Serveurs hackés par botnet chez OVH - Oros links
vendredi 11 juillet 2014 à 16:41 Ecirtam, le 10/07/2014 à 14:17
Je suis inquiet.
Le serveur ( 178.32.139.233 (OVH) ) qui contrôle le botnet via IRC, est toujours actif.
Un ticket support a été ouvert hier mais je n'ai pas eu de retour de leur part.
Je rappel que les 3 IPs 188.165.136.196, 91.121.21.139 et 178.32.139.233 qui servent le botnet se trouvent chez OVH.
Je ne sais pas quoi faire pour le stopper.
(Permalink)
dooby, le 11/07/2014 à 16:41
c'est là qu'on se rend compte qu'en bossant chez un hébergeur on a certain cas un peu plus souvent que d'autres personnes ... Ce genre de hack est *ultra courant*, super facile à diagnostiquer et à patcher également. Je ne souhaite pas à Oros de se retrouver avec l'intégralité des binaires du système (ls inclus) remplacé par des commandes lançant le client botnet :)
En somme, quand on fait de la prod, on monitore les services lancés sur une machine, les ports ouverts, on met un HIDS/HIPS en route sur les machines sensible, et surtout, on fait au moins une fois par jour un snapshot pour pouvoir revenir à l'état précédent au besoin !
Anyway, tenter d’interagir avec le réseau de botnet c'est tout à fait useless parce qu'il en existe des centaines ... et que pénétrer dans un seul ne changera jamais la donne.
(Permalink)
Je suis inquiet.
Le serveur ( 178.32.139.233 (OVH) ) qui contrôle le botnet via IRC, est toujours actif.
Un ticket support a été ouvert hier mais je n'ai pas eu de retour de leur part.
Je rappel que les 3 IPs 188.165.136.196, 91.121.21.139 et 178.32.139.233 qui servent le botnet se trouvent chez OVH.
Je ne sais pas quoi faire pour le stopper.
(Permalink)
dooby, le 11/07/2014 à 16:41
c'est là qu'on se rend compte qu'en bossant chez un hébergeur on a certain cas un peu plus souvent que d'autres personnes ... Ce genre de hack est *ultra courant*, super facile à diagnostiquer et à patcher également. Je ne souhaite pas à Oros de se retrouver avec l'intégralité des binaires du système (ls inclus) remplacé par des commandes lançant le client botnet :)
En somme, quand on fait de la prod, on monitore les services lancés sur une machine, les ports ouverts, on met un HIDS/HIPS en route sur les machines sensible, et surtout, on fait au moins une fois par jour un snapshot pour pouvoir revenir à l'état précédent au besoin !
Anyway, tenter d’interagir avec le réseau de botnet c'est tout à fait useless parce qu'il en existe des centaines ... et que pénétrer dans un seul ne changera jamais la donne.
(Permalink)