on other sites

6844.strip.gif

 

Lo vedi quello indicato nell'immagine centrale? Tua sorella vedrà qualcosa di simile stanotte.

 

Se non hai una sorella dimmelo che te ne spedisco una.

Share this post


Link to post
Share on other sites

Stessa storia, stessa mail minatoria (anche lo stesso orario...): vi risparmio la vagonata di insulti che hanno ricevuto via ticket (da me).

 

(@EvolutionCrazy: per curiosità, eri mica connesso ad Azzurra? se la risposta è sì, allora il problema è semplice: probabilmente qualche operatore del loro NOC ha scambiato uno dei nostri ircd per il controlling host di una botnet, l'ha messo in null-route e ha markato come compromesse tutte le loro macchine con connessioni aperte verso quell'host...)

Share this post


Link to post
Share on other sites

si, si tratta di azzurra...

 

avevano messo in null route TUTTI i server azzurra... solo quello tin.it forse era rimasto accessibile ma non accettava connessioni da ovh...

 

sconcertante il modo in cui hanno seguito il problema...

mi hanno risposto dopo due giorni così:

 

Hello

 

 

This message follows the security alert that we sent you.

Please excuse for the response timedue to the fact that

the problem has touched a very large number of machines.

 

 

 

What is the reason for this warning?

 

We found abnormal connections from certain IPs connected to

IRC protocols and related to attacks in the network.

After checking we found a very large number of servers

hacked in root with illegal eggdrops and psybnc launched

 

If your server currently has not been suspended there are

chances that you're not affected by the hack / illegal

use.

 

How to check?

 

a) If you do not use IRC and if you not have declared any

IRC protocol in your manager (incoming or outgoing

connection) you must definitely check out your machine is

probably infected with a backdoor.

 

Check with lsattr /usr/xxx (folder that contains your

binarys) that NO ONE is listed in --ia-- rights.

More help: OVH : HackedMachineExample

 

b) if you run your own eggdrop psybnc or something else for

irc ) or if you have a linked your ircd to one of the

blocked IP's and you have correctly reported those

addresses into the manager, you can ignore this warning.

We recommend you any time to verify that your eggdrop,

psybnc etc.. is not hacked.

 

b1) if you have not yet reported your IRC connections (d)

thank you for doing so.

 

c) you can connect to an irc:

in this case it is quite possible that this gate is part of

IRC IP's who had the most illegal connections.

These IP are nullrouted.

The abuse @ NOC these IP's have been contacted.

This nullroute will be removed when an agreement between

the NOC and NOC ovh in question have been found.

 

Sincerely,

Angie

 

professionalità ai minimi storici per quanto riguarda OVH!

mi minacci di scollegare il server se non faccio un re-image entro 24h e poi nemmeno leggi di striscio la mia risposta a questa tua richiesta?

Share this post


Link to post
Share on other sites

mi minacci di scollegare il server se non faccio un re-image entro 24h e poi nemmeno leggi di striscio la mia risposta a questa tua richiesta?

visto il numero elevato di clienti coinvolti avranno valutato che leggere tutte le risposte e rispondere di conseguenza sarebbe costato troppo :asd:

Share this post


Link to post
Share on other sites
visto il numero elevato di clienti coinvolti avranno valutato che leggere tutte le risposte e rispondere di conseguenza sarebbe costato troppo :asd:

 

più o meno di fare un backup dei db ? :cartello_lol:

Share this post


Link to post
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
Sign in to follow this  

×