Bonjour,
Je gère plusieurs serveurs, à moi, ou a mes clients.
Il y a 2 jours, sur le site d'un de mes clients, un internaute à fait un faux rapport d'abuse.
Signalement de phishing... J'ai bien évidemment tout vérifié, RAS.
Le site en question est un marché à fort concurrence et je suspecte un internaute peu scrupuleux ayant fait le rapport.
Nous avons eu des mails, que mon client m'a transféré.. mais le lendemain (hier donc), OVH m'a coupé le serveur en stipulant qu'il avait été hacké.
Mode rescue et tout le bazar. Je check, je ne vois rien de suspect. Je reboot le serveur, je recheck de fond en comble, toujours rien de suspect.
J'ai modifié le monitoring dans le manager, en laissant "activé mais sans intervention".
Après échange avec OVH et recherche notamment ici, je vois que dans le cas ou je serais "victime" d'un autre signalement abuse, OVH me coupe le serveur et m'obligera à le réinstaller.
Ainsi, je me pose plusieurs questions :
- si j'ai désactivé les interventions dans le monitoring, OVH me coupera-t-il le serveur si le cas se reproduit ?
- pourquoi OVH n'exécute pas de vraies vérifications avant de couper un service ?
Au-delà du temps perdu, je trouve la pratique quelque peu déroutante. Sur un de mes serveurs j'ai une 30aines de sites.. et si demain, quelqu'un a envie de "m'emmerder".. il peut le faire en 3 clics...
Merci
Serveurs dédiés - Abuse et "hack" du serveur
Related questions
- Proxmox VM accès internet impossible
48737 
19.11.2016 12:11
- Spam et IP bloquée
46088 12.12.2016 11:53
- Mise en place de VM avec IP publique sur Proxmox 6 [RESOLU]
44610 30.04.2020 17:12
- SSD NVMe Soft Raid ou SSD SATA Hard Raid
44373 29.06.2021 23:29
- il y a quelqu'un ?
44003 15.12.2025 17:01
- Port 25 bloqué pour spam à répétition
42191 28.02.2018 13:39
- Mise à jour PHP sur Release 3 ovh
41095 11.03.2017 17:43
- Partition sur le disque de l'OS ESXI
39464 09.05.2017 14:33
- Connection smtp qui ne marche plus : connect error 10060
39463 12.04.2019 10:10
- Identification carte réseau
39140 05.12.2025 10:09
Bonjour,
Oui cela n'influence pas les interventions en cas d'abuse.
Par contre OVH ne coupe pas si le client répond comment il a corriger le problème d'abuse.
Du coup après vos vérifications est-ce que votre client a bien répondu au service abuse de OVH.
Cordialement, janus57
Si vous êtes réglo, que vous répondez bien au service abuse, avec toutes les vérifications que vous avez fait, vous ne devriez pas avoir de problème.
J'ai pris un faux positif aussi il y a quelques mois, j'ai passé plusieurs heures à fouiller le serveur dans tous les sens... En rescue, puis en prod avec parefeu qui ferme tout en entrée/sortie et services down, puis j'ai tt réouvert...
J'ai fait un mail détaillé de toutes les vérifications que j'ai pu faire au service abuse, et j'ai ouvert un ticket avec toutes les infos également...
On m'a répondu "ok, probablement un faux positif, dsl"... Mais au moins dans l'historique du serveur OVH voit que vous avez fait les checks nécessaire... Et que vous savez gérer un serveur...
Merci pour votre réponse.
Il m'a transféré les mails, et j'ai répondu dans l'heure.
Avec mon email.. pas celui du client (j'imagine que ça joue).
Aucune réponse.
Je comprends la politique sécuritaire.. mais un petit check automatique ne me semble pas délirant...
D'autant plus que on utilise pas de CMS...
Merci @Sich
Bien sur que je suis réglo.. mais dans ce cas de figure très précis, si mon client ne lis pas le mail (par exemple) en moins de 24h j'ai plus de site.
A l'approche de l'été, ça interroge quand même ?
c'est le problème de tous les gros hébergeurs qui font bcp de volumes...
Le "rapport Humain" on oublie, on est des n°...
On n'est pas à l'abri de décisions complètement stupides qui ne font aucun sens quand on y réfléchit... Mais dans la masse tt est automatisé, et tant pis pour les dégâts collatéraux...
Encore une fois, je peux comprendre la politique d'OVH...
Mais j'ai du mal à croire qu'ils ne peuvent pas faire un tool qui scanne la page visée par un abuse.
En gros, on peut down un site en 3 clics grâce à des outils fournis par OVH.
C'est absolument génial 🥰
Bonjour,
Sauf que OVH n'a sûrement pas les ressources humaines pour vérifier manuellement chaque abuse par contre OVH a une obligation d'intervention en cas de non réponse du client.
Cordialement, janus57
J'ai un peu de mal à croire à ton histoire
Normalement, tu as des logs dans l'abuse, la source, le trafic concerné.
C'est un système qui existe chez tous les opérateurs et plutot bien ficelé car ovh ne peut pas se permettre d'avoir des services qui nuisent à sa réputation.
Si quelqu'un s'est pleins d'un trafic frauduleux provenant de tes serveurs, c'est qu'au minimum il y a du trafic qui va vers cette personne, et qu'OVH est en capacité de te donner l'info.
De plus meme en mode rescue, tu dois pouvoir activer tes services web, rien n'est complètement figé, il faut savoir ruser un peu.
Ce qui te permet au delà d'une analyse des sites, de voir s'il y a vraiment du trafic frauduleux.
Un tcpdump déjà va te permettre de voir ce que tu n'as peut-etre pas vu.
En tout cas, pour avoir eu pas mal d'abuse, en tant qu'hébergeur on y passe forcément, jamais je n'ai vu ou ne connait quelqu'un qui a été coupé sans raison.
Souvent d'ailleurs il coupe le port puis le serveur si tu ne fais rien.
D'ailleurs, le propriétaire des ip a du recevoir la notification abuse en amont, qu'est ce qu'elle dit exactement ?
Tu es sans doute de bonne fois, mais il y a si peu d'information dans ce que tu indiques, qu'il est difficile de faire une analyse correcte et poussé, si ce n'est voir un cout de gueule sans même savoir si c'est justifié ou pas ....
En ces temps obscure, j'éviterai d'utiliser les méthodes des extrêmes ....
Loin de moi d'utiliser des méthodes extrêmes...
Mais que tu veuilles me croire ou non, c'est bel et bien le cas.
Par contre, le mail dit :
> Il a été porté à notre connaissance que vous hébergez une page de phishing (aussi appelé "hameçonnage"), sur votre service XXXX
S'ensuivent quelques conseils relatifs aux CMS (sans grand intérêt dans mon cas puisque je n'en utilise pas). Encore une fois, il n'y a pas eu de réponse à ce mail de la part de mon client. Une réponse de ma part, mais via mon adresse email.
J'ai zéro log de l'abuse. Une URL rendu non cliquable... (https transformé en hxxpx et des expaces et [] rajouté partout) dans l'email et c'est tout.
Sur le tchat hier, un certain Samuel me dit que c'est bien lié au abuse, mais qu'il n'a pas d'info supplémentaire puisque c'est un service a part.
Je comprends tout à fait la logique OVH... mais je trouve ça ultra drastique comme méthode (un peu extrème justement).
Les logs de trafic ? Bah comme un site web.. Rien d'anormal, trois sites hébergés sur le serveur mentionné. On ne parle pas de trafic frauduleux, mais plutôt de soit disant page de phishing.
Comment je crois que c'est un rageux ? Ca fait suite à une newsletter envoyée, qui contient des liens utm (donc tracké pour Analytics) et c'est ce lien qui se retrouve dans le "abuse")
Ca fait plus de 15 ans que je suis chez OVH, j'ai toujours loué leurs services auprès de mes clients...
Un coup de gueule ? Non, pas vraiment non plus. Plus une stupéfaction à vrai dire.
J'ai eu les réponses à mes questions :
- si on répond, normalement ça n'arrive pas
- désactiver les interventions proactives ne sert à rien dans ce cas de figure.
Encore une fois, je comprends la politique d'OVH, mais ça me semble un peu extrême (et comme dirait @JeanR les extrêmes, c'est pas bien!)
Les ressources humaines, ok..
Un dev interne qui analyse la page ne me semble pas délirant...
Dans ce cas de figure, la page de "phishing" est une catégorie de produit d'un site e-commerce.
D'après le whois de mon plus vieux ndd... Je suis client depuis novembre 2008.
Et il a jamais bougé de chez OVH. 😁
Bonjour,
Pour moi vitre problème est ici car c'est au propriétaire du service de répondre.
Techniquement cela peut être une page de phishing.
Cordialement, janus57