OVH Community, your new community space.

Einige News


whyte
16.04.09, 18:24
Ja das sage ich ja, jeder Server kann mal kurzfristig übernommen werden - siehe das udev Problem heute - das geht mal razfaz. Das OVH da ein Auge drauf hat finde ich schon gut, bewahrt den Kunden ja auch selbst vor Problemen.

Allerdings, wenn ein Server ohne echten Grund offline genommen wird oder man den Grund nicht erklären kann, dann sollte OVH hier mit sich reden lassen können.
Wobei ich vermute, dass man mit OVH auf jeden Fall reden kann.

bjo
16.04.09, 15:31
Das Problem ist meines Erachtens dann aber Folgendes: "Selbst der Hinweis das in den RIPE-Handles der angeblich “gescanten” IPs unsere Adresse steht, konnte die Franzosen nicht dazu bewegen die Server wieder online zu bringen."

Zudem denke ich, dass man Felix von netcup da wohl eher Glauben schenken kann als manchen Usern hier im Forum, die auch "Opfer" der Scanerkennung wurden, und vielleicht doch irgendwelchen Mist mit den Server angestellt haben.

Enn
16.04.09, 15:21
Ich kenne die Anzahl der Netcup Server nicht, aber mehrere SSH-Verbindungen pro Minute sehen schon nach einem ausgehenden Bruteforce Angriff aus.

1 Minute = 50 SSH Logins ausgehend
10 Minuten = 500 SSH Logins ausgehend
60 Minuten = 3000 SSH Logins ausgehend

(Milchmädchenrechnung, aber dürfte sicherlich ungefähr hinkommen)

bjo
16.04.09, 14:29
Moin Felix,

Zitat Zitat von kro
Soll heissen: du wirst nicht von solchen Maßnahmen betroffen sein. Wenn doch,
hat das einen hieb- und stichfesten Grund.
Meines Wissens hatte netcup ihren Monitoring/DNS-Server bei euch stehen. Mehrere SSH-Sessions sind also ein "hieb- und stichfenster Grund"?

http://www.hostblog.eu/2009/01/19/we...-nicht-wollen/

gruß
bjo

kro
16.04.09, 13:48
strex wrote:
> Aber das System ist meiner Meinung noch weit nicht ausgereift, ich habe
> vor ein paar Monaten ein honeypot System aufgesetzt und laufen lassen.
> Sehr erstaunlich was dort ans Scans, Spam, Exploit-Versuche etc.
> ankommen.


"Scans, Spam, Exploit-Versuche etc." - aber keine Attacken.

> Das lustige, die "Attacken" wie man es hier so nennt, ich
> nenne es einfach Hintergrundrauschen kommen immer wieder von
> wiederkommenden Servern.


Solche Fälle bitte an abuse@ovh.net melden.
--
Felix
OVH Team

kro
16.04.09, 13:46
whyte wrote:
> plane demnächst 2 Server via openVPN zu verbinden. Die ständigen
> Zugriffe rüber und nüber sehen in OVHs Augen vielleicht auch wie ein
> Angriff von einem an den anderen Server aus ... Oder wird geprüft, ob


Das Muster von zwei oder mehr untereinander normal kommunizierenden Server ist
anders als das von Attacken, unabhängig von der verwendeten Bandbreite.

> Wie massiv muss ausgehender Traffic sein, damit das als Angriff
> gewertet wird, wird massiver ausgehender Traffic auf einen speziellen


Es muss ein ausgehender angriff sein und nicht "einfach nur Traffic".

> gebieten. Auch können Server übernommen werden und somit Angriffe
> gestartet werden, auch hier finde ich es super, dass OVH schnell agiert


Das ist auch eher die Regel als die ausnahme.
--
Felix
OVH Team

kro
16.04.09, 13:42
mstuebner wrote:
>> Wenn dein Geschäftsmodell darin besteht, andere Server massivst zu
>> attackieren: ja


Umkehrschluss: wenn dein Geschäftsmodell keine solche Aktivitäten umfasst, bist
du bei uns willkommen.
Soll heissen: du wirst nicht von solchen Maßnahmen betroffen sein. Wenn doch,
hat das einen hieb- und stichfesten Grund.

> Gerne auch mit den Fakten auf denen diese Unterstellung bestimmt
> basiert?


Wo siehst du darin eine Unterstellung? Ich meine das genau so wie ich es
geschrieben habe: Ohne Doppelbedeutung oder zwischen den Zeilen verstecktem
Sinn. (Das sind wörter eines Admins und nicht eines Dichters!)
--
Felix
OVH Team

strex
16.04.09, 09:05
Bei einer Deaktivierung muss 100% klar sein, dass es um einen Angriff handelt. Das finde ich bei automatischen Systemen nicht gegeben. Was das eigentlich bringen soll ist mir bis jetzt nicht klar, man will nur noch mehr unerfahrerene ins Boot holen und da sie nicht wirklich mit einem Server umgehen können braucht man ein Mechanismus beide zu schützen. Mehr oder weniger.

Aber das System ist meiner Meinung noch weit nicht ausgereift, ich habe vor ein paar Monaten ein honeypot System aufgesetzt und laufen lassen. Sehr erstaunlich was dort ans Scans, Spam, Exploit-Versuche etc. ankommen. Das lustige, die "Attacken" wie man es hier so nennt, ich nenne es einfach Hintergrundrauschen kommen immer wieder von wiederkommenden Servern. Also nichts mit einer Sperrung. Entweder es ist in diesem Bereich deaktiviert oder sperrt Server einfach aus einem Zufallsprinzip.

Was wäre denn wenn jetzt Teleglobe/Level3 so vorgeht, oh aus dem OVH AS kommen Spams oder "Angriffe", dann schalten wir die Transitlinks ab. Wäre für OVH auch nicht toll.

whyte
16.04.09, 07:43
Also ich muss mstueber teilweise recht geben. Ich habe mit dem ident-Fall hier im Forum das auch mitbekommen. Ich weiss noch, dass der Junge total aufgelöst war, sein Server war weg, Geld war weg - wie es ausging, weiss ich garnicht mehr. Wahrscheinlich war er sauer und hat sich deshalb hier nicht mehr "heimisch" gefühlt.

Ich persönlich miete meine Server nur jahresweise, für mich wäre es ein Desaster, wenn der Server von heut auf morgen gesperrt wird und ich auch nicht mehr ran komme. Damals hieß es noch, man wird 2 mal verwarnt und beim 3. mal ist der Server futsch. Ist das nach wie vor so ? Kann man sich darauf verlassen ? Oder ist das nur bei eingehenden Angriffen so ?

Wie wird verfahren, wenn nachweisen kann, dass es wirklich nur eine "Kleinigkeit" war (sofern man noch Zugriff auf den rescue bekommt). Ich plane demnächst 2 Server via openVPN zu verbinden. Die ständigen Zugriffe rüber und nüber sehen in OVHs Augen vielleicht auch wie ein Angriff von einem an den anderen Server aus ... Oder wird geprüft, ob beide Server der selben Person gehören...

Wie massiv muss ausgehender Traffic sein, damit das als Angriff gewertet wird, wird massiver ausgehender Traffic auf einen speziellen Server auch als Angriff gewertet (denn OVH kann ja nicht wissen, um was für ein Traffic es sich handelt) ...

Es wäre doch super, wenn OVH in ihrer Hilfe-Datenbank einfach mal eine Seite dazu schreibt, unter welchen Gesichtspunkten irgendwelche Aktionen als Angriff gewertet werden - und noch wichtiger, was dann passiert.

Sicherlich werden einige Kunden bei OVH auch absichtlich Angriffe starten, deswegen finde ich das von Seitens OVH gut, dem Einhalt zu gebieten. Auch können Server übernommen werden und somit Angriffe gestartet werden, auch hier finde ich es super, dass OVH schnell agiert und den Server off nimmt. Somit erspart man sich Ärger und unter Umständen rechtliche Probleme (die sehr teuer werden können).
Aber wenn man monatelang oder auch jahrelang (wie ich) einen Server bei OVH hat und nie was aufgefallen ist, denke ich, ist es nicht ratsam, den Kunden als Spammer, Hacker oder was weiss ich abzustempeln, wenn es einfach mal ein Fehler war. Der Server sollte nach einer Prüfung und Reinstallation wieder verfügbar sein - und nicht futsch sein.

PS: ich verstehe kros Antwort auch nicht als persönlicher Angriff, das war bestimmt eher allgemein gemeint ... Wenn Geschäftsmodelle, irgenwelcher Kunden darin besteht, Spam zu verschicken oder andere Server zu attakieren, ist dies eine Gefahr für das Unternehmen, das Internet und sollten verhindert werden ...

ServerDepp
16.04.09, 07:33
Es ist aber ja so gemeint!

Wenn Dein Geschäftsmodell ...., dann ist die Antwort auf Deine Frage: ja --> OVH ist an Dir als Kunde nicht weiter interessiert.

Was kann man denn daran jetzt falsch oder anders verstehen?

serverdepp

mstuebner
16.04.09, 07:00
Zitat Zitat von Enn
Zu manchen Personen fehlen mir einfach die Worte....

WO hat kro geschrieben, dass DU gezielt andere Rechner attackierst?
Er hat dir lediglich eine Antwort auf DEINE Frage gegeben...
Das ergibt sich für mich aus dem Kontext und daraus, dass in keiner Weise auf die relevanten Teile meines Postes geantwortet wurde, sondern nur auf das Fazit.

Wenn es nicht so gemeint wäre, dann muss man das auch so schreiben, bzw. sollte dem Mitarbeiter bewusst sein, dass ein solcher Anschein vermieden werden sollte. Insofern gehe ich davon aus dass es so gemeint war.

Enn
16.04.09, 06:20
Zu manchen Personen fehlen mir einfach die Worte....

WO hat kro geschrieben, dass DU gezielt andere Rechner attackierst?
Er hat dir lediglich eine Antwort auf DEINE Frage gegeben...

mstuebner
15.04.09, 22:55
Zitat Zitat von kro
mstuebner wrote:
> In Summe heisst dies also, dass OVH für weitere Server leider nicht in
> Frage kommt. Das finde ich, bei den doch durchaus interessanten
> Entwicklungen bei OVH, als bedauerlich. Aber scheinbar ist das seitens
> OVH so gewollt?


Wenn dein Geschäftsmodell darin besteht, andere Server massivst zu attackieren: ja
--
Felix
OVH Team
Ich weiss nicht ob solche anmassenden und verleumdenden Kommentare zur Geschäftspolitik von OVH gehören?

Ich erwarte diesbezüglich eine Stellungnahme an dieser Stelle.
Gerne auch mit den Fakten auf denen diese Unterstellung bestimmt basiert?

Muss man sich solche Unverschämtheiten bei OVH bieten lassen?

kro
15.04.09, 22:46
mstuebner wrote:
> In Summe heisst dies also, dass OVH für weitere Server leider nicht in
> Frage kommt. Das finde ich, bei den doch durchaus interessanten
> Entwicklungen bei OVH, als bedauerlich. Aber scheinbar ist das seitens
> OVH so gewollt?


Wenn dein Geschäftsmodell darin besteht, andere Server massivst zu attackieren: ja
--
Felix
OVH Team

mstuebner
15.04.09, 17:22
Zitat Zitat von kro
> 1.) Was erkennt das System alles als Angriff (bitte genaue
> Informationen)[/color]

Es muss schon ein *echter* angriff sein. genauere Informationen hierzu werden wir nicht veröffentlichen.
Sorry, aber security by obscurity hat noch nie was gebracht. Professionell ist anders.

Es hat sich auch nach inzwischen mehreren Monaten niemand zu dem ANGRIFF durch IDENT-Protokoll geäussert. Zig-mal zugesagt, nichts passiert. Als ergebnis muss man ausgehende korrekte Protokollnachrichten sperren, weil man sonst wieder eine Nachricht "Ihr Server wurde gehackt" bekommt...

Zitat Zitat von kro
> 3.) Kann der Server (selbstverständlich nachdem das Problem per Rescue
> gelöst wurde) wieder normal gestartet werden[/color]

kommt drauf an. wenn ersichtlich ist dass die attacke mit erweiterten rechten
ausgeführt werden musste ist davon auszugehen das das system weitreichend kompromittiert ist, hier führt kein weg an einer neuinstallation vorbei.
Wobei ich mal vermute, dass die Entscheidung von nicht dokumentierten und daher nicht nachvollziehbaren Kriterien abhängt?

In Summe heisst dies also, dass OVH für weitere Server leider nicht in Frage kommt. Das finde ich, bei den doch durchaus interessanten Entwicklungen bei OVH, als bedauerlich. Aber scheinbar ist das seitens OVH so gewollt?

kro
15.04.09, 14:18
spoi wrote:
> 1.) Was erkennt das System alles als Angriff (bitte genaue
> Informationen)


Es muss schon ein *echter* angriff sein. genauere Informationen hierzu werden
wir nicht veröffentlichen.

> 2.) Wird der Server nur bei ausgehenden Angriffen oder auch bei
> eintreffenden Angriffen in das Rescue gebootet


ausgehend.

> 3.) Kann der Server (selbstverständlich nachdem das Problem per Rescue
> gelöst wurde) wieder normal gestartet werden


kommt drauf an. wenn ersichtlich ist dass die attacke mit erweiterten rechten
ausgeführt werden musste ist davon auszugehen das das system weitreichend
kompromittiert ist, hier führt kein weg an einer neuinstallation vorbei.
--
Felix
OVH Team

mstuebner
15.04.09, 13:23
das löst die situation aber nicht für shared Hosting.

spoi
15.04.09, 13:14
Hallo,

[Vorweg: ich gehe davon aus, die Problematik betrifft nicht nur RPS sondern OVH Server im allgemeinen]

ich bitte um mehr Informationen zu der "Verbesserung" der Angriffserkennung. Folgende Punkte sind für mich vor allem interessant:

1.) Was erkennt das System alles als Angriff (bitte genaue Informationen)
2.) Wird der Server nur bei ausgehenden Angriffen oder auch bei eintreffenden Angriffen in das Rescue gebootet
3.) Kann der Server (selbstverständlich nachdem das Problem per Rescue gelöst wurde) wieder normal gestartet werden
4.) Wird man über den Vorgang per E-Mail informiert und kann man die E-Mailadresse festlegen

Zunächst war es bei OVH nicht möglich vServer zu hosten, da konsequenterweise keine IP Adressen bestellt werden konnten, nun wird es bei OVH nicht möglich sein vServer zu hosten, da OVH einen ganzen Server lahm legt, auch wenn nur ein vServer Probleme bereitet.
Währe es nicht eine bessere Lösung einfach nur die IP null zu routen, auf die oder von der der Angriff ausgeht? -> Dies sollte doch technisch kein Problem für OVH sein.

Gruß

spoi

mstuebner
14.04.09, 23:36
Zitat Zitat von Anne-Claude
Ich werde darum bitten, dass solche Meldungen vorab per E-Mail an die Kunden verschickt werden.
Solche Beiträge im Forum, oder die Meldungen darüber dass der Server gesperrt wurde?

Schön wäre eine verlässliche Information mit einem Zeitfenster in dem man reagiert haben soll.

Danke für Deinen Einsatz, aber eine verbindliche Zu-/Aussage dazu wäre dringend notwendig.

Anne-Claude
14.04.09, 13:29
Ich werde darum bitten, dass solche Meldungen vorab per E-Mail an die Kunden verschickt werden.

mstuebner
09.04.09, 13:01
Zitat Zitat von chems
Ich kann mich dem Vorredner nur anschließen !
Dadurch dass solche Beiträge immer in allen Foren identisch gepostet werden, habe ich nun leider das falsche gewählt, bei mir geht es im ded. Server.

Prinzipiell ist die Situation aber unabhängig davon, ob dediziert oder RPS.

chems
09.04.09, 12:42
Ich kann mich dem Vorredner nur anschließen !

Ich kenne es von anderen (großen Providern), dass im Falle einer solche Sache, der Kunde informiert wird per Telephon und Mail, und man genug Zeit gibt, dass der Kunde sich das auch erst selbst anschaut.

Gerade bei RPS ist ja jeder selbst für seinen Server verantwortlich.

mstuebner
09.04.09, 11:58
Servus,

Zitat Zitat von oles@ovh.net
- Wir haben das System zur Erkennung ein- und ausgehender Angriffe
verbessert. Wenn ein Angriff von Ihrem Server ausgeht und wir dies erkennen, dann wird Ihr Server automatisch in den Rescue Modus versetzt.
Das Thema hatten wir doch schon mal, nur wurde damals per Email verbindlich zugesagt, dass ERST informiert wird und DANN agiert wird!

Obiges dürfte "automatisch" nur schwer umsetzbar sein. Auch ist meines Wissens nicht dokumentiert welche Aktivitäten als Angriff bezeichnet werden. Ich erinnere daran, dass auch die korrekte Benutzung des IDENT-Protokoll bereits als ausgehender Angriff angesehen wurde.

Mit einem solch einer "automatischen" Erkennung und Aktion wüsste ich nicht, wie man OVH-Server für das Hosting mehrerer Kunden nutzen kann.

Eine kurzfristige Aussage seitens OVH wäre hier von Interesse.

Danke,

oles@ovh.net
07.04.09, 04:50
> Wir führen heute Nacht umfangreiche Arbeiten im Saal 4 in Roubaix 2
> durch. Die betroffenen Kunden wurden per E-Mail informiert und über die
> Vorgehensweise in Kenntnis gesetzt. Was ist das Problem? Wir müssen ein
> Stromkabel gegen ein grösser dimensioniertes austauschen und die
> Kapazität des Schutzschalters im Saal 4 erhöhen. Das Ziel ist es, mögliche
> Katastrophen in der Zukunft zu verhindern. Wir spielen lieber nicht mit der
> Wahrscheinlichkeit eines Ausfalls, sondern beheben das Problem ein für
> alle Male. Die Server werden deshalb für 30 Minuten angehalten und nach
> dem Eingriff wieder gestartet. Es ist alles vorbereitet, die Arbeiten werden
> nach Mitternacht beginnen. Um mehr zu erfahren: http://forum.ovh.de/showthread.php?t=6176

Erledigt.

Hier das VMS (VISUAL MONITORING SYSTEM - OVH Datacenter) während der Arbeiten:
http://demo.ovh.com/fr/cc32abd4b69cd...f06d16ffc668a/

Real Time VMS:
http://travaux.ovh.net/vms/

oles@ovh.net
06.04.09, 19:58
Guten Tag,

hier einige News zu OVH:

- Wir führen heute Nacht umfangreiche Arbeiten im Saal 4 in Roubaix 2
durch. Die betroffenen Kunden wurden per E-Mail informiert und über die Vorgehensweise in Kenntnis gesetzt. Was ist das Problem? Wir müssen ein Stromkabel gegen ein grösser dimensioniertes austauschen und die Kapazität des Schutzschalters im Saal 4 erhöhen. Das Ziel ist es, mögliche Katastrophen in der Zukunft zu verhindern. Wir spielen lieber nicht mit der Wahrscheinlichkeit eines Ausfalls, sondern beheben das Problem ein für alle Male. Die Server werden deshalb für 30 Minuten angehalten und nach dem Eingriff wieder gestartet. Es ist alles vorbereitet, die Arbeiten werden nach Mitternacht beginnen. Um mehr zu erfahren: http://forum.ovh.de/showthread.php?t=6176

- Wir haben den Router vss-1-6k fertig befüllt, der drei Hostingsäle im
Datacenter Roubaix 2 verwaltet. Also etwa 12000 Server.

- Wir haben den neuen Router vss-2-6k gestartet... Ein menschlicher Fehler
hat zu einem Problem mit IPV6/Loadbalancing IP der von vss-1-6k gerouteten Server während 3-4 Stunden geführt (der Techniker hat einen Finger eingebüsst...).
Die Einrichtung von vss-3-6k ist in etwa 3 bis 5 Monaten vorgesehen. Bis zum Ende des Jahres sollten die 3 vss Router dann voll sein, und danach werden wir damit anfangen, die neuen Cisco Nexus 7000 zu verwenden. Ab Januar/Februar 2010, mit einem Netzwerk, das dann bis zu 5 Tbps routen kann...

- Wir sind gerade dabei, die Erhöhungen der Kapazitäten zwischen
vss-1-6k/vss-2-6k und Amsterdam/Frankfurt/London - also zu den Peeringpunkten Amsix, Linx und Decix - abzuschliessen. Es bleiben noch einige Patches (Connections) in Amsterdam übrig, was es uns erlauben wird, mehr Transit zu Teleglobe und Global Crossing zu haben. Wir haben schon die Transmission Upgrades zwischen Roubaix 2 und Amsterdam/Frankfurt gestartet, und bereiten - für den Anfang - die Einrichtung des Links Roubaix/London mit 8x10 Gbps vor.

- Es kann sein, dass wir die Kapazität zu DTAG auf 3x10 Gbps erhöhen
werden... Die Verhandlungen laufen gerade...

- Wir denken, dass in etwa 6 Wochen alle Arbeiten am Netzwerk abgeschlossen
sein werden. Wir werden dann eine sehr grosse Netzwerkkapazität haben... und diese muss auch gut genutzt werden... Wir haben Absprachen über viel Bandbreite getroffen, vor allem zu Zielen wie den USA, Kanada usw. hin.

- Wir haben schon ein wenig von der OVHache ("OVHaxt") gesprochen. Diese
wird nun bald zuschlagen... Es gibt noch ein wenig Arbeit an der Webseite...

- Die Lieferungen der Server erfolgen nicht so, wie wir das gerne hätten.
Wir sind bei der Produktion der Server am Anschlag, aber wir schaffen es nicht, 100% der Server innerhalb von einer Stunde zu liefern. Derzeit sind wir eher bei 2-5 Tagen...

- Das Sonderangebot mit 50 GB Speicherplatz bei den RPS war ein voller
Erfolg. Wir sind im Moment noch dabei, den Rückstand bei diesen Bestellungen aufzuholen. Wir denken, dass wir bis Ende der Woche alles aufholen können, aber sicher ist dies noch nicht. Sie haben innerhalb von 2 Wochen 20% des derzeitigen RPS Gesamtbestands bestellt...

- Wir haben das System zur Erkennung ein- und ausgehender Angriffe
verbessert. Wenn ein Angriff von Ihrem Server ausgeht und wir dies erkennen, dann wird Ihr Server automatisch in den Rescue Modus versetzt. Dieses System ist seit etwa 3 Wochen im Einsatz. Bleibt nun noch das Problem mit dem Spam...

Mit freundlichen Grüssen

Octave