120 instances créées à mon insu

ee1dd688957c086718f0 2023-02-27 08:05:42 UTC #1

Bonjour,
J’utilise le public cloud pour faire des sauvegardes à froid de mes données, en général ça me coute 1€ par mois.
Cette nuit j’ai reçu des alertes de consommations, d’abord 9€, puis 80, 120, 140€, en 12h j’en suis à 180€

120 instances ont été créées en allant sur mon compte.

Je ne pense pas avoir été hacké, je n’ai reçu aucune notification de connexion à mon compte.
Donc première question comment cela est il possible ?

Aucune confirmation de commande, rien.
J’ai changé mon mot de passe par sécurité.
J’ai créé un ticket qui j’espère sera traité rapidement.

Deuxième question, est ce que le droit de rétractation s’applique , sachant que je n’ai aucune commande.

Je suis sur mobile, pas de pc sous la main avant demain, la gestion de l’interface est catastrophique, est ce que je peux avoir des détails sur les heures de création des instances etc

Merci.

TTY 2023-02-27 10:23:09 UTC #2

Bonjour,
Je n'ai pas de réponse utile mais je suis intéressé par la réponse qui vous sera apportée.

Jalinn 2023-02-27 10:29:12 UTC #3

Hello.

J'ai déjà eu le cas sur mon compte perso...
Je m'en suis rendu compte quelques heures a peine aprés le spawn des VM, donc impact très limité.

En fait, c'est pas le compte OVH qui a été hack, mais une de mes VM sur laquel j'ai laissé trainé un fichier openrc (avec un mdp en clair dedans bien évidement, c'est par rigolo sinon).
Le hackeur à simplement pris les infos et s'en ai servis pour boot des machines sur mon projet via un terraform ou equivalent.

solution :
- reinit de tout mes cred openstack
- reinstall de la VM hacké
- reinit de mes mdp OVH par sécurité

Pour la partie billing, a voir avec OVH, mais vu que c'est votre OS et votre propre user Openstack qui c'est fait hack, je pense que c'est mort de chez mort :/

Oui, les hacker sont de plus en plus malin !

Jalinn

TTY 2023-02-27 13:05:28 UTC #4

Merci pour le partage @Jalinn,
Très intéressant de voir qu'un hack peut entraîner des surcoûts majeurs sur le cloud...

Jalinn 2023-02-27 13:11:39 UTC #5

Oui, je te le confirme.

Ce qui m'a le plus surpris, c'est la capacité d'analyse de l’information de la part des hacker !
Le fichier openrc n'était pas spécialement caché, mais pas non plus mise en évidence.
Les mecs sont parvenus à choper le fichier, comprendre qu'il s'agissait de cred Openstack et les utiliser pour eux !
J'avoue avoir été auto blasé qu'impressionné !!

bref, pour faire simple, on ne m'y reprendras plus comme ça xD

ee1dd688957c086718f0 2023-02-27 13:29:11 UTC #6

Bon alors c’est très drôle, OVH répond plus vite sur mon avis négatif TristPilot que sur le ticket. Le ticket est passé en cours en même temps, soi disant ils relancent.

J’ai déposé une pre plainte samedi comme ils suggèrent de le faire.

Fichier openRC, je ne vois pas comment. Effectivement je fais du cold storage avec duplicity, mais les Id don’t stockés chez moi en local je ne vois pas comment quelqu’un peut rentrer, je n’ai qu’un port d’ouvert sur mon pfsense, c’est pour le vpn et il n’est même pas sur le 1194.

TTY 2023-02-27 13:31:23 UTC #7

Tiens nous au courant s'il te plaît.

Jalinn 2023-02-27 13:45:44 UTC #8

Du coup, les possibilités sont :
- soit le pirate a eu accès au compte OVH et a créé son propre user Openstack => voir dans le manager si les users sont legit ou non. delete les users inutilisé
- soit le pirate a eu accès a la conf duplicity : pour fonctionner, a un moment, il y a bien fallut mettre les informations de connexion : user, mdp, region... a partir de là, les mecs connaissent Openstack et peuvent facilement recontruire un fichier openrc.

Dans tout les cas, pas de doute : il y a eu une intrusion dans votre système. Le mieux reste de couper la pate a tout les accès et tout sécuriser.

J'avoue être un peu dubitatif là par contre... pourquoi les descendre sur Truspilot ?? en quoi OVH est responsable ici ??? Si vous vous faites voler ou dégrader votre voiture durant la nuit, vous n'allez pas mettre un avis négatif auprès de votre concessionnaire ?
Ici, c'est juste une faille dans VOTRE sécurité qui a été exploitée.... et je peut le dire encore plus facilement que j'en ai moi même été victime !

TTY 2023-02-27 15:12:04 UTC #9

Ce n'est pas le cas ici, mais une grande partie des avis OVH négatifs concernent des problèmes d'utilisation.
On survend à des débutants des prestations qui demande un certain niveau de connaissance.
Non, tout ne se fait pas en 2 clics.

ee1dd688957c086718f0 2023-02-27 16:37:59 UTC #10

En gros j’ai écris sur trustpilot car j’ai vu sur les autres commentaires qu’ils étaient très réactifs. Cela n’empêche pas de revoir mon avis sur la suite des événements mais je mets négatif dans le sens où
- il n’y a pas de protection dans la création de 120vms par script, aucune alerte rien. Il n’est pas normal que la création d’une VM ne fasse pas l’objet d’une commande ou demande de confirmation (à mon sens)
- Ensuite sur le niveau de support n’est pas satisfaisant, bien sûr il est gratuit dans mon cas, mais dans ce genre d’urgence il faudrait au moins un contact.

Je suis beaucoup plus satisfait de G….I où j’ai d’autres hébergements et je les trouve bien plus réactifs et les choses sont mieux faites(avec moins de bugs sur l’interface, surtout que là l’interface en mobile tu l’oublies, mais samedi je n’avais pas de Pc et c’est là où j’ai tout découvert, manque de chance.)

Après je rejoins l’autre commentaire ce n’est pas un fournisseur prévu pour ceux qui n’ont pas de notions et veulent juste un site, et 80% des avis négatifs doivent en être. Mais quand même, c’est mon hébergeur historique (2008), et à l’époque on avait un support quasi immédiat, des gens formés qui répondent aux tickets sans te répondre avec uniquement un lien vers le guide , bref c’est mon avis.

Sinon

Le hack par login n’est pas possible (2FA)
Le hack par openRC j’ai beau réfléchir mais je ne vois pas comment, il n’est stocké nul part. La conf duplicity est en local chez moi, où il n’y a pas d’accès extérieur (sauf un port VPN avec numéro aléatoire, j’ai regardé tous les logs de conn, rien)

Pas de nouveau users créés.

janus57 2023-02-27 18:34:24 UTC #11

Bonjour,

C'est le principe d'un public cloud : spawn une instance sans passer par la phase devis pour gagner du temps au max

ça c'était avant que le support soit sous l'eau à cause des demandes à la c*n qui ne relève pas du support et l'encombre pour "rien" (il n'y a qu'a voir ce forum pour s'en rendre compte).

Cordialement, janus57

Jalinn 2023-02-27 20:51:10 UTC #12

Je comprends votre avis et le respecte.

Pour moi, le hack ne fait aucun doute. Vous avez eu un trou dans la raquette a un moment où un autre.
Ils suffit d'une petite faille dans un de vos protocole pour qu'ils ai eu accès aux infos de votre duplicity par exemple. Un pc local avec des info résiduel ? Un fichier de conf traînant sur un laptop vérolé ?
Ils sont assez fin pour effacer leurs traces.
Dans mon propre cas, avant de tout réinstaller, j'ai check les logs : tout avait été supprimé ! Pas de trace... Pourtant, serveur clairement compromis.

Faites du nettoyage dans tous les cas car vous aurez de nouveau la.surprise.

Concernant l'alerte, il faut mettre en place celle lié à la consommation. C'est le moyen le plus "simple" depuis le manager. Après, c'est des solutions home made a base de script, mais là, c'est une autre histoire.

Concernant le support, je ne peux qu'acquiescer...
Les temps de prise en charge son parfois assez long oui 😕

Je trouve juste dommage de devoir passer par des plateformes externe pour faire entendre sa demande...

Bref.

Pour résumer : faîte du grand nettoyage et réinitialiser tout vos mots de passe !!!!

TTY 2023-02-28 14:16:37 UTC #13

Gandi vient de se faire rachetr par Total Webhosting Solutions (TWS) qui ont une triste réputation dans leur histoire de rachat... (augmentation de tarif et diminution du support). Qui vivre verra :)

Exactement ! Mais OVH n'est-il pas un peu coupable de cette situation ?

Moi je trouve ça inacceptable.
Je ne souhaite pas être sur Twiter ou autres réseaux sociaux et ils ont une outil vraiment bien avec ce "forum".

Propulsé par Discourse, le rendu est meilleur avec le JavaScript activé

OVHcloud Community

Bienvenue sur votre espace communautaire. Posez des questions, recherchez des informations, publiez du contenu et interagissez avec d’autres membres d'OVHcloud Community.