OVHcloud Bare Metal Cloud Status

Current status
Legend
  • Operational
  • Degraded performance
  • Partial Outage
  • Major Outage
  • Under maintenance
Vague de hack / backdoor injection
Incident Report for Bare Metal Cloud
Resolved
Nous venons de suspendre une centaines de machines infecté par un backdoor et dont la release n'était pas à jour.

La faille utilisé semble venir de proftpd qu OVH avait déjà patché en novembre 2011 lors de l'annonce de la faille.

Si vous utilisez ce logiciel sur votre serveur dédié vous devez immédiatement vérifier que vous disposez bien de la dernière version: 1.3.4a
Si vous avez une release 2 OVH vous pouvez effectuer le patch all: http://guide.ovh.com/ReleasePatchSecurite

En plus si votre serveur n'est pas une distribution de virtualisation, vérifiez qu'il est bien booté sur le dernier bzImage:
http://guide.ovh.com/KernelNetboot

Les backdoors localisé pour le moment dans le dossier /tmp:
dt , dtdss, barbut.osx.ppc, barbut1, barbut1.i386, barbut6

Nous avons pu constater que sur certaines serveurs un apache3 était visible dans le ps auxxxwwfffff .

Si votre serveur n'est pas infecté et que vous constatez des scan's en provenance de serveurs avec une IP OVH n'hésitez pas de créer un ticket incident en fournissant l'IP et des logs daté afin qu'on puisse intervenir.
Posted Jan 05, 2012 - 19:56 UTC
This incident affected: Dedicated Servers || Global Infrastructure (BHS, ERI, GRA, LIM, RBX, SBG, SGP, SYD, WAW).