LINUX.ORG.RU

взломали сервер?

 , , , ,


0

3

Больше 10 лет арендую Linux сервер в Нидерландах под сайты и свои сервисы. Никому пароли не давал, кроме саппорта Leaseweb. Сегодня, захожу в очередной раз по SSH и вижу в истории консоли ряд команд, которые я не выполнял:

certbot certonly -d msdn.ddnsgeek.com –manual –preferred -challenges http

ls -la /etc/letsencrypt/live/msdn.ddnsgeek.com-0002

rm -rf msdn.ddnsgeek.com.conf security-linux.webredirect.org.conf

service nginx restart

rm -rf /home/parser_test/

cd /home/dnsparser_test/public_html/.well-known/acme-challenge/

ls -la

rm *

ls -la

nano NrLzewrQypAhY7AMW2np9Z6bfNTmnwX5-AkGz1ss4_U

Вопрос, что это было? Вообще, у letsencrypt есть непонятные мне домены в renewal, которые не принадлежат мне, но думал может это служебные какие, а теперь уже сомневаюсь

azure-update.mywire.org.conf

msdn.ddnsgeek.com.conf

wsus-check.mywire.org.conf

Причем даты создания разные, февраль, апрель, октябрь… мой сервер по-тихой в ботнет вовлекли? Кроме смены пароля на root что еще сделать? В такой ситуации впервые за 15 лет…

Ответ на: комментарий от mky

еще бы понимать, как wtmp «расшифровать», вижу там левые IP адреса, но вот как понять через что заходили, а точнее откуда пароль…

ts/0root 52.231.33.167

ts/0root 5.249.150.57

ts/1root tmux(11378).%0

Остальное моя подсеть (SSH и FTPD)

InSane ()
Ответ на: комментарий от mky

Посмотрел в auth.log, попыток авторизоваться тонна, а вот с этих двух правильно подобрали пароль… либо БД Leaseweb ковырнули, либо подобрали (там сложный пароль был). Вопрос, эти следы что могут негативного нести? достаточно ли смены пароля рута и удаления этих записей или что-то еще искать?..

InSane ()

Раз запускали текстовый редактор, значит это был человек. Раз этим текстовым редактором был nano, значит хакер, который взломал твой сервер, был совсем зелёный ламер и возможно школьник. То что он не сбросил историю команд и логи ещё раз подтверждает его ламерство.

Но цель он свою наверняка выполнил, похоже что он использовал твой сервер с целью переподписывания HTTPS-сертификатов для каких-то своих подозрительных доменов, которые ты перечислил. А подозрительные они потому, что в них используются общепринятые и легкоузнаваемые имена и торговые марки.

azure-update – Azure, облачный сервис компании Microsoft.
msdn – MSDN, крупнейший портал разработчиков которые используют продукты Microsoft.
wsus-check – Сервер сервиса Windows Update.

От греха я бы переставил систему и переразвернул на ней сервисы, предварительно сделав их аудит.

EXL ★★★★★ ()
Ответ на: комментарий от EXL

А есть мануал что это и как сделать? А то я не линуксоид, я просто 100500 лет назад арендовал сервак, пару раз менял (на более мощный в ту же цену), и администрирую на уровне «РНР работает, МуСкул работает, НодеЖС работает, перекрестимся»…

InSane ()
Ответ на: комментарий от InSane

Мануалы для всего этого есть в интернете, например, у DigitalOcean неплохие мануалы по развёртыванию PHP, MySQL, NodeJS на разных дистрибутивах Linux. Но если лень копаться в этом массиве данных самому, можно нанять какого-нибудь специалиста, он поможет вам всё настроить как нужно.

К тому же, по той информации, которую вы предоставили, неизвествен вектор атаки. Возможно злоумышленник смог проникнуть к вам используя залитый shell через уязвимости в PHP или ваших PHP-скриптах. Проверьте все системные файлы каким-нибудь антивирусом вроде ClamAV, возможно он найдёт какие-нибудь скрытые майнеры или shell’ы.

Возможно через FTP, там тоже часто могут сломать пароль и залить shell, через который потом выполнять команды. Судя по всему, у злоумышленника доступ к root имеется тоже, раз он имеет возможность перезапускать Web-сервер.

EXL ★★★★★ ()
Ответ на: комментарий от InSane

Полно мануалов гуглится по поводу настройки ssh авторизации по ключу, допустим: https://firstvds.ru/technology/dobavit-ssh-klyuch

Суть, что генерится два файла, один копируется на сервер, другой вы используете на своём компе вместо пароля. Ну и запрещаете авторизацию по паролю. Хотя я как-то не верю, что сложный пароль можно подобрать. Я бы попытался выделить все ip адреса с которых были попытки авторизаии и посмотреть кол-во попыток с каждого адреса. Если с разных ip долбились много раз, а с этих двух ip-адресов зашли сразу, то это подозрительно.

И я не понял, «пароль» или «пароли»? То есть были заходы под разными логинами или только root'ом?

Ну ещё имеет смысл запрещать логин root'ом, сначала заход обычным пользователем, потом su/sudo. Тогда для подбора/перебора сначала нужно угодать логин. Особенно, если админов несколько, для каждго админа своего пользователя, чтобы как-то отличать когда кто заходил.

Ну, и если пароль утёк через поддержку, а вы снова им его предоставите, дак снова может утечь...

mky ★★★★★ ()
Ответ на: комментарий от EXL

Раз этим текстовым редактором был nano, значит хакер, который взломал твой сервер, был совсем зелёный ламер и возможно школьник.

Прекрасная аналитика. А если б он через емакс или вим файл правил, знач сразу не ламер. Но раз нано, который тебе не нравится, значит школьник.

Люблю лор.

anonymous ()
Ответ на: комментарий от anonymous

Его влёгкую могли подобрать За какое время можно подобрать через sshd хотя бы 8 символьный пароль?:) Давай посчитаем.

Давай. ТС говорил про то, что он сообщал какие-то пароли тех. поддержке. Кроме того, у ТС’а пароль этот мог быть словарным. А ещё он написал что таки да, подобрали:

Посмотрел в auth.log, попыток авторизоваться тонна, а вот с этих двух правильно подобрали пароль…

Был о тебе лучшего мнения.

Научись уже правильно цитировать.

EXL ★★★★★ ()
Ответ на: комментарий от anonymous

мальшик. энтропия пароля = (количество символов)* lg2 (вариантов символа). lg2 -логарифм по основанию 2.
для пароля, содержащего как верхний, так и нижний регистр символов, цифр и знаков препинания, будет иметь 10 + 26 + 26 + 32 = 94 варианта символа.
lg2 (94) = 6,55
твои 50 символов, которые хрен запомнишь и один фиг будешь где-то как-то хранить в какомнить файлике или в кr00tом кипасе, эквивалетны 327 битам.
что круче 256 битного ключа, которым давно никто не пользуется, но сильно слабее 4кб ключа.

фаил2бан бесполезен при распредленном простукивании твоего сервера, что при размерах современных ботнетов не проблемма.
крайний раз судя пол логам простукивались каждый раз с нового ip. и повторений не встречал (хотя и не скажу что отследил все…)

pfg ★★★★★ ()

Причем даты создания разные, февраль, апрель, октябрь… мой сервер по-тихой в ботнет вовлекли?

Не просто в ботнет, а ажно C&C видимо.

Кроме смены пароля на root что еще сделать?

Полный пересетап, без альтернатив.

slowpony ★★★ ()

В порядке очередности
1. Пересетап, по возможности с обновлениями бивисов и прошивкой IPMI / DRAC или что там используется для удаленного управления
2. Заказ сусурити аудита у кого-нибудь компетентного. Нет, не у техподдержки лизвеба.

slowpony ★★★ ()
Ответ на: комментарий от tm4ig

да без разницы что-куда гугель пишет, но вот давать знать гуглю о каждом моем входе на мой же сервер как-то глупо.
хотя согласен, может и не круто, и не современно, и не продвинуто….

а вот, к примеру, живя в каком-нить крыму, вдруг неожиданно понять, что доступ к твоему же серверу перекрыт из-за санкций американского правительства… мальчик шел бы ты с такими советами в …. дальше в тиктоке ролики для керативных дебилов смотреть.

pfg ★★★★★ ()
Ответ на: комментарий от tm4ig

океюшки. разбираем по буквам.

«стойкий пароль + google аутентификатор» понимаю так:

на каждый вход пишу «длинный стойкий пароль», который скорей всего не помню и храню где-то на компе. оттуда переношу копипастой (куча лишних движений, нудапофих).

плюс к паролю запускается модуль твоего гугло-аутенфикатора, который каким образом меня определяет.
единственный вариант на мой взгляд - связаться с серверами гуглуса и как-то через них проверить что «я» это именно «я».
вот эта связь и доверие к копрорации добра и есть большая глупость: как минимум гугло-серверы могут обрезать вход с неправильных ip-адресов ( прикладной пример - крым несколько лет назад)
а также собирать статистику: где (ip-адрес запроса) кто (кого идентифицировали) какой вход (имя/тип запрашивающего модуля) и хз что с ней делать.

либо чтото не так понял в твоей фразе «стойкий пароль + google аутентификатор» так что глаголь свою телегу, желательно развернуто и подробно.

pfg ★★★★★ ()
Последнее исправление: pfg (всего исправлений: 1)
Ответ на: комментарий от pfg

если умственные способности не позволяют тебе запомнить порядка 20 случайных символов или больше, но не случайных (например некая длинная фраза, известная только тебе), то в этом виноват явно не гугл

если ты даже не удосужился прочитать как работает google authenticator и его аналоги, то это тоже не вина гугла. Никакие гугл сервисы для проверки того, что ты это ты не нужны (для его работы вообще интернет не нужен), нужно только достаточно точное время на устройстве с одноразовыми кодами и на твоем серваке

tm4ig ()
Последнее исправление: tm4ig (всего исправлений: 5)
Ответ на: комментарий от tm4ig

мои умственные способности позволяют мне передать тяжелую с точки зрения мозга функцию «запоминание несвязанной меж собой информации» компутеру, для которого она легка и естественна.
и это будет гораздо эффективнее. к примеру тот же 4кб ключ RSA (устаревающий кстати и нерекомендуемый) будет аналогичен по сложности подбора полностью случаной последовательности из 610 символов из поля в 94 варианта (a-z,A-Z,0-9 и знаков препинания). при этом подстановка ключа будет работать быстро и эффективно, без всяких копипаст.
и для этого мне гугл не понадобится в принципе.

как неудосужился прочитать кучу других вариантов аппаратных ключей. их мульен и маленькая тележка было придумано, еще со времен rs-232 и LPT ключей. аппаратный lpt-ключ где-то до сих пор валяется. :)
самый главный минус внешних ключей - что он внешний и живет отдельной жизнью.

да и seed-ключ генерации одноразовых время-зависящих ключей надо где-то защищено хранить. в таком варианте мне больше понравился вариант внешнего ключа с маленькой клавиатуркой и дисплеем, с помощью которой вводишь код в ключ и получаешь ответный код.

pfg ★★★★★ ()
Ответ на: комментарий от Minona

В зависимости от поставленной цели, конечно, но обычно никто не будет пытаться перебирать все возможные комбинации логинов и паролей. Ты тем или иным способом узнаешь логин, а потом из базы слитых кредов с другого ресурса входишь с первой-второй попытки.

slowpony ★★★ ()
Ответ на: комментарий от tm4ig

а насколько ключ безопаснее, чем стойкий пароль + google аутентификатор?

Не знаю, я не безопасник. Но ключ меня ещё никогда не подводил. Да и куда удобнее именно ключом рулить.

EXL ★★★★★ ()
Последнее исправление: EXL (всего исправлений: 1)
Ответ на: комментарий от Minona

Я недавно брутфорсил юникс пароль из хеша. Скорость была 500 000 в секунду. Это на четырёх теслах. Это 43 бита за год. Брутфорсить через запущенный ssh просто невозможно, там скорость порядка 10 в секунду.

Legioner ★★★★★ ()
Последнее исправление: Legioner (всего исправлений: 1)