Tag zusammen,
ich weiß nicht ob ich lachen oder weinen soll. Ich habe eine Mail von
abuse@ovh.net bekommen. Darin steht mein Server macht böse dinge.
Natürlich hab ich mich sofort auf den Server eingeloggt um zu schauen was vorsich geht. Nunja gefunden hab ich nicht viel. Mir wurden gleich die beweise von
http://ift.tt/quxpnI.
http://zulu.zscaler.com und noch soner seite mitgeschickt. Junge Junge da steht dinge von Malware usw drin. Ich habe Angst. Aber halt irgendwas stimmt hier nicht.
Der Server ist seit 17.01.15 in meinen Besitz. Die Einträge von oben genannten Seiten stammen aber von Oktober 2014. Gut Antwort geschrieben an die Herren von
abuse@ovh.net, dass mir der Server zu dem Zeitpunkt als die ganze sache losing garnicht gehöhrte.
Natürlich
abuse@ovh.net Mitarbeiter ist ja nicht blöd und schaut sich die ganze sache nocheinmal gründlich an. Ich bekomm wieder ne Mail. Ja es ist korrekt bei dem einen war es im Oktober 2015 "aber" bei virustotal und zscaler. steht der 22.01.2015 und da waren sie schon besitzer.
So ich Poste zwischen durck mal die Eingriffs log:
28.02.15 08:50 OS Reinstall
27.02.15 20:58 Hack
27.02.15 20:58 Netboot Update
24.01.15 16:54 OS Reinstall
24.01.15 14:46 OS Reinstall
17.01.15 14:33 OS Reinstall
17.01.15 12:00 OS Reinstall
17.01.15 11:27 OS Reinstall
17.01.15 bestellt OS Reinstall danach an dem Tag noch 2x ein OS Reinstall. (Falsche Debian OS Falsche Partionion ein wenig rumgespielt. Die Entgültige Installation war dann aber erst am 24.01.15. Bis dahin ist eigentlich nur das OVH Image in der Rohfassung gelaufen.
abuse Mitarbeiter hat mir ja nun wieder geschrieben und gemeint, wie oben schon geschrieben, bei VirusTotal und zscaler steht als letzten Scan 22.01.2015. Das ist auch soweit korrekt. Nur sollte man sich die Auswertung mal genauer anschauen.
Bei zscaler wurde die IP, welche leider seit 17.01.2015 zu meinem Server verweißt, am 22.01.2015 nocheinmal überprüft. Ergebniss
HTTP Status Code: 401 Authorization Required
Content Size: 482 bytes
Content Type: text/html; charset=iso-8859-1
IP Address: 188.165.xxx.xxx
Country: France
Web Server: Apache/2.2.22 (Debian)
Problem weiter unten steht unter URL checks:
Zscaler Malicious URL Botnet Risk 80/100
Leider steht nirgends wann es das letzte mal bestätigt wurde. Meine Vermutung Irgendwann Oktober 2014. Diese seiten sind jetzt nicht die schnellsten eine IP wider auf green zu setzen. Das ist auch normal auch gut so, außer du mietest dir nen Server und bekommst eine verseuchte IP.
Bei VirusTotal ist gleiche. Da steht, dass das erste mal was im Oktober 2014 gefunden wurde. Unter Comments sieht man dann auch schön wie leute vor "
4 Monaten und 1 Woche" über Malware von dieser IP geschrieben haben.
Unser
abuse@ovh.net Mitarbeiter sieht natürlich nur wieder die letzte überprüfung welche am 22.01.2015 war. So wie ich das sehe Check VirusTotal die Antivir hersteller. Und hier haben sie Natürlich wieder die letzten Informationen bekommen. 45/55 hatten als ergebniss Malware Trojan oder sonst was. Es ist aber nicht ersichtlich wann diese wiederum den check durchgeführt haben. Das Datum sagt nur aus wann VirusTotal bei AVG. McAffee und co angefragt habe.
Fakt ist nun. Ich schlag mich mit so einer scheiße rum. Nur weil 1. OVH meint versuchte IP´s jedem wieder aufs auge drücken muss und 2. Ein
abuse@ovh.net Mitarbeiter nicht seinen Job machen kann.
Ich werd jetzt meinen Server auslaufen lassen und schauen ob ich noch bei OVH bleibe. Eine neue IP über den Support zu bekommen wird wohl mehr Zeit kosten als sich gleich nen andern Server zu holen.
Außerdem möchte ich noch demjenigen der diese IP als nächstes bekommt (es glaubt doch wohl keiner das OVH diese IP in Ihrem System sperrt) mein Beilad ausdrücken. Das gleiche gilt auch für alle danach.
Schönen Tag noch.