whyte
11.04.15, 06:58
Zitat von SpaceHost
Anti Hack E-Mail
Zitat von SpaceHost
SpaceHost
10.04.15, 15:48
Logdateien wurden heute früh schon gecheckt, da kam dann raus dass ein Rechner scheinbar infiziert war, welcher sofort neuinstalliert wurde.
Das Thema ist jetzt geklärt, der Server war nicht schuld!
Das Thema ist jetzt geklärt, der Server war nicht schuld!
soyoustarter
10.04.15, 14:42
Zitat von SpaceHost
Das Teil kann auch durch JAVA oder sonst wie auf den Server gekommen sein... da bringt dir das ändern des RDP-Passworts relativ wenig.
-> https://www.symantec.com/security_re...056-99&tabid=2
Lass mal eines der Norton Tools laufen.. die liefern bei mir immer gute Arbeit ab
-> https://www.symantec.com/security_re...056-99&tabid=3
Ansonsten check halt mal die Logdateien zu den angegebenen Zeiten... Bist ja schließlich Inhaber eines Webhosting-Unternehmens, das wirste ja sicherlich noch hinbekommen...
P.S. OVH leitet die Abuse-Meldungen meist nur weiter, sprich fast nur von extern rein.
SpaceHost
09.04.15, 17:18
Guten Tag,
ich habe einen Kimsufi KS2 worauf ich einen Windows Server 2012 R2 betreibe.
Zusätzlich habe ich noch einen privaten VPN, sowie einen privaten SOCKS5 Proxy am laufen.
Mehr NICHT!
Leider habe ich heute (09.04.2015 um 18:00 Uhr) eine "Anti Hack" E-Mail bekommen, in der folgendes steht:
Da ich aber ein sicheres RDP Passwort verwende, welches zudem jede Woche geändert wird ist mir das schleierhaft das ich in einem Botnetz "mitmache". Außerdem habe ich nur Software verwendet die mitunter auch auf meinen Linux-Servern in Verwendung ist oder auch auf anderen Windows Servern, welche nicht bei OVH gehostet werden. Da in dem VPN nur Arbeitsplatzrechner eingebunden sind, denke ich auch nicht das diese das hervorrufen.
Ich wollte nur fragen ob OVH manchmal "false-positives" verschickt.
Ich habe hier auch noch 5x 1 GB LOG-Files, welche den Traffic geloggt haben, wo ich nachschauen kann.
ich habe einen Kimsufi KS2 worauf ich einen Windows Server 2012 R2 betreibe.
Zusätzlich habe ich noch einen privaten VPN, sowie einen privaten SOCKS5 Proxy am laufen.
Mehr NICHT!
Leider habe ich heute (09.04.2015 um 18:00 Uhr) eine "Anti Hack" E-Mail bekommen, in der folgendes steht:
Code:
Guten Tag, auf Ihrem Server nsxxxxxx.ip-xxx-xxx-xxx.eu wurden unnormale Aktivitäten festgestellt. Zögern Sie nicht, den Support zu kontaktieren, damit die Situation nicht kritisch wird. Hier die von unserem System aufgeführten Logs, die zu diesem Alarm geführt haben: - BEGINN DER ZUSATZINFORMATIONEN - Nous avons été informé de la compromission de votre ip faisant partie d'un botnet opéré afin de voler des informations personnelles et des identifiants de connexion bancaire. Voici la liste des enregistrements correspondants : (Les différents enregistrements d'une même IP sont laissés dans l'hypothèse d'une attribution dynamique d'IP.) SourceIpAsnNr, SourceIP,SourceIpRegion,SourceIPCity,Country,BackFileTimeUtc,ConvertedTimeUTC asn|ip|time|ptr|cc|type|info|info2 AS16276|XXX.XXX.XXX.XXX|2015-04-01 04:10:35|server.example.com.|FR|botnet_drone|Description: Ramnit botnet victim connection to sinkhole details| AS16276|XXX.XXX.XXX.XXX|2015-03-31 09:11:07|server.example.com.|FR|botnet_drone|Description: Ramnit botnet victim connection to sinkhole details| AS16276|XXX.XXX.XXX.XXX|2015-03-31 09:10:54|server.example.com.|FR|botnet_drone|Description: Ramnit botnet victim connection to sinkhole details| AS16276|XXX.XXX.XXX.XXX|2015-04-01 04:10:36|server.example.com.|FR|botnet_drone|Description: Ramnit botnet victim connection to sinkhole details| - ENDE DER ZUSATZINFORMATIONEN - Mit freundlichen Grüßen, Ihr Kimsufi.com Support Kontakt: http://forum.kimsufi.com Montag - Freitag: 9:00 - 20:00
Ich wollte nur fragen ob OVH manchmal "false-positives" verschickt.
Ich habe hier auch noch 5x 1 GB LOG-Files, welche den Traffic geloggt haben, wo ich nachschauen kann.