Пришел абуз от хетцнера

2

5

Кто-то стуканул на мой ип:

Greetings,

Valuehost abuse team like to inform you, that we have had mass bruteforce attempts to the Joomla / WordPress control panel on the our shared-hosting server v79.valuehost.ru [217.112.35.78] from your network, from IP address ---

During the last 30 minutes we recorded 1658 attempts like this:

[мой ип] karandashkino.ru - [08/Apr/2014:20:28:46 +0400] «POST /administrator/index.php HTTP/1.0» 500 1286 "-" "-"
[мой ип] karandashkino.ru - [08/Apr/2014:20:28:46 +0400] «POST /administrator/index.php HTTP/1.0» 500 1286 "-" "-"
[мой ип] karandashkino.ru - [08/Apr/2014:20:28:51 +0400] «POST /administrator/index.php HTTP/1.0» 500 1286 "-" "-"
[мой ип] karandashkino.ru - [08/Apr/2014:20:28:57 +0400] «POST /administrator/index.php HTTP/1.0» 500 1286 "-" "-"
[мой ип] karandashkino.ru - [08/Apr/2014:20:28:57 +0400] «POST /administrator/index.php HTTP/1.0» 500 1286 "-" "-"

И прочее бла бла бла.

Хетцнер предлагает в 24 часа отписаться о приняты действиях. Пока не банят.
Сам я этим не занимался.

Более того, мои сайт все статичные. У них тупо нет админки и исполняемой части.
Пароль рута от вебмина не палил вроде.
Софт не ставил.

Сходил в статистику трафика.
Нашел за вчера странный пик входящего.

Incoming 8.792 гб
Outgoing 3.948 гб

Что странно. Я ничего не аплоадил.
Та же хрень продолжалась до 10 утра сегодня.

Сейчас поменял рут пароль. И самозабанился после третьего фейла на входе.

В общем эта:
Чего бы проверить мне? И как?

Вариант «купить новый впс и перенеси файлы» - рабочий, но не элегантный.

Ссылка

←	-----BEGIN RSA PRIVATE KEY----- в прошивке от HP Integrated Lights-Out

Брутфорс WP-шки и зараженные CentOS?

→

← 1 2 3 →

Ответ на: комментарий от kernelpanic 09.04.14 23:49:32 MSK

Еще есть вариант «ставить вебмин только когда надо перенастраивать», а потом сносить его)

Кстати!
Вспомнил!
Фтп.
я его обычно держу выключенным.

Тогда я вообще хз откуда зараза пришла.

~~dk-~~ ☆
(09.04.14 23:51:42 MSK) автор топика

Ответ на: комментарий от dk- 09.04.14 23:51:42 MSK

ставить вебмин только когда надо перенастраивать

Когда освоишь нормальные инструменты, такие странные мысли тебя посещать перестанут.

Пароли где хранишь?

kernelpanic ★★★★★
(09.04.14 23:59:45 MSK)

Ответ на: комментарий от dk- 09.04.14 23:30:56 MSK

Вот даже сейчас. :)
А есть копии логов контрольном хосте, где их не подделаешь ? (Хотя, разумеется, инфицированный роутер более вероятен и антивирус его не покажет и ip сойдутся).
Да, я знаю, я до паранойи могу довести. Но как в анекдоте это не означает, что...

handbrake ★★★
(10.04.14 00:05:15 MSK)

Ссылка

Ответ на: комментарий от dk- 09.04.14 23:51:42 MSK

Да не было заразы - 99%.

handbrake ★★★
(10.04.14 00:06:54 MSK)

Ответ на: комментарий от handbrake 10.04.14 00:06:54 MSK

А где я облажался? Ну не сдают же мой ип в аренду.

~~dk-~~ ☆
(10.04.14 00:10:36 MSK) автор топика

Ссылка

Ответ на: комментарий от kernelpanic 09.04.14 23:59:45 MSK

Главный пасс в голове. Он на мыло. Там пассы от сервисов. Шняга типа вконтактика и твитера - сохранены в брауезере.

~~dk-~~ ☆
(10.04.14 00:11:52 MSK) автор топика

Ответ на: комментарий от dk- 10.04.14 00:11:52 MSK

Забей, не узнаешь. Этим заниматься надо - в этом и есть ошибка, у всех своя работа.
Посмотри что дальше будет. Твои цифры вполне укладываются средние флуктуации - у меня одним товарищам на полтора ляма по тарифу трафика за пол-дня дня влили. А тут - фигня.

handbrake ★★★
(10.04.14 00:19:14 MSK)

Ссылка

Ответ на: комментарий от dk- 09.04.14 23:07:50 MSK

Проверился дрвебом (их спец.утилитой) и касперским (аналогичная хрень)
Чистая система. Не перли мои пароли.

Мне про криптование даже лень рассказывать тебе, поэтому сваливаю из треда.

~~xtraeft~~ ★★☆☆
(10.04.14 00:41:57 MSK)

Ответ на: комментарий от xtraeft 10.04.14 00:41:57 MSK

Неуловимый джо такой неуловивый?) (я про троян)

~~dk-~~ ☆
(10.04.14 11:02:42 MSK) автор топика

Ссылка

Dear Mr Andrey Borisov,

As you could not solve the problem within the given time or the maximum number of tests, the ticket will be forwarded for manual testing to our technician who will coordinate how to proceed further.

If we received multiple complaints, the situation can be lead to a server blocking.

~~dk-~~ ☆
(10.04.14 11:33:21 MSK) автор топика

Ссылка

Ответ на: комментарий от xtraeft 10.04.14 00:41:57 MSK

А я мог от той хрени с ссл пострадать?

~~dk-~~ ☆
(12.04.14 14:59:00 MSK) автор топика

Ответ на: комментарий от dk- 12.04.14 14:59:00 MSK

Понятия не имею.

~~xtraeft~~ ★★☆☆
(12.04.14 16:16:41 MSK)

Ссылка

Ответ на: комментарий от dk- 12.04.14 14:59:00 MSK

маловероятно.
Проверьте tmp директории на наличие «странных» скриптов/бинарников, проверьте кронтабы пользователей (/var/spool/crontabs). Поставьте на будущее auditd и тот же fail2ban. Поработайте с iptables.

teamfighter ★
(14.04.14 17:44:35 MSK)