OVH Community, your new community space.

Anti Hack E-Mail


whyte
11.04.15, 06:58
Zitat Zitat von SpaceHost
der Server war nicht schuld!
also, der war wirklich gut ... selten so gelacht ...

SpaceHost
10.04.15, 15:48
Logdateien wurden heute früh schon gecheckt, da kam dann raus dass ein Rechner scheinbar infiziert war, welcher sofort neuinstalliert wurde.
Das Thema ist jetzt geklärt, der Server war nicht schuld!

soyoustarter
10.04.15, 14:42
Zitat Zitat von SpaceHost
Code:
SourceIpAsnNr, SourceIP,SourceIpRegion,SourceIPCity,Country,BackFileTimeUtc,ConvertedTimeUTC



asn|ip|time|ptr|cc|type|info|info2


 AS16276|XXX.XXX.XXX.XXX|2015-04-01 04:10:35|server.example.com.|FR|botnet_drone|Description: Ramnit botnet victim connection to sinkhole details|
 AS16276|XXX.XXX.XXX.XXX|2015-03-31 09:11:07|server.example.com.|FR|botnet_drone|Description: Ramnit botnet victim connection to sinkhole details|
 AS16276|XXX.XXX.XXX.XXX|2015-03-31 09:10:54|server.example.com.|FR|botnet_drone|Description: Ramnit botnet victim connection to sinkhole details|
 AS16276|XXX.XXX.XXX.XXX|2015-04-01 04:10:36|server.example.com.|FR|botnet_drone|Description: Ramnit botnet victim connection to sinkhole details|

Ihr Kimsufi.com Support

Kontakt: http://forum.kimsufi.com
Montag - Freitag: 9:00 - 20:00
Da ich aber ein sicheres RDP Passwort verwende, welches zudem jede Woche geändert wird ist mir das schleierhaft das ich in einem Botnetz "mitmache". Außerdem habe ich nur Software verwendet die mitunter auch auf meinen Linux-Servern in Verwendung ist oder auch auf anderen Windows Servern, welche nicht bei OVH gehostet werden. Da in dem VPN nur Arbeitsplatzrechner eingebunden sind, denke ich auch nicht das diese das hervorrufen.
Ich wollte nur fragen ob OVH manchmal "false-positives" verschickt.
Ich habe hier auch noch 5x 1 GB LOG-Files, welche den Traffic geloggt haben, wo ich nachschauen kann.
Kimsufi-Support findet eig hier statt -> http://forum.kimsufi.com aber nun gut.
Das Teil kann auch durch JAVA oder sonst wie auf den Server gekommen sein... da bringt dir das ändern des RDP-Passworts relativ wenig.

-> https://www.symantec.com/security_re...056-99&tabid=2
Lass mal eines der Norton Tools laufen.. die liefern bei mir immer gute Arbeit ab
-> https://www.symantec.com/security_re...056-99&tabid=3

Ansonsten check halt mal die Logdateien zu den angegebenen Zeiten... Bist ja schließlich Inhaber eines Webhosting-Unternehmens, das wirste ja sicherlich noch hinbekommen...

P.S. OVH leitet die Abuse-Meldungen meist nur weiter, sprich fast nur von extern rein.

SpaceHost
09.04.15, 17:18
Guten Tag,
ich habe einen Kimsufi KS2 worauf ich einen Windows Server 2012 R2 betreibe.
Zusätzlich habe ich noch einen privaten VPN, sowie einen privaten SOCKS5 Proxy am laufen.
Mehr NICHT!

Leider habe ich heute (09.04.2015 um 18:00 Uhr) eine "Anti Hack" E-Mail bekommen, in der folgendes steht:
Code:
Guten Tag,

auf Ihrem Server nsxxxxxx.ip-xxx-xxx-xxx.eu wurden unnormale Aktivitäten festgestellt.

Zögern Sie nicht, den Support zu kontaktieren, damit die Situation nicht
kritisch wird.

Hier die von unserem System aufgeführten Logs, die zu diesem Alarm geführt
haben:

-  BEGINN DER ZUSATZINFORMATIONEN  -

Nous avons été informé de la compromission de votre ip faisant partie d'un botnet opéré afin
de voler des informations personnelles et des identifiants de connexion
bancaire.

Voici la liste des enregistrements correspondants :
(Les différents enregistrements d'une même IP sont laissés dans l'hypothèse
d'une attribution dynamique d'IP.)

SourceIpAsnNr, SourceIP,SourceIpRegion,SourceIPCity,Country,BackFileTimeUtc,ConvertedTimeUTC



asn|ip|time|ptr|cc|type|info|info2


 AS16276|XXX.XXX.XXX.XXX|2015-04-01 04:10:35|server.example.com.|FR|botnet_drone|Description: Ramnit botnet victim connection to sinkhole details|
 AS16276|XXX.XXX.XXX.XXX|2015-03-31 09:11:07|server.example.com.|FR|botnet_drone|Description: Ramnit botnet victim connection to sinkhole details|
 AS16276|XXX.XXX.XXX.XXX|2015-03-31 09:10:54|server.example.com.|FR|botnet_drone|Description: Ramnit botnet victim connection to sinkhole details|
 AS16276|XXX.XXX.XXX.XXX|2015-04-01 04:10:36|server.example.com.|FR|botnet_drone|Description: Ramnit botnet victim connection to sinkhole details|

-  ENDE DER ZUSATZINFORMATIONEN  -

Mit freundlichen Grüßen,

Ihr Kimsufi.com Support

Kontakt: http://forum.kimsufi.com
Montag - Freitag: 9:00 - 20:00
Da ich aber ein sicheres RDP Passwort verwende, welches zudem jede Woche geändert wird ist mir das schleierhaft das ich in einem Botnetz "mitmache". Außerdem habe ich nur Software verwendet die mitunter auch auf meinen Linux-Servern in Verwendung ist oder auch auf anderen Windows Servern, welche nicht bei OVH gehostet werden. Da in dem VPN nur Arbeitsplatzrechner eingebunden sind, denke ich auch nicht das diese das hervorrufen.
Ich wollte nur fragen ob OVH manchmal "false-positives" verschickt.
Ich habe hier auch noch 5x 1 GB LOG-Files, welche den Traffic geloggt haben, wo ich nachschauen kann.