OVH Community, your new community space.

Jak dostać zawału - by ovh :/


Joshua
15-12-2012, 14:31
Cytat Napisał redhot
Też to zauważyłem. Albo blokowanie w niedziele rano i hurr durr nie działa serwer bo coś nie zeszło czy coś. Odblokowywanie to też teraz minimum 40 minut czekam, aż maszyna na sieci zacznie odpowiadać.
I tak nieźle że przy płatności przez PayU jest odblokowywane automatycznie, a nei dopiero w poniedziałek o 10

redhot
15-12-2012, 14:19
Cytat Napisał victor
Kod:
Nasz system wykrył, że Wasze konto wygasło pomimo otrzymania
odpowiednich wiadomości z przypomnieniem. W związku z tym
serwer zostanie za kilka minut zawieszony.
Pierwsze lecom. Przy okazji widzę że teraz szybciej zawieszają serwer, już o 9 rano następnego dnia (a kończył się koło 21:00 poprzedniego).
Też to zauważyłem. Albo blokowanie w niedziele rano i hurr durr nie działa serwer bo coś nie zeszło czy coś. Odblokowywanie to też teraz minimum 40 minut czekam, aż maszyna na sieci zacznie odpowiadać.

victor
14-12-2012, 23:46
Kod:
Nasz system wykrył, że Wasze konto wygasło pomimo otrzymania
odpowiednich wiadomości z przypomnieniem. W związku z tym
serwer zostanie za kilka minut zawieszony.
Pierwsze lecom. Przy okazji widzę że teraz szybciej zawieszają serwer, już o 9 rano następnego dnia (a kończył się koło 21:00 poprzedniego).

mikel
12-12-2012, 18:48
Cytat Napisał desavil
Nie lepiej "zebrać się jakoś" i napisać list (nawet e-mail) bezpośrednio do Oles'a z OVH z tymi problemami/propozycjami zmian dopracowaniem tego,
niż pisać o tym do pośredników = pracowników OVH, który nic nie zdziałają?
Ja po prostu zakładam, że pracownicy ovh przekazują takie uwagi do odpowiednich ludzi, działu itp. .... skoro sami przyznają, że jest to rzecz do poprawienia.

victor
12-12-2012, 00:02
Cytat Napisał desavil
Nie lepiej "zebrać się jakoś" i napisać list (nawet e-mail) bezpośrednio do Oles'a z OVH z tymi problemami/propozycjami zmian dopracowaniem tego,
niż pisać o tym do pośredników = pracowników OVH, który nic nie zdziałają?
Mozesz próbować, ale wyników bym sie nie spodziewał. Ovh sięga najbardziej brudnych metod by bronić się przed naduzyciam. Już kilkukrotnie zostali pozwani (za naduzycia przy pomocy ich serwerów, za cos czego nie są winni) i przegrali (!) niezłe pieniądze z tego co wiem. Mają kiepskich prawników i kraj z zajebistymi przepisami. Stosują brudne metody, którymi masowo też wykańczają swoich klientów, ale ci skarżą ich rzadziej i na mniejsze sumy i rzadziej wygrywają więc ovh jest do przodu. Nie wiem tylko jak spią w nocy osoby odpowiedzialne za takie polityki i akcje wobec niewinnych ludzi, ale podejrzewam że spia bez problemów.

Spacedust
11-12-2012, 15:03
Cytat Napisał mario1973
Daj znać co wyszło z tego.
Po godzinie serwer sam się odblokował i działa dalej:

16:02:51 up 172 days, 55 min, 1 user, load average: 0.01, 0.03, 0.05
"Dear Customer,

Your machine had an entering attack
which caused network perturbations for
the neighboring machines on your switch.
The technician had to launch a trafic hoover in order to limit the damages.
The protections was automatically
offtaken after that.
I don't have more details about the origin of the attack.

You have to check your logs and set up at least a good firewall.

Kind Regards
Sabrina."
Widziałem tylko parę połączeń do POP3, ale nic na sieci się nie działo. Serwer odbierał backup z innego serwera w Hetznerze ok. 10-20 Mbps, z małymi skokami do 70 Mbps.

Dla mnie blokada bez dużego znaczenia, bo jedynym problemem w momencie gdy ten serwer nie działa to niedziałający trzeci DNS i brak możliwości dodawania nowych domen w panelu. Jeśli ktoś ma coś ważniejszego to godzina przerwy między 8:00 a 9:00 może naprawdę wkurzyć.

desavil
11-12-2012, 13:03
Nie lepiej "zebrać się jakoś" i napisać list (nawet e-mail) bezpośrednio do Oles'a z OVH z tymi problemami/propozycjami zmian dopracowaniem tego,
niż pisać o tym do pośredników = pracowników OVH, który nic nie zdziałają?

mario1973
11-12-2012, 12:59
Cytat Napisał Spacedust
Śmiech na sali, pusty serwer do backupu zablokowali bez ostrzeżenia :/
Daj znać co wyszło z tego.

Joshua
11-12-2012, 11:44
Cytat Napisał nirn
To ja się podziele moim sposobem na radzenie sobie z DDOS-em se skryptów php i wszystkiego innego

Dropujemy na iptables na łancuchu OUTPUT wysztkie połaczenia które maja stan ustawiony na NEW a puszczamy tylko te które maja stan RELATED i ESTABLISHED, ja sobie loguje wszystkie NEW za pomocą uloga do pliku i już wiem kiedy ktoś probował wykonać atak ddos, ruch taki nie wychodzi poza nasz server

Oczywista wada takiego rozwiązania jest taka że każde połaczenie wyjsciowe trzeba autoryzować na iptables, ale to jest jak gdyby core zasada zabezpieczenia servera, dobry admin to taki który wie z czym jego serwer się łaczy
To jasne - gorzej gdy coś się łączy z wieloma serwisami, wtedy ewentualnie można tylko blokować masowe wyjścia na łańcuchu OUTPUT.

Cytat Napisał nirn
Do ciekawostek jeszcze mam zapięty wrapper do funkcji mail w php, żeby wiedzieć jeśli ktoś jakiś spam probóje rozsyłac przez niezabezpieczony skrypt, <- można zapodac do tego jakieś limiter, ale ja mam nagios-a który mnie odrazu informuje jak ilosc wysylek przekracza odpowiedni próg wtedy sobie sprawdzam czy to babol czy mailing.
A jak ten wrapper masz zapięty, jeśli można zapytać? Bo najprościej to zablokować funkcję mail() i kazać klientom includować coś swojego i korzystać z czegoś typu safe_mail() - ale to już wymaga ruszenia palcem przez klientów, co jest przez nich z reguły niemile widziane

Spacedust
11-12-2012, 10:08
Dzisiaj o 8-mej rano mail:

Witamy,

Byli??my zmuszeni interweniowaA? na serwerze, aby zablokowaA?
atak przychodzA?cy na serwer dedykowany ks391xxx.kimsufi.com
(adres
IP 176.31.xx.xx).

Obecnie ten adres IP jest chroniony przez godzinA?.

Serwer bA?dzie uruchomiony w tym trybie do 2012-12-11
09:00:18.

Prosimy o kontakt z dzia??em technicznym, aby uzyskaA?
dodatkowe
informacje na ten temat.
Śmiech na sali, pusty serwer do backupu zablokowali bez ostrzeżenia :/

nirn
05-12-2012, 11:24
To ja się podziele moim sposobem na radzenie sobie z DDOS-em se skryptów php i wszystkiego innego

Dropujemy na iptables na łancuchu OUTPUT wysztkie połaczenia które maja stan ustawiony na NEW a puszczamy tylko te które maja stan RELATED i ESTABLISHED, ja sobie loguje wszystkie NEW za pomocą uloga do pliku i już wiem kiedy ktoś probował wykonać atak ddos, ruch taki nie wychodzi poza nasz server


Oczywista wada takiego rozwiązania jest taka że każde połaczenie wyjsciowe trzeba autoryzować na iptables, ale to jest jak gdyby core zasada zabezpieczenia servera, dobry admin to taki który wie z czym jego serwer się łaczy





Do ciekawostek jeszcze mam zapięty wrapper do funkcji mail w php, żeby wiedzieć jeśli ktoś jakiś spam probóje rozsyłac przez niezabezpieczony skrypt, <- można zapodac do tego jakieś limiter, ale ja mam nagios-a który mnie odrazu informuje jak ilosc wysylek przekracza odpowiedni próg wtedy sobie sprawdzam czy to babol czy mailing.

I kolejna ciekawostka mam zapięty Snoppy logger http://sourceforge.net/projects/snoopylogger/ do serwera http żeby widzieć czy ktoś nie probuje spawonować jakiegoś procesu przez http np jakiś brzydki skrypt w perlu który ktoś wgral do niezabezpieczonego katalogu i probuje wykonać na nim exec-a


Jak do tej pory mialem sporo "włamów" przez błednie napisane skrypty php, ale ani jeden skuteczny

victor
04-12-2012, 22:00
Cytat Napisał victor
Klienci ovh chcą informacji o tym że żaden system nie czyha na okazję by ich serwer z natychmiast wyłączyć w przypadku jakiegokolwiek przewinienia lub podejrzenia.
Ok, ja dłużej czekać nie mogę bo zostało 6 dni do odnowienia serwera. Zamówiłem zastępczy serwer w firmie która mi takiego zapewnienia udzieliła.


hack
02-12-2012, 11:07
Cytat Napisał victor
Zapewne nei tylko ja widząc rozwój zdarzeń ustawiłem ttl na wszystkich domenach kierujących na serwery w ovh na 30s


Nie wiem czy to się na coś zda, jeśli masz domeny w OVH
Nawet odejść się normalnie nie da...

victor
02-12-2012, 02:57
Cytat Napisał Spacedust
I to jest błąd. PHP 5.2 i 5.3 używa chociażby register globals, które jest bardzo niebezpieczne.
Register globals nie jest niebezpieczne oczywiscie? Wyłaczenie go jest niebezpieczne jeśli aplikacja nie escapeuje stringów wstawianych do kwerend - a więc dokładnie na odwrót niż to o czym mówisz. Jeśli aplikacja wykonuje escapeowanie to włączone register globals powoduje podwójne wykonywanie roboty, a nawet potrójne bo aplikacja powinna cofnąć escapeowanie i na nowo je wykonać. Zakładanie z góry że register globals jest włączone lub wyłączone - to jest własnie poryty kod. A temat ma z 8 lat.

Joshua
01-12-2012, 22:38
Cytat Napisał Spacedust
I to jest błąd. PHP 5.2 i 5.3 używa chociażby register globals, które jest bardzo niebezpieczne.
No i co z tego wynika, skoro register globals można wyłączyć? Nie znam serwera na którym by to było aktywne...
Za to wady 5.4 są konkretne i niewyłączalne.

kkkonrad
01-12-2012, 22:32
Ok, ale który kamikadze włącza teraz register_globals w 5.2 ?? To zaszłość po PHP4. To że 5.4 tego nie ma to nie znaczy że jest lepsze i że PHP 5.2 i 5.3 są do d**y.

Spacedust
01-12-2012, 22:28
Cytat Napisał Joshua
Po pierwsze - PHP 5.4 jest nieużywalne ze względu na wywalenie wielu funkcji wciąż obecnych w stronach klientów. 5.4 to sobie można używać na serwerze na którym sam sobie stronki tworzysz i ewentualnie wpuszczasz znajomych żeby sobie umieścili stronkę - jeśli ma to być serwer dla klientów "z ulicy" to niestety nawet 5.3 potrafi być zbyt restrykcyjne :-/

A po drugie - co ma php 5.4 do dziur w starych i nie łatanych od ho-ho skryptach typu phpBB, joomla czy drupal?

Zaś swoją drogą - po przetestowaniu kolejnej sporej porcji malware'u najświeższym clamavem dochodzę do wniosku, że jego skuteczność w tej materii oscyluje wokół 0%
I to jest błąd. PHP 5.2 i 5.3 używa chociażby register globals, które jest bardzo niebezpieczne.

victor
01-12-2012, 22:26
Cytat Napisał victor
>95% infekcji jest przez dziury w oprogramowaniu webowym a nie wykradzione hasła ftp,sftp itp
Cytat Napisał Spacedust
A nie używasz czasem jeszcze PHP 5.2 ? Ja mam PHP 5.4 i takiego przypadku nie miałem.
pegaz miesiąca. Jak twoim zdaniem wersja php łata poryty kod np. wordpressa 5.2 ma znane słabości ale to jest nic w porównaniu do porytego kodu aplikacji w którym dwa razy na miesiąc znajduje się krytczna luka.

Joshua
01-12-2012, 21:33
Cytat Napisał Spacedust
A nie używasz czasem jeszcze PHP 5.2 ? Ja mam PHP 5.4 i takiego przypadku nie miałem.
Po pierwsze - PHP 5.4 jest nieużywalne ze względu na wywalenie wielu funkcji wciąż obecnych w stronach klientów. 5.4 to sobie można używać na serwerze na którym sam sobie stronki tworzysz i ewentualnie wpuszczasz znajomych żeby sobie umieścili stronkę - jeśli ma to być serwer dla klientów "z ulicy" to niestety nawet 5.3 potrafi być zbyt restrykcyjne :-/

A po drugie - co ma php 5.4 do dziur w starych i nie łatanych od ho-ho skryptach typu phpBB, joomla czy drupal?

Zaś swoją drogą - po przetestowaniu kolejnej sporej porcji malware'u najświeższym clamavem dochodzę do wniosku, że jego skuteczność w tej materii oscyluje wokół 0%

Spacedust
01-12-2012, 19:39
Cytat Napisał victor
>95% infekcji jest przez dziury w oprogramowaniu webowym a nie wykradzione hasła ftp,sftp itp
Podłącz pod to skuteczność clamav rzędu 10% (+ liczne false positive w przypadku html, js) no to pozbyłeś się aż jednego przypadku na 200
A nie używasz czasem jeszcze PHP 5.2 ? Ja mam PHP 5.4 i takiego przypadku nie miałem.

victor
01-12-2012, 18:22
Cytat Napisał Spacedust
A ja sobie właśnie wdrożyłem kwarantanne dzięki Pure-FTPD + ClamAV, ale wymaga to dopracowania chociażby przenoszenia plików do katalogu quaratine użytkownika + ewentualnie blokady IP, które wgrywa wirusy na FTP za pomocą iptables.
>95% infekcji jest przez dziury w oprogramowaniu webowym a nie wykradzione hasła ftp,sftp itp
Podłącz pod to skuteczność clamav rzędu 10% (+ liczne false positive w przypadku html, js) no to pozbyłeś się aż jednego przypadku na 200

Spacedust
01-12-2012, 17:01
A ja sobie właśnie wdrożyłem kwarantanne dzięki Pure-FTPD + ClamAV, ale wymaga to dopracowania chociażby przenoszenia plików do katalogu quaratine użytkownika + ewentualnie blokady IP, które wgrywa wirusy na FTP za pomocą iptables.

victor
30-11-2012, 23:02
Może napisze wprost, oczywistą rzecz, bo ovh nie jest dobre w czytaniu między wierszami:

Nie może być mowy o automatycznym wyłączaniu serwerów bez conajmniej 12 godzinnego czasu na reakcję własciciela serwera (bez wyjątków).

Jeśli jest inaczej (tak jak aktualnie) to tylko masochista lub nieświadomy człowiek korzystać może z takich usług.

Klienci ovh chcą informacji o tym że żaden system nie czyha na okazję by ich serwer z natychmiast wyłączyć w przypadku jakiegokolwiek przewinienia lub podejrzenia.

Czasu na to też nie ma zbyt dużo bo zapewne do następnego odnowienia serwera lub miesiąc dłuzej. Kto by chciał ponosić takie ryzyko dobrowolnie dłużej niż musi? Zapewne nei tylko ja widząc rozwój zdarzeń ustawiłem ttl na wszystkich domenach kierujących na serwery w ovh na 30s

mikel
30-11-2012, 14:50
Cytat Napisał voldemortsgirl
To my zgłaszaliśmy, że potrzebne są pewne zmiany odnośnie hacków i zgłoszeń abuse. Ale nie przejmiemy kompetencji innego działu, w tym wypadku działu abuse.
Ja tam do supportu pl nic nie mam, jest ok w przeciwieństwie do ovh gdzie jak sami rozumiecie trzeba jeszcze kilka kwestii poprawić, które bardziej wymagają chęci i dobrej woli niż nakładów finansowych. Np. dawno temu wałkowany temat z wymianą dysków, jak sam napisałem w innym wątku wreszcie zgłaszanie takiej usterki jest sensownie rozwiązane. Gdybyście popchnęli ten temat z hackami do końca, byłoby miło ... bo przecież nie narzekamy, żeby sobie ponarzekać tylko liczymy, że coś się zmieni. A znowu nie oczekujemy czegoś nadzwyczajnego prawda ?

Dobrze, że ten c-sirt zrobiliście na 24h bo właśnie dziś mi już ciśnienie podskoczyło jak zobaczyłem wiadomość z 'planowaną interwencją anti-hack' ... już sobie wyobrażałem jak za parę minut serwer będzie wyłączony i będę miał kolejne kilka/naście godzin zabawy z ovh/downtime/klientami ... na szczęście był dany czas, strona zainfekowana zablokowana i po problemie ... i tak powinno być w każdym przypadku 'hacków' typu iframe wirus/phising. To nie są przypadki gdy ktoś przejmuje serwer i np. wykonuje nim dos'a.

voldemortsgirl
30-11-2012, 12:59
To my zgłaszaliśmy, że potrzebne są pewne zmiany odnośnie hacków i zgłoszeń abuse. Ale nie przejmiemy kompetencji innego działu, w tym wypadku działu abuse.

mario1973
30-11-2012, 09:35
Cytat Napisał gtomek
Więc proszę nie brońcie się w tak idiotyczny sposób.
Sęk w tym, że chyba centrala rządzi i ma gdzieś tutejszych pracowników w pewnych kwestiach. Wytłumacz to francuzom, że do klienta należy podejść jak do człowieka, a nie jak do serwera jakich mają tysiące....

M

gtomek
30-11-2012, 08:54
Nie odblokujemy serwera zawieszonego przez abuse, nie wykonamy interwencji na serwerze
Patrząc na firmę OVH nie myślę o niej jako OVH Polska czy OVH Francja. Jeżeli robicie coś dobrze to robicie to dobrze jako OVH, jeżeli dajecie plamy to jako OVH, a nie centrala czy oddział regionalny.

Więc proszę nie brońcie się w tak idiotyczny sposób.

voldemortsgirl
30-11-2012, 08:44
Cytat Napisał gtomek
Jakie do cholery doradztwo?? Zglaszacie hacka - klient reaguje a wy po kilkudziesieciu godzinach (to i tak szybko) z lachy odblokujecie serwer albo i nie ??

Dzwoniac, piszac do ovh polska - tylko slychac, tego niemoge, tego nie wiemy, tylko w centrali, zadzwonisz do "centrali" to jedyne co uslyszysz to ze "tego nie wiem"
Możemy pomóc jeśli potrzebujesz wskazówek odnośnie konfiguracji IP failover czy domeny, masz problem z odzyskaniem hasła, pierwszy raz tworzysz zgłoszenie lub masz zgłoszenie ale nie zawiera ono wystarczających informacji -> możemy w takich wypadkach doradzić. To jest nasza praca. Stanowimy pierwszy poziom wsparcia.

Nie odblokujemy serwera zawieszonego przez abuse, nie wykonamy interwencji na serwerze. Te sprawmy będą zawsze przechodzić przez system zgłoszeń obsługiwany przez centralę.

heniec
30-11-2012, 08:29
Cytat Napisał voldemortsgirl
Rozmawiamy o problemach z polskim BOK czy też o tym, że nie ingerujemy w zgłoszenia prowadzone przez dział abuse i incident?
W przypadku serwerów dedykowanych, nasz zakres pomocy obejmuje głównie doradztwo.
Niestety na wiele rzeczy nie mamy wpływu. Staramy się jednak jak możemy i przekazujemy każdą waszą skargę na niesprawiedliwy system dalej.
Przepraszam - ale gdzie w regulaminie na podstawie ktorego serwer jest dzierzawiony w Waszej firmie jest to zapisane ??
To Wam place za usluge i od Was wymagam !!

Cytat Napisał voldemortsgirl
Obecnie zgłoszenia dotyczące c-sirt generują semi-hack (powiadomienie bez zawieszenia serwera).
Czas na reakcję na zgłoszenie to 24h, dopiero w przypadku braku reakcji ze strony klienta serwer zostaje zawieszony - zgodnie z poprzednio obowiązującą procedurą.
Obecnie ale ile zawiesiliscie serwerow bez zadnego ostrzezenia ??

Wasza firma powinien zajac sie UOKiK.
Jesli ktos masz czas i checi oraz dobrego prawnika wygral by z Wami przed sadem kazdej instancji.

mario1973
29-11-2012, 19:15
Cytat Napisał gtomek
moje 60 tyś zł / rocznie do was już nie wpadnie.
nawet się tym nie przejmą....zapewne po czasie zrozumieją, że znowu przesadzili i klientów i ubyło.

Cytat Napisał heniec
Jakość obsługi klienta świadczona przez OVH w szczególności przez polski oddział jest tragiczna
mam nadzieję, że nigdy nie będę tego żałował co napiszę, ale....

w zakresie jaki mnie to dotyczyło, to polski oddział ovh działał idealnie. Szybki i sprawny kontakt, pomoc w różnych sprawach. Ostatnie dwa lata było jak najbardziej OK.


Cytat Napisał voldemortsgirl
Obecnie zgłoszenia dotyczące c-sirt generują semi-hack (powiadomienie bez zawieszenia serwera).
Czas na reakcję na zgłoszenie to 24h, dopiero w przypadku braku reakcji ze strony klienta serwer zostaje zawieszony - zgodnie z poprzednio obowiązującą procedurą.
i tak powinno być.


M

gtomek
29-11-2012, 19:00
W przypadku serwerów dedykowanych, nasz zakres pomocy obejmuje głównie doradztwo.
Jakie do cholery doradztwo?? Zglaszacie hacka - klient reaguje a wy po kilkudziesieciu godzinach (to i tak szybko) z lachy odblokujecie serwer albo i nie ??

Dzwoniac, piszac do ovh polska - tylko slychac, tego niemoge, tego nie wiemy, tylko w centrali, zadzwonisz do "centrali" to jedyne co uslyszysz to ze "tego nie wiem"

Dno. Tyle mam do powiedzenia, mam nadzieje, ze ekspansja ovh została powstrzymana, rynek polski jest już naprade dojrzały, a ceny bywają nieraz bardziej atrakcyjne niż w OVH.

Jednak to nie ceny powodują, że odchodzimy tylko fakt, że macie klientów w ...

victor
29-11-2012, 16:41
Cytat Napisał voldemortsgirl
Obecnie zgłoszenia dotyczące c-sirt generują semi-hack (powiadomienie bez zawieszenia serwera).
Czas na reakcję na zgłoszenie to 24h, dopiero w przypadku braku reakcji ze strony klienta serwer zostaje zawieszony - zgodnie z poprzednio obowiązującą procedurą.
No to wyjaw ile jest nadal systemów które natychmiast wyłączają serwer waszego klienta...

victor
29-11-2012, 16:34
Cytat Napisał Joshua
Hmm, znaczy się nie można go dodać do listy disable_functions?
nie

voldemortsgirl
29-11-2012, 15:41
Rozmawiamy o problemach z polskim BOK czy też o tym, że nie ingerujemy w zgłoszenia prowadzone przez dział abuse i incident?

W przypadku serwerów dedykowanych, nasz zakres pomocy obejmuje głównie doradztwo.
Niestety na wiele rzeczy nie mamy wpływu. Staramy się jednak jak możemy i przekazujemy każdą waszą skargę na niesprawiedliwy system dalej.

Skoro amator się nie wypowiedział to może jednak podzielę się z wami zmianami, które zaszły od wczoraj rana.

Obecnie zgłoszenia dotyczące c-sirt generują semi-hack (powiadomienie bez zawieszenia serwera).
Czas na reakcję na zgłoszenie to 24h, dopiero w przypadku braku reakcji ze strony klienta serwer zostaje zawieszony - zgodnie z poprzednio obowiązującą procedurą.

heniec
29-11-2012, 15:14
Jakość obsługi klienta świadczona przez OVH w szczególności przez polski oddział jest tragiczna a w porównaniu z konkurencja wręcz można odnieść wrażenie że ovh robi nam wielki zaszczyt, że możemy być ich klientami.
Nie wiem jak Wy ale ja pakuje swoje zabawki i zmiatam do konkurencji, gdzie do klienta podchodzą z należytym szacunkiem.

gtomek
29-11-2012, 14:29
@voldemortsgirl kilkanaście miesięcy walczyłem z wami o poprawę jakości obsługi klienta, uważam, że i tak bardzo mocno wam pomagam zwracając uwagę na błędy które powodują, że moje 60 tyś zł / rocznie do was już nie wpadnie.

voldemortsgirl
29-11-2012, 13:57
@joqrom
Wszystkie zgłoszenia przechodzą teraz przez dział abuse we Francji. Także te, które spływają bezpośrednio na pomoc@ovh.pl są przekierowywane i obsługiwane przez scentralizowany system zgłoszeń.

Co do obecnej procedury, to może amator się wypowie, jak sprawa wyglądała w jego wypadku.

Cytat Napisał joqrom
Mi również OVH zablokowało przedwczoraj dwa serwery za kod java script z wirusem doklejony do stron użytkowników. Oczywiście była możliwość naprawienia problemu i odblokowania serwerów gdyż to był pierwszy taki przypadek. Jestem w ovh już dosyć długo i zawsze w przypadku problemu otrzymywałem email z prośbą o naprawienie problemu w ciągu 24h. Czy coś ostatnio się zmieniło, że od razu blokują serwer ?

voldemortsgirl
29-11-2012, 13:53
@gtomek podaj numery zgłoszeń, które nie dotyczyły twojego serwera.
Jesteśmy otwarci na krytykę.


Cytat Napisał gtomek
@voldemortsgirl ja otwierałem i linki nie dotycza moich serwerów - po prostu gniota uruchomiliscie i slepo bierzecie dane z tego systemu nie sprawdzajac czy wogole dana domena jest utrzymywana u was na serwerze.

Po kilku latach wspolpracy z wami moge powiedziec, ze nie powierzylbym wam nawet uruchomienia strony z napisem "w budowie"

Joshua
29-11-2012, 12:21
Tylko niestety chyba tylko OVH oferuje takie rzeczy jak LB - tzn. w innych serwerowniach trzeba sobie taki LB kupić za ciężkie tysiące USD, płacić za jego kolokację i wyrywać włosy z głowy gdy ten padnie...

mikel
29-11-2012, 12:19
Dodam jeszcze inną rzecz, która 'boli' w ovh. Z jednej strony tak mocno cisną za takie głupoty jak jakiś javascript na stronie klienta a gdy leci ddos UDP z podmienionymi adresami ip na serwer klienta jak i na ich infrastrukturę to niestety nikt nie wyda Wam danych z routerów, które mogłyby pomóc w ustaleniu rzeczywistego źródła ataku. Inaczej mówiąc jak głupota na Twoim serwerze to młotkiem traktują a jak poważny atak mający znamiona przestępstwa na Twój serwer to chronią przestępce (oczywiście nie specjalnie ale przez swoje lenistwo i procedury).

Joshua
29-11-2012, 11:52
Cytat Napisał victor
clamav od czasu do czasu coś wykryje ale szacował bym skutecznośc na 30% i to zakładajac ze sukcesem jest wykrycie jednego pliliczku w jednej infekcji (która infekuje np. dziesiatki plików). Niestety zakodowanie kodu przez eval, base64_encode i wiele podobnych jest skuteczne. A eval jest czescią php i nie da się go wyłączyć
Hmm, znaczy się nie można go dodać do listy disable_functions?

Joshua
29-11-2012, 11:16
Cytat Napisał joqrom
Mi również OVH zablokowało przedwczoraj dwa serwery za kod java script z wirusem doklejony do stron użytkowników. Oczywiście była możliwość naprawienia problemu i odblokowania serwerów gdyż to był pierwszy taki przypadek. Jestem w ovh już dosyć długo i zawsze w przypadku problemu otrzymywałem email z prośbą o naprawienie problemu w ciągu 24h. Czy coś ostatnio się zmieniło, że od razu blokują serwer ?
Ech, szkoda że OVH działa tak niepoważnie
Czas naprawdę zabierać stamtąd swoje serwery, jeśli nie potrafią traktować swoich klientów jak poważna firma działająca od lat na rynku...

joqrom
29-11-2012, 09:13
Mi również OVH zablokowało przedwczoraj dwa serwery za kod java script z wirusem doklejony do stron użytkowników. Oczywiście była możliwość naprawienia problemu i odblokowania serwerów gdyż to był pierwszy taki przypadek. Jestem w ovh już dosyć długo i zawsze w przypadku problemu otrzymywałem email z prośbą o naprawienie problemu w ciągu 24h. Czy coś ostatnio się zmieniło, że od razu blokują serwer ?

amator
29-11-2012, 09:08
Cytat Napisał voldemortsgirl
A otworzyłeś te linki w domenie c-sirt? To są linki do szczegółów zgłoszenia a nie do malware'u.

cyscon SIRT = cyscon's Security Incident Reporting Team
zwykle dostawałem w zgłoszeniu linki do konkretnej domeny, dlatego nie sprawdzałem tych linków, tylko czy domena jest na moich serwerach. Dziś dostałem już wyjaśnienie z pomocy technicznej. Mój błąd

gtomek
29-11-2012, 08:45
@voldemortsgirl ja otwierałem i linki nie dotycza moich serwerów - po prostu gniota uruchomiliscie i slepo bierzecie dane z tego systemu nie sprawdzajac czy wogole dana domena jest utrzymywana u was na serwerze.

Po kilku latach wspolpracy z wami moge powiedziec, ze nie powierzylbym wam nawet uruchomienia strony z napisem "w budowie"

voldemortsgirl
29-11-2012, 08:41
Cytat Napisał amator
dziś dostałem 2 zgłoszenia anti-hack właśnie w sprawie domeny c-sirt na dwa różne serwery. Domena nigdy nie była na moich serwerach. Parodia


A otworzyłeś te linki w domenie c-sirt? To są linki do szczegółów zgłoszenia a nie do malware'u.

cyscon SIRT = cyscon's Security Incident Reporting Team

Joshua
29-11-2012, 06:05
Cytat Napisał Spacedust
To jest staroć - użyj 0.97.6.
Może jakieś niezakodowane jscriptem znajduje... Mi ten 0.97.6 nie znalazł ani jednego dziada w stronkach pękających od malware'u z połowy 2011.

Cytat Napisał Spacedust
To też jest dobre: http://sucuri.net/
Nawet jeśli działa, to wolałbym coś do skanowania lokalnego. A niestety takowych brak

victor
29-11-2012, 04:54
clamav od czasu do czasu coś wykryje ale szacował bym skutecznośc na 30% i to zakładajac ze sukcesem jest wykrycie jednego pliliczku w jednej infekcji (która infekuje np. dziesiatki plików). Niestety zakodowanie kodu przez eval, base64_encode i wiele podobnych jest skuteczne. A eval jest czescią php i nie da się go wyłączyć, mimo moich feature requestów z 2004 (jak i pierdyliarda innych które nigdy nie doczekały sie realizacji). Manual php wyraźnie odradza stosowanie tej funkcji... crackerzy jednak się nie słuchają hehe A ci którzy faktycznie piszą kod bez tego cierpią bo crackerzy się nie posłuchali parodia. Takich rodzynków można wypisać dziesiątki co do php.

Spacedust
28-11-2012, 23:19
Cytat Napisał Joshua
A to ciekawe...
Mój clamav: ClamAV 0.97.3/15656/Wed Nov 28 17:13:53 2012

Przeskanowałem kilka złapanych dziadów i wszędzie zero wykrytej infekcji
To jest staroć - użyj 0.97.6.

Przykłady:

/home/maciejkaXXX/plotki.xxx.eu/bankiety/data5r.php: PHP.Shell-42 FOUND
/home/maciejkaXXX/xxx.eu11/blog/data.php: PHP.Shell-42 FOUND
/home/andXXXX/motoryzacja.xxx.pl/jquery-1.5.2.min.js: JS.Trojan.Iframe-2 FOUND
/home/andXXXX/motoryzacja.xxx.pl/konfiguracja.js: JS.Trojan.Iframe-2 FOUND
/home/xxx/xxx.xxx.pl/auctions/Be_Aware_of_Phishing_Scams.html: HTML.Phishing.Bank-80 FOUND
/home/xxx/xxx.xxx.pl/email-marketing/internet-scams-105----the-most-viciou.html: HTML.Phishing.Card-45 FOUND
To też jest dobre: http://sucuri.net/

Joshua
28-11-2012, 22:53
Cytat Napisał Spacedust
Najnowszy clamav bardzo ładnie wykrywa wszystko. Wirusy szczególnie lubią pliki index.php i skrypty javascript. Najlepiej skanować wszystko co jest wgrywane na FTP i napisać do tego skrypt, który od razu będzie wysyłał maila.

Tu jest to pięknie opisane: http://blog.secaserver.com/2012/05/c...anning-on-ftp/
A to ciekawe...
Mój clamav: ClamAV 0.97.3/15656/Wed Nov 28 17:13:53 2012

Przeskanowałem kilka złapanych dziadów i wszędzie zero wykrytej infekcji

Spacedust
28-11-2012, 22:45
Cytat Napisał Joshua
Hmm, ale jak piszą o c-shirt to podejrzewam że na którejś stronie dziadostwo wstrzyknęło kod ładujący inne syfy właśnie z takiej domeny.

A te zgłoszenia anti-hack dostałeś od OVH? Jak wyglądały - podali konkretne miejsce gdzie coś jest namierzone, czy "na Twoim serwerze czai się ZUO, zgadnij gdzie"?

Skoro OVH tak ściga za te malware'y - nie mogliby po prostu udostępnić narzędzia którym to wykrywają? Każdy by mógł we własnym zakresie przeszukiwać katalogi i wywalać dziadostwo... Niestety nie do dostania jest darmowy ani komercyjny soft do wykrywania złośliwego kodu - ani clamav ani maldetect nie potrafi (nawet teraz) rozpoznać nawet daawno temu przechwyconych okazów, nawet takich bardzo typowych (typu phpshell)
Najnowszy clamav bardzo ładnie wykrywa wszystko. Wirusy szczególnie lubią pliki index.php i skrypty javascript. Najlepiej skanować wszystko co jest wgrywane na FTP i napisać do tego skrypt, który od razu będzie wysyłał maila.

Tu jest to pięknie opisane: http://blog.secaserver.com/2012/05/c...anning-on-ftp/

Joshua
28-11-2012, 21:06
Cytat Napisał amator
dziś dostałem 2 zgłoszenia anti-hack właśnie w sprawie domeny c-sirt na dwa różne serwery. Domena nigdy nie była na moich serwerach. Parodia
Hmm, ale jak piszą o c-shirt to podejrzewam że na którejś stronie dziadostwo wstrzyknęło kod ładujący inne syfy właśnie z takiej domeny.

A te zgłoszenia anti-hack dostałeś od OVH? Jak wyglądały - podali konkretne miejsce gdzie coś jest namierzone, czy "na Twoim serwerze czai się ZUO, zgadnij gdzie"?

Skoro OVH tak ściga za te malware'y - nie mogliby po prostu udostępnić narzędzia którym to wykrywają? Każdy by mógł we własnym zakresie przeszukiwać katalogi i wywalać dziadostwo... Niestety nie do dostania jest darmowy ani komercyjny soft do wykrywania złośliwego kodu - ani clamav ani maldetect nie potrafi (nawet teraz) rozpoznać nawet daawno temu przechwyconych okazów, nawet takich bardzo typowych (typu phpshell)

amator
28-11-2012, 20:41
dziś dostałem 2 zgłoszenia anti-hack właśnie w sprawie domeny c-sirt na dwa różne serwery. Domena nigdy nie była na moich serwerach. Parodia

gtomek
28-11-2012, 20:27
Dear customer,

Thank you for your collaboration .

the entry c-sirt has been rescaned =>incident closed.

Please be more carefull in the future and run the necessary


survey on your services to prevent incidents like this.

Best regards,
Veronique
Abuse team
Nawet do błędu nie potraficie się przyznać. Dziękuję na pewno będę ostrzony.

gtomek
28-11-2012, 17:18
Jaja jak berety. Domeny od 72h niema na serwerach OVH - konto usera zostalo przeniesione po za data center ovh, a ci nas nadal strasza, ze jesli cos z tym nie zrobimy - serwer zostanie zablokowany.

PS.
Właśnie wróciłem z kardiologii po kilku dniowym pobycie tam - dla pracowników OVH chetnie podesle wypis ze szpitala.

Powiedzialem sobie ze ta firma mnie do grobu nie wpedzi.

Tak wiec temat jest jak najbardziej na serio.

gtomek
25-11-2012, 21:03
Niestety nie miałem takiej opcji - zgodnie z tym co było napisane, włączenie było możliwe tylko przez administratora OVH.

Poradziłem sobie inaczej: przeniosłem 5 serwerów do konkurencji, pozostało jeszcze tylko z 10 sztuk w ovh, ale nie będę ich uszczęśliwiał na siłę.

patrick
24-11-2012, 17:36
A nie można odblokować IP w panelu ?

gtomek
24-11-2012, 16:31
Zgloszenie z wczoraj:

Informacja z OVH o HackDetection (javascript na koncie usera)

2012-11-23 11:42:41 info z OVH o hackdetection
2012-11-23 12:14:57 - nasze potwierdzenie o usunieciu przyczyny hacku (oczysczenie konta usera)

24h po dokonaniu blokady IP nikt laskawie niechce nam pomoc i zwyczajnie odblokowac IP - to nie pierwsza taka sytuacja ale zawsze - zawsze nasze reakcje sa w ciagu 10-30 minut bez wzgledu na pore dnia.

Jak widac maja to gdzies.

patrick
23-11-2012, 16:59
Bo do kolokacji wkłada się maszyny z własnym IPMI, bądź dorzuca KVM.
Sam mam tylko jednego Della na kolokacji bez Drac, ale ten jest akurat szczęśliwy i od zakupu nie trzeba było nawet do niego podchodzić.

ps. to Grochowska ?

bakai
22-11-2012, 18:29
Jak już jesteśmy przy KVM.
Oprócz OVH, mam też maszyny w ATMan. Niedawno potrzebowałem do nich właśnie KVM. Do jednej z maszyn też podłączali 3x nim trafili na właściwą. Dodam, że maszyna oznaczona naklejkami (nazwa firmy, nazwa maszyny - to kolokacja). Przy okazji wyszło, że KVM "zgasł" - okazało się, że na całą serwerownię (wawa) mieli tylko jednego KVMa. W efekcie, pracę na 2 godziny wykonywałem 3 dni - na raty przez 2 tygodnie, bo jeszcze doszedł problem z ich procedurami i autoryzacją.

kkkonrad
18-11-2012, 20:05
U mnie problem mniejszy, ale mnie bardzo zdenerwowali. Miałem 2 bloki RIPE 4-adresowe, chciałem je przenieść na drugi nowy serwer, pierwszy się przełączył po 2 min, drugi już prawie 24h wisi nieaktywowany/nieprzypisany. Nieważne dla nich że kilka poważnych stronek nie działa. Zgłosiłem awarię ale po polsku, zero odzewu, może powinienem napisać po angielsku?? Czy w ogóle ktoś tam pracuje 24h na dobę ??

Joshua
14-11-2012, 10:26
Cytat Napisał redhot
Mi niedawno padł serwer w Hetznerze, który nie miał KVM.
Jest u nich coś takiego jak Lara - dostaje się KVM-a na 2 godziny za darmo.

Poprosiłem o tego KVM, dostałem go i nagle zawał, że coś się z dyskami stało - nie mogę nic zamontować (inny układ partycji).
Okazało się, że dali mi dostęp do czyjejś maszyny, po napisaniu do nich dostałem odpowiedź "Hello, Now lara is attached to your server."

Pomyłki się zdarzają
Tak, mi też raz podłączyli obcy serwer - najpierw myślałem że mi się ktoś włamał czy co... po chwili wymiana maili i "oh sorry, now it is connected correctly"

victor
13-11-2012, 02:35
Cytat Napisał redhot
Mi niedawno padł serwer w Hetznerze, który nie miał KVM.
Jest u nich coś takiego jak Lara - dostaje się KVM-a na 2 godziny za darmo.

Poprosiłem o tego KVM, dostałem go i nagle zawał, że coś się z dyskami stało - nie mogę nic zamontować (inny układ partycji).
Okazało się, że dali mi dostęp do czyjejś maszyny, po napisaniu do nich dostałem odpowiedź "Hello, Now lara is attached to your server."

Pomyłki się zdarzają
Ale przecież lara to kvm i nie da ci on dostępu do ustawiania (aktywowania) hasła rescue czy zalogowania do tamtejszego systemu - bo to wymaga hasła roota.

redhot
12-11-2012, 22:38
Mi niedawno padł serwer w Hetznerze, który nie miał KVM.
Jest u nich coś takiego jak Lara - dostaje się KVM-a na 2 godziny za darmo.

Poprosiłem o tego KVM, dostałem go i nagle zawał, że coś się z dyskami stało - nie mogę nic zamontować (inny układ partycji).
Okazało się, że dali mi dostęp do czyjejś maszyny, po napisaniu do nich dostałem odpowiedź "Hello, Now lara is attached to your server."

Pomyłki się zdarzają

mikel
11-11-2012, 21:22
Cytat Napisał victor
Jak? Zwykle właśnie do pierwszego takiego razu. Ovh traktuje klientów ilościowo, jest przypływ znaczy że jest w porządku, jest zadowolenie. Drugą fajną opcją w ruletce też jest wymiana dobrego dysku i pozostawienei zepsutego
Jak spojrzałem na faktury to wychodzi, że z ovh jestem już 3 lata ... miałem już sytuację z blokowaniem serwera za to, że na koncie hostingowym klienta jest po prostu javascript albo coś innego, wydawało się że jest lepiej ale wychodzi na to, że to tylko ruletka. Nadal nie rozumiem, jak można traktować klienta biznesowego, który płaci 10-20 razy więcej niż przeciętny detal tak samo ... a nawet nie chodzi, że tak samo tylko tak samo SŁABO bez swego rodzaju szacunku dla czyjejś pracy i firmy.

Obecnie na rynku polskim naprawdę dostaję ciekawe oferty (poszło to wszystko do przodu) i z hard raidem i dyskami ssd w cenie podobnej do ovh, jedynie łącze słabsze (choć i to teraz ovh przycina) ... i jak pomyślę o tym jak by mnie potraktowano w takiej serwerowni to niewiele pozostaje do podjęcia decyzji ...

Najgorsze jest to, że jeżeli ktoś zrobi zmiany w ovh, które wyeliminują takie sytuacje i traktowanie klienta biznesowego to pewnie miną miesiące albo lata i człowiek o tym usłyszy jak już będzie w innej serwerowni.

victor
11-11-2012, 20:51
Jak? Zwykle właśnie do pierwszego takiego razu. Ovh traktuje klientów ilościowo, jest przypływ znaczy że jest w porządku, jest zadowolenie. Drugą fajną opcją w ruletce też jest wymiana dobrego dysku i pozostawienei zepsutego

mikel
11-11-2012, 20:13
Ostatnio chwaliłem ovh za uproszczenia w zgłaszaniu usterki. Teraz dla równowagi okazuje się, że muszę się wyżalić tak aby ostrzec tych co myślą, że mogą spać spokojnie :/

Jeden dzień blokada maszyny za to, że ktoś z zewnątrz wysyła mi 250Mbps flood ... ja tu próbuje akurat mozolnie przebijając się przez ssh lub kvm zablokować chociażby przez iptables a tu boom w środku działań blokada na 1h aby mnie chronić ...

Kolejny dzień boom inna maszyna przestaje działać dostaje na maila, że zaplanowano interwencję bo jakiś javascript na jednym z kont hostingowych jest złośliwy ... żadnych wcześniejszych ostrzeżeń mimo, że podobno były. Dobra już człowiek bliski wyjścia z siebie ale jest jeszcze możliwość odblokowania serwera z panelu bo to "pierwsza szansa". Serwer wstaje, rozwiązuje problem w 3 minuty, wysyłam maila do spamhaus, dostaję nawet odpowiedź że usunęli już listy. Już w tym momencie myśle k...a czy nie można tak jak zawsze mi wysłać maila ? Tracę na wizerunku przez takie jazdy bo oczywiście serwer przez pół godziny down.

Ok 2h spokoju ... boom! znowu ten sam serwer down. Wchodzę, a tam informacja, że znów jakaś strona była na tym serwerze (teraz inna) i że już nawet nie raz tylko dwa razy mnie informowali. Oczywiście skutek to brak możliwości odblokowania serwera przez panel + informacja, że serwer jest przez 15 dni do zgrania przez ftp oraz że dostaję wypowiedzenie umowy na ten serwer .... ^^ !

Dobra piszę do admina (zarąbiście jest wieczór niedziela), że to nie jest jakiś hacked serwer tylko maszyna hostingowa, 2h temu właśnie rozwiązałem inny problem a oni mi jadą z kolejnym i znów blokują. Czekam ... po 1h niedostępności maszyny (kolejna utrata wizerunku bo jakim cudem maszyna ma tak cały czas padać) widzę, że wstaje ... myślę hurra (chociaż cieszenie się w tej sytuacji to jest i tak dziwne po takich jazdach) ... z ciekawości patrzę do komentarza zgłoszenia a tam patrze jeszcze raz na link do spamhausa, który mi wkleili, patrzę na domenę hm ... nie ma jej na mojej maszynie. W międzyczasie dostaje komenatrz do zgłoszenia typu:

'oh sorry pomyliły nam się serwery, ten problem w ogóle nie dotyczył Pana serwera, strasznie przepraszamy' ....

I jak tu żyć, jak prowadzić hosting i firmę w ovh ... powiecie mi ?