Hallo,
habe gestern eine Mail von Anti Hack (ovh) bekommen.
Code:
Guten Tag,
auf Ihrem Server nsxxxxxx.ovh.net wurden unnormale Aktivitaten festgestellt.
Zoegern Sie nicht, den Support zu kontaktieren, damit die Situation nicht
kritisch wird.
Hier die von unserem System aufgefuehrten Logs, die zu diesem Alarm gefuehrt
haben:
- BEGINN DER ZUSATZINFORMATIONEN -
Nous avons ete informe que votre serveur avec l'ip 4x.xxx.xxx.xxx a participe a une attaque en deni de service distribue contre une organisation canadienne.
Une vulnerabilite dans "ntpd" a ete exploite permettant une attaque par amplification.
Les elements techniques utiles peuvent etre consultes ici :
http://www.cert.ssi.gouv.fr/site/CERTA-2014-AVI-034/
http://support.ntp.org/bin/view/Main/SecurityNotice#DRDoS_Amplification_Attack_using
https://www.us-cert.gov/ncas/alerts/TA14-013A
Fehlermeldung in französisch? Schön dass sich niemand die Mühe macht die Meldung zu mindestens in englisch zu schreiben!? (Für 15x Eur im Monat kann man das ja auch nicht erwarten...)
google Translate: Grob übersetzt, steht da, dass mein Server an einem Ddos auf ein kanadisches Unternehmen teilgenommen haben. Auf der Kiste läuft VmWare EsXi Server 4.1.
Nun stellt sich mir die Frage, wurde der Angriff von der Hostmaschine gesendet oder von den virtuellen Maschinen?
Wenn von HN, wie lässt sich die Kiste fixen ohne eine Neuinstallation? Habe keinen fix auf der Seite von Vmware gefunden.