bom dia amigos! agora cedo recebi o seguinte email da ovh
Olá,

Uma atividade anormal foi detetada no seu servidor VPS.

O seu servidor representava uma ameaça para a infraestrutura e foi necessário colocar o mesmo no modo 'rescue FTP'. Este modo permite-lhe aceder em modo de leitura aos dados contidos no seu servidor VPS. Um email com informações sobre o modo 'rescue FTP' foi-lhe enviado.

As funcionalidades associadas ao seu servidor VPS através do Manager/API foram voluntariamente desativadas. As únicas ações possíveis são:

- A reinstalação da sua VPS.

Não hesite em contactar o serviço de aconselhamento técnico a fim de evitar que esta situação se torne crítica.

Poderá encontrar aqui os logs que conduziram à criação deste alerta:

- INICIO DAS INFORMAÇÕES COMPLEMENTARES-

 

onde me mostrava um ataque 

Attack detail : 89Kpps/32Mbps

agora não consigo acessar meu vps de forma nenhuma, alguem já passou por esse problema e sabe como resolver? não tem opção de reativar a vps pelo jeito e no email me diz que a unica função disponível é a reinstalação, o que seria um pouco inviável.

Recomendo entrar em contato com o suporte da OVH para que te orientem melhor. 

Bom dia,

Estão falando que sua máquina estava atacando terceiros, como foi dito acima, entre em contato com a equipe da OvH.

12 minutos atrás, JOSUEL ALVES disse:

Bom dia,

Estão falando que sua máquina estava atacando terceiros, como foi dito acima, entre em contato com a equipe da OvH.

tem certeza amigo? mas eu não fiz nada pra atacar ninguém, eu não postei o email inteiro por causa dos ip, vou colocar uma parte aqui

dateTime srcIp:srcPort dstIp:dstPort protocol flags packets bytes reason
2018.04.07 13:22:31 CEST MEUP:4350 111.231.132.129:51159 TCP SYN 2048 98304 ATTACK:TCP_SYN

Formatei o servidor e reinstalei tudo, realmente era um tráfego de saída, agora não sei como isso aconteceu, sendo q tenho apenas 1 site nesse servidor, e apenas eu tenho acesso. E como não tive acesso aos arquivos do servidor não sei de onde saiu. Existe alguma configuração q eu possa fazer pra evitar q aconteça novamente?

Enviado de meu Redmi Note 3 usando Tapatalk

Utilize chaves SSH, troque a porta do SSH, verifique os arquivos de seu site, etc.

Sent from my SM-G930F using Tapatalk

5 horas atrás, leoreis disse:

tem certeza amigo? mas eu não fiz nada pra atacar ninguém, eu não postei o email inteiro por causa dos ip, vou colocar uma parte aqui

dateTime srcIp:srcPort dstIp:dstPort protocol flags packets bytes reason
2018.04.07 13:22:31 CEST MEUP:4350 111.231.132.129:51159 TCP SYN 2048 98304 ATTACK:TCP_SYN

Boa tarde!

Como você viu, é ataques de saída, vírus ou arquivos cujo você usa que estava com caminhos maliciosos.

Utilize chaves SSH, troque a porta do SSH, verifique os arquivos de seu site, etc.

Sent from my SM-G930F using Tapatalk

Eu sempre tive a porta do ssh alterada, o site é novo e não tem nenhum script nulled.

Enviado de meu Redmi Note 3 usando Tapatalk

Boa tarde!
Como você viu, é ataques de saída, vírus ou arquivos cujo você usa que estava com caminhos maliciosos.

Muito estranho porque não tenho nenhum script nulled, é um sistema com whmcs, todos módulos original, apenas uns 2 q eu peguei na Internet, mas é de código aberto e eu analisei antes. Então não foi algo no site.

Enviado de meu Redmi Note 3 usando Tapatalk

Se não foi isso, a única explicação é que o equipamento utilizado seja para enviar via ftp ou conectar ssh está infectado.

Hoje em dia é muito fácil se tornar um retransmissor de malware, seja por download de programas, jogos, musicas filmes e muito mais.

Se não foi isso, a única explicação é que o equipamento utilizado seja para enviar via ftp ou conectar ssh está infectado.
Hoje em dia é muito fácil se tornar um retransmissor de malware, seja por download de programas, jogos, musicas filmes e muito mais.

Pensei isso. Mas se foi o problema vai ser bem maior pq tenho outros servidores.

Enviado de meu Redmi Note 3 usando Tapatalk