Miszczu | 2019-02-01 14:30:40 UTC | #1
Witajcie,
Na początku stycznia (8.01) zakupiłem w ovh VPS SSD 1 pod strone www dla mojego serwera Ts3. Wczoraj (31.01) około godzinny 19:00 zostałem poinformowany przez użytkowników mojego serwera że strona strasznie muli, próba logowania do ftp okazała się bezsensowna ponieważ połączenie co chwile zrywało więc stwierdziłem że to atak i trzeba to poprostu przeczekać , o 21:15 dostałem wiadomość na e-mail:
W związku z wypowiedzeniem umowy serwer vpsXXX.ovh.xxx
został zawieszony.
i niżej logi z ataku?
Na vps’a nie logowałem się z tydzień ponieważ nic się nie działo, dostęp do niego mam tylko ja, wszystko działało stabilnie do wczoraj. Z góry pisze że w taki sprawach jestem kompletnie zielony a moja wiedza jest poniżej przeciętnej.
Chciałbym się was zapytać co teraz? Oczywiście skontaktowałem się już z ovh ale na ich odpowiedź można sobie czekać… Czy jest szansa na odzyskanie plików , czy ktoś kiedyś miał do czynienia z takim samym problemem ?
bopke | 2019-02-01 12:06:07 UTC | #2
Czy wgrywałeś może tam jakieś oprogramowanie nie do końca od oryginalnego twórcy (np cracki)? Zabezpieczyłes podstawowo serwer? Jeżeli nie, to możliwe, że jakiś bot przeprowadził udany atak bruteforce na łatwe hasło do konta root, w wyniku czego przejął kontrole i zaczął np atakować inne serwery, co nie jest tolerowane.
Miszczu | 2019-02-01 12:21:07 UTC | #3
Nie wgrywałem żadnego zabezpieczenia, niestety serwer był słabo zabezpieczony więc włamanie jest możliwe.
Czy ovh w takich przypadkach odblokuje dostęp do serwera w celu jego zabezpieczenia aby więcej nie powtórzyła się taka sytuacja?
SystemZ | 2019-02-01 12:46:23 UTC | #4
[quote=”Miszczu, post:1, topic:9943”]
strona strasznie muli, próba logowania do ftp okazała się bezsensowna ponieważ połączenie co chwile zrywało więc stwierdziłem że to atak
[/quote]
Te objawy pasują zarówno do ataku przychodzącego jak i wychodzącego.
[quote=”Miszczu, post:1, topic:9943”]
więc stwierdziłem że to atak i trzeba to poprostu przeczekać
[/quote]
To był główny błąd, trzeba było sprawdzić co się dzieje przez konsolę KVM, tam nie jest wymagane połączenie VPS z siecią aby diagnozować problemy więc by Cię nie rozłączało a co najwyżej przywieszało jeśli wykorzystanie CPU było zbyt wysokie.
Anti-hack to określenie OVH na sytuacje gdzie z bardzo dużym prawdopodobieństwem z Twojej usługi wychodził atak co narusza regulamin usługi w zasadzie każdego dostawcy na rynku.
[quote=”Miszczu, post:1, topic:9943”]
Na vps’a nie logowałem się z tydzień ponieważ nic się nie działo, dostęp do niego mam tylko ja
[/quote]
Mogłeś odnieść wrażenie że dostęp do niego masz tylko Ty.
Ty logujesz się raz na tydzień a złośliwy bot setki razy na sekundę sprawdzając popularne proste hasła typu 1234. Mając proste hasło nie potrzeba mu wiele czasu aby zalogować się do VPS do konta z pełnym dostępem i robić to co przynosi korzyści przestępcy a Tobie straty.
Powiedziałbym że ponad 2 h to i tak bardzo dużo czasu na reakcję w takich sytuacjach, równie dobrze po przejęciu VPS mógłby być zawieszony po 10 min.
[quote=”Miszczu, post:1, topic:9943”]
wszystko działało stabilnie do wczoraj
[/quote]
Komputery i systemy operacyjne to żywe organizmy które się komunikują ze środowiskiem.
Analogicznie jak u ludzi, to że teraz nic Cię nie boli nie znaczy że za 5min nie będziesz potrzebować pomocy lekarza.
Sporo starszych ludzi nabiera się na wyłudzenia w stylu “na wnuczka” to czemu słabo przygotowany VPS by nie miał być oszukany? Ktoś pewnie podał poprawne hasło a to jedyna metoda którą serwer stwierdza że Ty to Ty. Jak już stwierdził że łączy się z nim właściciel no to robił wszystkie zadania które mu zadano tak szybko jak potrafi, w tym wypadku pewnie atakowanie innych stron czy serwerów gier.
[quote=”Miszczu, post:1, topic:9943”]
Chciałbym się was zapytać co teraz? Oczywiście skontaktowałem się już z ovh ale na ich odpowiedź można sobie czekać
[/quote]
Takich spraw są setki jak nie tysiące na tydzień.
W supporcie to raczej niski priorytet bo klienci są sami sobie winni nie przestrzegając podstawowych zasad bezpieczeństwa IT, OVH nie ma tu nic do tego a skoro to nie ich wina to nie mają czego naprawiać.
[quote=”Miszczu, post:1, topic:9943”]
Czy jest szansa na odzyskanie plików
[/quote]
Jedyną gwarancją odzyskania plików jest posiadanie własnej kopii zapasowej.
[quote=”Miszczu, post:1, topic:9943”]
czy ktoś kiedyś miał do czynienia z takim samym problemem ?
[/quote]
Tak, za dużo razy.
Z tym zastrzeżeniem że od strony usługodawcy.
bopke | 2019-02-01 12:49:47 UTC | #5
Jako dodatek do wypowiedzi SystemZ dodam jeszcze te dwa bardzo pomocne linki, które pomogą uniknąć takich sytuacji w przyszłości:
https://forum.lvlup.pro/t/jak-zabezpieczyc-vpsa-przed-wlamaniami-botow-na-ssh/96
https://forum.lvlup.pro/t/nigdy-nie-pracuj-na-koncie-root/6048
Miszczu | 2019-02-01 13:27:38 UTC | #6
Dzięki za informacje oraz uświadomienie mnie, zawsze myślałem że kto będzie włamywał się na jakiś tam vps na którym prawie nic nie ma ale jednak. Niech temat będzie przestrogą dla innych osób, można zamknąć.
system | 2019-03-05 13:27:38 UTC | #7
Ten temat został automatycznie zamknięty 32 dni po ostatnim wpisie. Tworzenie nowych odpowiedzi nie jest już możliwe.