Skocz do zawartości
gelinhouse

SoYouStart Antihack brak możliwości zmiany boot'u

Polecane posty

Witam!

Otrzymałem dzisiaj następującą wiadomość z supportu SoYouStart o następującej treści.

 

[TICKET#8142657415] Anti-hack

Szanowni Państwo,

 

Państwa serwer ns302xxxx.ip-149-xxx-xx.eu stanowi zagrożenie dla naszej sieci. W

związku z tym został uruchomiony w trybie 'rescue FTP'. Na Państwa

adres e-mail została wysłana wiadomość zawierająca dane do logowania.

W trybie tym można odzyskać dane zapisane na serwerze.

 

W celu uzyskania dodatkowych informacji, prosimy o kontakt z

naszymi konsultantami:

telefonicznie pod numerem 71 718 23 70

poprzez ticket w panelu administracyjnym:

https://www.ovh.pl/managerv3/services-support-tickets.pl?level=normal

 

Poniżej znajdują się logi dostępne w naszym systemie.

 

- POCZĄTEK LOGÓW -

 

Attack detail : 13K scans

dateTime srcIp:srcPort dstIp:dstPort protocol flags bytes reason

2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61570 92.222.225.37:3389 TCP SYN 52 SCAN:SYN

2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61586 92.222.227.37:3389 TCP SYN 52 SCAN:SYN

2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61587 92.222.227.43:3389 TCP SYN 52 SCAN:SYN

2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61588 92.222.227.36:3389 TCP SYN 52 SCAN:SYN

2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61568 92.222.225.35:3389 TCP SYN 52 SCAN:SYN

2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61569 92.222.225.36:3389 TCP SYN 52 SCAN:SYN

2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61585 92.222.227.34:3389 TCP SYN 52 SCAN:SYN

2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61664 92.222.237.221:3389 TCP SYN 52 SCAN:SYN

2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61830 151.80.6.111:3389 TCP SYN 52 SCAN:SYN

2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61831 151.80.6.109:3389 TCP SYN 52 SCAN:SYN

2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61829 151.80.6.110:3389 TCP SYN 52 SCAN:SYN

2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61575 92.222.227.2:3389 TCP SYN 52 SCAN:SYN

2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61584 92.222.227.20:3389 TCP SYN 52 SCAN:SYN

2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61573 92.222.227.0:3389 TCP SYN 52 SCAN:SYN

2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61583 92.222.227.24:3389 TCP SYN 52 SCAN:SYN

2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61582 92.222.227.31:3389 TCP SYN 52 SCAN:SYN

2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61642 92.222.235.25:3389 TCP SYN 52 SCAN:SYN

2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61887 151.80.9.97:3389 TCP SYN 52 SCAN:SYN

2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61886 151.80.9.106:3389 TCP SYN 52 SCAN:SYN

2016.11.25 11:15:02 CET xxx.xxx.xx.xxx:61919 151.80.11.12:3389 TCP SYN 52 SCAN:SYN

 

Czy ktoś z Państwa spotkał się z czymś podobnym? Dodam że nie zdarzyło mi się to pierwszy raz. Jak mogę temu zapobiec o ile w ogóle mogę? Czy istnieje jakiś sposób na odzyskanie serwera bez reinstalacji systemu? Boot serwera zmienił się na

rescue32-2.6-ftp i nie mogę tego zmienić. Pozdrawiam.

Edytowano przez gelinhouse (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Możesz zamontować normlanie dyski w resuce. Możesz też raczej zrebootować normalnie dedyka ale to nie jest zalecane. Ktoś "dosował" z twojego dedyka więc powinieś sprawdzić czy nie mają do niego dostępu osoby trzecie lub czy nie masz jakieś dziury w aplikacji hostowanej na tym dedyku.

  • Upvote 2

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Możesz zamontować normlanie dyski w resuce. Możesz też raczej zrebootować normalnie dedyka ale to nie jest zalecane. Ktoś "dosował" z twojego dedyka więc powinieś sprawdzić czy nie mają do niego dostępu osoby trzecie lub czy nie masz jakieś dziury w aplikacji hostowanej na tym dedyku.

Właśnie sprawdziłem i okazało się że otrzymałem hasło i login tylko do serwera FTP ma którym są wszystkie pliki. Gdy wpisuje to hasło w putty wyskakuje mi błąd że hasło nie pasuje. Nie mogę zmienić rescue Mode. Czy to oznacza że muszę od nowa zainstalować system?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Wygląda to trochę tak jakby chcieli wypowiedzieć Ci umowę i dali możliwość skopiowania plików przez ftp. Dzwoniłeś do nich po więcej informacji? Bo to takie trochę zawieszamy usługę skopiuj sobie dane, a jeśli nie robiłeś tego celowo to napisz do nas może się dogadamy.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze

Masz jakiś syf albo dziury w systemie i ci ktoś atakuje z serwera.

  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Raczej wątpię, gdyż miesiąc temu miałem tą samą sytuację i musiałem zreinstalowac system by znowu móc używać serwera.

Jaki jest system operacyjny i co na tym serwerze jest utrzymywane?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Raczej wątpię, gdyż miesiąc temu miałem tą samą sytuację i musiałem zreinstalowac system by znowu móc używać serwera.

 

Jestem pewny, że OVH za 2gim albo 3cim razem abuse'a wypowiada umowę (mogą już za 1szym zgodnie z regulaminem). Najlepiej będzie jak zadzwonisz i się zapytasz o szczegóły, bo nikogo z supportu OVH tutaj nie znajdziesz.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

W SYS'ie jakiś czas temu zaczynali od zrebootowania do rescue, ale można było zabootować normalnie z dysku. Przy drugim razie robili to samo, ale już nie można było zdjąć antihacka. Po kontakcie telefonicznym i odpowiedniej argumentacji dało się zdjąć blokadę, ale z zastrzeżeniem że jak taka sytuacja wystąpi w przeciągu miesiąca to już nie będzie odwrotu.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×