We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Server in Rescue FTP Modus geschaltet - Anti Hack


Stefan
14.02.14, 14:43
Hi,

am besten nimmst du mit den Admins, über dein Ticket, Kontakt auf:
- Manager v3
- Support
- Die Störungen einsehen
- Ticket: 1626470 mit der Lupe öffnen und entsprechend deine Anfrage zur Freischaltung stellen, mit dem Hinweis das du den Fehler direkt beheben wirst.

Ein Reboot würde den Server nur im Rescue-FTP Modus nochmal neustarten.

soyoustarter
14.02.14, 14:43
Zitat Zitat von Jaroslawsky
Aber wie das eben so ist, entsteht daraus auch gleich die nächste Frage: der sshd auf dem ESXi Server ist nicht root-enabled. D.h. ich kann mich derzeit nicht per SSH als root auf der Maschine einloggen um die ntp Konfiguration so zu ändern, dass weitere Angriffe nicht mehr möglich sind. Klassischer Deadlock.
Festplatte mounten und Configs anpassen?
-> http://hilfe.ovh.de/AdministrationRescueModus#link5

Oder verstehe ich dich jetzt falsch?

Jaroslawsky
14.02.14, 14:28
Super, herzlichen Dank.

Aber wie das eben so ist, entsteht daraus auch gleich die nächste Frage: der sshd auf dem ESXi Server ist nicht root-enabled. D.h. ich kann mich derzeit nicht per SSH als root auf der Maschine einloggen um die ntp Konfiguration so zu ändern, dass weitere Angriffe nicht mehr möglich sind. Klassischer Deadlock.

Ist es möglich, dass OVH den Rescue FTP Modus wieder abschaltet, so dass man wieder per vSphere auf die Maschine kommt um das ntp Problem zu lösen oder gibt es einen anderen Weg?

Anders gefragt, was passiert eigentlich, wenn ich im OVH-Manager die Maschine reboote? Startet sie dann auch wieder im Rescue FTP Modus? Oder ist sie dann wieder voll erreichbar, bis OVH sie wieder zurückversetzt, so ich nicht schleunigst ntp korrigiere?

Beste Grüße,
Klaus Jaroslawsky

marius
14.02.14, 13:00
Port 123 ist NTP.
Schau mal hier:
http://ar0.me/blog/en/posts/2014/01/...n-attacks.html

Jaroslawsky
14.02.14, 12:44
Hallo,

unser Server ks386463.kimsufi.com wurde gestern Abend in den 'Rescue FTP' Modus geschaltet. Auf der Kiste läuft en VMWare ESXi mit zwei virtuellen Maschinen. Beide mit Mailservern. Jetzt steht alles und wir auf dem Schlauch.

Alles was ich in dem zugehörigen Ticket sehe ist ein spärlicher Log mit Zugriffsversuchen vom Port 123 der eigenen Maschine auf Port 80 zwei anderer Maschinen. Keine Ahnung, ob der ESXi Host gehackt sein könnte oder einer dar darin laufenden virtuellen Maschinen. Wie lässt sich das klären um überhaupt zu wissen in welcher Richtung man weiter suchen muss?

Beste Grüße,
Klaus Jaroslawsky