gelinhouse 8 Zgłoś post Napisano Listopad 25, 2016 (edytowany) Witam! Otrzymałem dzisiaj następującą wiadomość z supportu SoYouStart o następującej treści. [TICKET#8142657415] Anti-hack Szanowni Państwo, Państwa serwer ns302xxxx.ip-149-xxx-xx.eu stanowi zagrożenie dla naszej sieci. W związku z tym został uruchomiony w trybie 'rescue FTP'. Na Państwa adres e-mail została wysłana wiadomość zawierająca dane do logowania. W trybie tym można odzyskać dane zapisane na serwerze. W celu uzyskania dodatkowych informacji, prosimy o kontakt z naszymi konsultantami: telefonicznie pod numerem 71 718 23 70 poprzez ticket w panelu administracyjnym: https://www.ovh.pl/managerv3/services-support-tickets.pl?level=normal Poniżej znajdują się logi dostępne w naszym systemie. - POCZĄTEK LOGÓW - Attack detail : 13K scans dateTime srcIp:srcPort dstIp:dstPort protocol flags bytes reason 2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61570 92.222.225.37:3389 TCP SYN 52 SCAN:SYN 2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61586 92.222.227.37:3389 TCP SYN 52 SCAN:SYN 2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61587 92.222.227.43:3389 TCP SYN 52 SCAN:SYN 2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61588 92.222.227.36:3389 TCP SYN 52 SCAN:SYN 2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61568 92.222.225.35:3389 TCP SYN 52 SCAN:SYN 2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61569 92.222.225.36:3389 TCP SYN 52 SCAN:SYN 2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61585 92.222.227.34:3389 TCP SYN 52 SCAN:SYN 2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61664 92.222.237.221:3389 TCP SYN 52 SCAN:SYN 2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61830 151.80.6.111:3389 TCP SYN 52 SCAN:SYN 2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61831 151.80.6.109:3389 TCP SYN 52 SCAN:SYN 2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61829 151.80.6.110:3389 TCP SYN 52 SCAN:SYN 2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61575 92.222.227.2:3389 TCP SYN 52 SCAN:SYN 2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61584 92.222.227.20:3389 TCP SYN 52 SCAN:SYN 2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61573 92.222.227.0:3389 TCP SYN 52 SCAN:SYN 2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61583 92.222.227.24:3389 TCP SYN 52 SCAN:SYN 2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61582 92.222.227.31:3389 TCP SYN 52 SCAN:SYN 2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61642 92.222.235.25:3389 TCP SYN 52 SCAN:SYN 2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61887 151.80.9.97:3389 TCP SYN 52 SCAN:SYN 2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61886 151.80.9.106:3389 TCP SYN 52 SCAN:SYN 2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61919 151.80.11.12:3389 TCP SYN 52 SCAN:SYN Czy ktoś z Państwa spotkał się z czymś podobnym? Dodam że nie zdarzyło mi się to pierwszy raz. Jak mogę temu zapobiec o ile w ogóle mogę? Czy istnieje jakiś sposób na odzyskanie serwera bez reinstalacji systemu? Boot serwera zmienił się na rescue32-2.6-ftp i nie mogę tego zmienić. Pozdrawiam. Edytowano Listopad 25, 2016 przez gelinhouse (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
Vasthi 74 Zgłoś post Napisano Listopad 25, 2016 Możesz zamontować normlanie dyski w resuce. Możesz też raczej zrebootować normalnie dedyka ale to nie jest zalecane. Ktoś "dosował" z twojego dedyka więc powinieś sprawdzić czy nie mają do niego dostępu osoby trzecie lub czy nie masz jakieś dziury w aplikacji hostowanej na tym dedyku. 2 Udostępnij ten post Link to postu Udostępnij na innych stronach
gelinhouse 8 Zgłoś post Napisano Listopad 25, 2016 Możesz zamontować normlanie dyski w resuce. Możesz też raczej zrebootować normalnie dedyka ale to nie jest zalecane. Ktoś "dosował" z twojego dedyka więc powinieś sprawdzić czy nie mają do niego dostępu osoby trzecie lub czy nie masz jakieś dziury w aplikacji hostowanej na tym dedyku. Właśnie sprawdziłem i okazało się że otrzymałem hasło i login tylko do serwera FTP ma którym są wszystkie pliki. Gdy wpisuje to hasło w putty wyskakuje mi błąd że hasło nie pasuje. Nie mogę zmienić rescue Mode. Czy to oznacza że muszę od nowa zainstalować system? Udostępnij ten post Link to postu Udostępnij na innych stronach
Fizyda 34 Zgłoś post Napisano Listopad 25, 2016 Wygląda to trochę tak jakby chcieli wypowiedzieć Ci umowę i dali możliwość skopiowania plików przez ftp. Dzwoniłeś do nich po więcej informacji? Bo to takie trochę zawieszamy usługę skopiuj sobie dane, a jeśli nie robiłeś tego celowo to napisz do nas może się dogadamy. Udostępnij ten post Link to postu Udostępnij na innych stronach
gelinhouse 8 Zgłoś post Napisano Listopad 25, 2016 Raczej wątpię, gdyż miesiąc temu miałem tą samą sytuację i musiałem zreinstalowac system by znowu móc używać serwera. Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Kamikadze Zgłoś post Napisano Listopad 25, 2016 Masz jakiś syf albo dziury w systemie i ci ktoś atakuje z serwera. 1 Udostępnij ten post Link to postu Udostępnij na innych stronach
bybunny 540 Zgłoś post Napisano Listopad 25, 2016 Raczej wątpię, gdyż miesiąc temu miałem tą samą sytuację i musiałem zreinstalowac system by znowu móc używać serwera. Jaki jest system operacyjny i co na tym serwerze jest utrzymywane? Udostępnij ten post Link to postu Udostępnij na innych stronach
Pan Kot 1535 Zgłoś post Napisano Listopad 26, 2016 Raczej wątpię, gdyż miesiąc temu miałem tą samą sytuację i musiałem zreinstalowac system by znowu móc używać serwera. Jestem pewny, że OVH za 2gim albo 3cim razem abuse'a wypowiada umowę (mogą już za 1szym zgodnie z regulaminem). Najlepiej będzie jak zadzwonisz i się zapytasz o szczegóły, bo nikogo z supportu OVH tutaj nie znajdziesz. Udostępnij ten post Link to postu Udostępnij na innych stronach
Ubinoob 12 Zgłoś post Napisano Listopad 26, 2016 W SYS'ie jakiś czas temu zaczynali od zrebootowania do rescue, ale można było zabootować normalnie z dysku. Przy drugim razie robili to samo, ale już nie można było zdjąć antihacka. Po kontakcie telefonicznym i odpowiedniej argumentacji dało się zdjąć blokadę, ale z zastrzeżeniem że jak taka sytuacja wystąpi w przeciągu miesiąca to już nie będzie odwrotu. Udostępnij ten post Link to postu Udostępnij na innych stronach
