W50/w51

betatester123......

Helaas kan ik geen contact opnemen met deze persoon. hij blijkt een telefoon nummer te hebben +3100000000. Zeker nu ga ik een suspend voor deze gebruiker aanvragen. Wegens het verstrekken van incorrecte gegevens. Tevens zijn zowel zijn voornaam als achternaam hetzelfde. Betatester en dan het verstrekken van deze info vind ik gewoonweg schandalig

een reden te meer om je deze beta server dus te ontnemen. Betatester betekend ook dat je regelmatig ons op de hoogte te houden over het hoe en wat over je server.je heb een beta server aangevraagd dat was je eerste bericht en daarnaast nog 3 andere berichten in deze post......... volgens mij ben jij een van de personen waar ik juist een probleem mee heb. iets meer feedback van jou zou ik heel graag zien voor ik nog werk in jou ga steken. dank je wel voor het duidelijk maken van deze persoon betatester123

Ik zelf ben geen regelmatige bezoeker van dit forum, maar mijn vriend maakte mij hier op attent nadat hij zelf het initiatief had genomen om dit hier te melden.

De reden dat ik nog geen herinstallatie heb uitgevoerd, is omdat ik eerst de gegevens op de server zou willen backuppen. Om deze reden ben ik ook verder in contact geweest met OVH Support; ik kreeg namelijk geen toegangsgegevens toegestuurd als ik de server herstartte.

OVH BV - http://www.ovh.nl
Corkstraat 46
3047 AC Rotterdam


Goedendag,

U heeft een aanvraag ingediend voor een hardware reboot op afstand
op uw server ks301465.kimsufi.com. Wij hebben uw vraag ingewilligd en uw server beantwoordt opnieuw de ping.
U kan zich nu aansluiten op uw server.

Ter informatie:
- datum van uw aanvraag voor een reboot: 2009-12-28 00:32:03
- datum van uitvoering van de hardware reboot: 2009-12-28 00:32:15
- datum van detectie ping : 2009-12-28 00:33:13


Met vriendelijke groet,

Klant Support OVH
Technische en commerciële Support: 010 89 17 059
Email : support@ovh.nl
Van maandag tot vrijdag : 9u00 tot 18u00

Maar hoe zit het nu met die server die al weet ik hoe lang in herinstall modus staat.

Morphie,

Nee, dat jullie achteraf niet incasseren weet ik niet. Ik zou eigenlijk ook niet weten waarom niet. Het lijkt mij dat je na dit administratiewerk ook gewoon administratiekosten kunt rekenen, mocht je dit contractueel ook vastleggen. Maar ik zou wel gek zijn.

zoals je weet kunnen wij niet achteraf incasseren en dat doen wij dus ook niet. helaas beslechten de goede mensen het nu ook weer met de slechte mensen. Wij kunnen niet vooraf bepalen of mensen gaan spammen of niet. Enkel met langlopende contracten weten we zeker dat die intentie er niet is

Het is juist om deze reden dat de 49 euro setup kosten in het leven geroepen zijn. Onze servers werden juist vaak genomen met als enige doel om te spammen.

Dus als ik een shared webserver heb en een phpbb of joomla install van een klant wordt toevallig gehacked en er komt spam door, dan zet OVH de HELE SERVER ERUIT?! ipv even een waarschuwing sturen of poort 25 dichtzetten?

Als je die klant gewoon netjes suspend nadat je in je log hebt gezien welke het is, dan is er toch niets meer aan de hand? Waarom zou je dan een herinstall gaan doen.

... En dan met zoeen "streng" systeem nog steeds wereldwijd nummer #1 spam netwerk zijn, best knap

Onderstaande mail ontving ik afgelopen middag. Mijn eigen monitorsystemen, welke ik op een andere server draai, hadden mij al gemeld dat er een probleem was met deze server.

De OVH Manager meldt dat er een incident heeft plaatsgevonden, onder de vermelding "OVH anti-hack". In de hieronder bijgevoegde email staan logingegevens voor de server, die niet blijken te werken. Zowel via FTP als SSH is het niet mogelijk met deze gegevens in te loggen.

Na een telefoontje met de support-lijn van OVH in Nederland werdt mij verzocht om onderstaande mail door te sturen.

De situatie is nu dat mijn server onbereikbaar/onbruikbaar is. De OVH Manager staat mij niet toe om de server te rebooten. Ook omtrent dit 'lek' in de beveiliging wordt totaal geen informatie verschaft.

Ik zou graag weten of en hoe het mogelijk is mijn server weer operationeel te maken, en welk beveiligingsprobleem op mijn server geconstateerd is. Met deze informatie zou ik de mogelijkheid hebben het probleem te verhelpen.
Ik heb zelf geen idee wat dit mogelijk zou kunnen zijn. De server draait een VMWare server (zoals u zelf ook als package aanbied), een fork van de laatste Made-in-OVH-kernel, waarin de module PARPORT_PC is toegevoegd om VMWare werkend te krijgen, en een simpele HTTP-server voor het aanbieden van enkele files (het programma WebFS). Alle overige software die in contact met de buitenwereld staat, zoals OpenSSH etc, zijn geupgraded naar de laatste versies.

Ik hoop zo spoedig mogelijk van u te vernemen.

Met vriendelijke groet,


---------- Forwarded message ----------
From: Support OVH
Date: 2009/12/1
Subject: [ks301465.kimsufi.com] Toegang tot de gegevens van uw server
To: -verwijderd-


OVH BV - http://www.ovh.nl
Corkstraat 46
3047 AC Rotterdam


Goedendag,

Uw server werd opgestart in een specifieke modus die u de mogelijkheid biedt om uw gegevens te recupereren

U beschikt enkel over een FTP toegang "Alleen lezen" met volgende parameters :

- gebruikersnaam : -verwijderd-
- wachtwoord : -verwijderd-



Met vriendelijke groet,

Klant Support OVH
Technische en commerciële Support: 010 89 17 059
Email : support@ovh.nl
Van maandag tot vrijdag : 9u00 tot 18u00

Mijn server is nu al meer dan 24 uur onbereikbaar. Ik wil graag weten wat er aan de hand is en wat hieraan gedaan gaat worden.

Met vriendelijke groet,

Beste klant,


De server is nu in KVM rescue gisteren, de toegangscodes zijn ook opgestuurd, daarmee kunt u inloggen op de server via een browser om de bron van het probleem te onderzoeken. Er was namelijk spam gestuurd vanuit uw server en om die reden is het in hack status.

met vriendelijke groet,

Zou u svp de moeite willen nemen mijn email te lezen?
Zoals ik al aangaf, kan ik niet inloggen op mijn server met de verstrekte gegevens. 530 Login incorrect.
Daarnaast, hoe is het uberhaupt mogelijk om het probleem op te lossen als ik slechts read-only ftp-toegang krijg? Iets meer gedetailleerdere informatie dan 'er wordt spam verstuurd' zou ook van pas komen.

Betreffend de toegang tot uw server: als u niet kunt inloggen met de ontvangen gegevens, zou ik u graag willen verzoeken om nog eens een reboot vanuit de manager te doen zodat nieuwe gegevens worden gestuurd. Indien het probleem blijft kunt u mij direct informeren zodat wij actie ondernemen.

Er was een proxy opgezet in uw server waarmee spam werd rondgestuurd, mogelijk heeft een derde zich toegang weten te verschaffen tot uw server. Die hack status is puur uit veiligheidsoverweging, u kunt in het vervolg een herinstallatie doen om weer alles in de lucht te krijgen.


Met vriendelijke groet,

Ik begrijp dat u bezorgt bent over het misbruik van OVH-servers voor het versturen van spam etc, maar de werkwijze vindt ik zeer teleurstellend.

Het is nu al 5 dagen geleden dat mijn server offline is gegaan, en ik heb tot nu toe nog op geen enkele manier toegang tot mijn server kunnen krijgen. Bij het uitvoeren van een reboot krijg ik geen gegevens toegestuurd, en de eerder toegestuurde gegevens werken niet.

Daarnaast ben ik totaal niet te spreken over de genomen maatregelen. Een vereiste herinstallatie van de server lijkt mij voor een dergelijk scenario als dit totaal overbodig; alles wat een vaardig systeembeheerder nodig heeft is SSH-toegang tot de server en goede informatie, en het probleem is binnen luttele uren verholpen.
Het compleet afsluiten van het systeem en het puur read-only toegankelijk maken via FTP is hoogst ongebruikelijk, maar erger is dat de herinstallatie een vereiste is: het is niet op een andere manier mogelijk om de server terug te halen.

Ook is er mij totaal geen nuttige informatie verstrekt over het probleem, hoe verwacht OVH dan dat ik dit probleem kan verhelpen of in de toekomst voorkomen? Veel beheerders van servers werken met images, om in geval van problemen een schone image terug te kunnen zetten op de schijf. Wat als het probleem zich in de image bevind? Zonder degelijke informatie is dit een onmogelijk probleem om te zoeken en verhelpen.

De 'veiligheidsoverweging' om de server in hack-status te plaatsen is voor mij ook bezorgelijk, aangezien er totaal geen informatie gegeven is op basis waarvan deze beslissing is genomen. Is dit een geautomatiseerd proces of is dit handmatig gebeurd? In beide gevallen blijft de vraag of deze overweging correct is: hoe kan een geautomatiseerd detectiesysteem danwel een extern persoon beoordelen wat de situatie van de server is, zonder informatie over wat hierachter zit?

Ik denk dat in bijna elk geval een waarschuwing dat "er mogelijk spam verstuurd wordt van uw server", plus gedetaileerde informatie hierover, beter op zijn plaats is dan een directe blok. In het ene geval had ik het probleem binnen 30 minuten verholpen, nu is mijn server al dagenlang onbruikbaar.

Zelfs in uw eigen email laat u al doorschemeren dat uzelf geeneens precies weet wat er aan de hand is: "mogelijk heeft een derde zich toegang weten te verschaffen tot uw server"... dus er is een beslissing genomen, terwijl nog geeneens vast stond wat er eigenlijk aan de hand was? Ik wil graag weten op welke basis deze beslissing dan is genomen.

Ik hoop spoedig van u te vernemen.

Met vriendelijke groet,

Zou ik svp reactie kunnen krijgen?

Met vriendelijke groet,

Beste klant,


Over de reden van de hack status is geen twijfel er werd gespamd vanuit de server en daar treden wij altijd tegen op, zie onderstaand de logs:

complaints of unsollicited email sents - proxy used for
spam

2009-11-29 15:39:13 UTC 94.23.51.50 OVH 174.36.40.35 25
2009-11-29 17:27:27 UTC 94.23.51.50 OVH 174.36.40.35 25
2009-11-29 17:35:17 UTC 94.23.51.50 OVH 174.36.40.35 25
2009-11-29 18:07:08 UTC 94.23.51.50 OVH 174.36.40.35 25
2009-11-29 18:10:37 UTC 94.23.51.50 OVH 174.36.40.35 25
2009-11-29 18:11:15 UTC 94.23.51.50 OVH 174.36.40.35 25
2009-11-29 18:11:50 UTC 94.23.51.50 OVH 174.36.40.35 25
2009-11-29 18:12:44 UTC 94.23.51.50 OVH 174.36.40.35 25
2009-11-29 18:13:26 UTC 94.23.51.50 OVH 174.36.40.35 25
2009-11-29 18:14:12 UTC 94.23.51.50 OVH 174.36.40.35 25
2009-11-29 18:14:50 UTC 94.23.51.50 OVH 174.36.40.35 25
2009-11-29 18:15:26 UTC 94.23.51.50 OVH 174.36.40.35 25
2009-11-29 18:16:09 UTC 94.23.51.50 OVH 174.36.40.35 25
2009-11-29 18:16:25 UTC 94.23.51.50 OVH 174.36.40.35 25
2009-11-29 18:16:47 UTC 94.23.51.50 OVH 174.36.40.35 25
2009-11-29 18:17:25 UTC 94.23.51.50 OVH 174.36.40.35 25
2009-11-29 18:18:13 UTC 94.23.51.50 OVH 174.36.40.35 25
2009-11-29 18:18:40 UTC 94.23.51.50 OVH 174.36.40.35 25
2009-11-29 18:22:25 UTC 94.23.51.50 OVH 174.36.40.35 25
2009-11-29 18:23:00 UTC 94.23.51.50 OVH 174.36.40.35 25
2009-11-29 18:23:36 UTC 94.23.51.50 OVH 174.36.40.35 25
2009-11-29 18:24:04 UTC 94.23.51.50 OVH 174.36.40.35 25
2009-11-29 18:24:25 UTC 94.23.51.50 OVH 174.36.40.35 25
2009-11-29 18:24:52 UTC 94.23.51.50 OVH 174.36.40.35 25
2009-11-29 18:26:09 UTC 94.23.51.50 OVH 174.36.40.35 25
2009-11-29 18:26:43 UTC 94.23.51.50 OVH 174.36.40.35 25
2009-11-29 18:27:02 UTC 94.23.51.50 OVH 174.36.40.35 25
2009-11-29 18:27:39 UTC 94.23.51.50 OVH 174.36.40.35 25
2009-11-29 18:28:04 UTC 94.23.51.50 OVH 174.36.40.35 25
2009-11-29 18:28:30 UTC 94.23.51.50 OVH 174.36.40.35 25




------- EINDE VAN DE GEGEVENS OVER DE AANVAL -------


Graag verneem ik van u.


Met vriendelijke groet,

Ik zou evengoed graag van u vernemen wat er nu gaat gebeuren.

Meer dan 3 weken geleden werdt mijn server in 'hackstatus' gebracht, en tot nu toe heb ik nog steeds geen gedegen informatie over wat OVH hieraan gaat doen. De logs die u mij hier stuurt zijn totaal nutteloos, en ik vraag mij af wat uw doel is dit aan mij toe te sturen.

Tot nu toe is mijn server al drie weken onbereikbaar geweest, en ik heb zelf geen enkele mogelijkheid van OVH gekregen om hier iets aan te kunnen doen. E-mails die ik stuur blijven wekenlang onbeantwoord, en uit de antwoorden die ik krijg lijkt dat mijn emails totaal niet gelezen worden, aangezien er wordt ingegaan op zaken die totaal niet relevant zijn. Ik heb hier geen woorden voor.

Met vriendelijke groet,

Vriend van mij heeft zijn server nu al weken in safe mode staan (door OVH gedaan), zonder duidelijke reden, en de support @telefoon helpt ook niet echt mee...

Ongeloooooflijk!!!!!!!!!!!!!!!!!!!!!!


In het nederlands !!!!!!