Какие есть варианты root login на /dev/tty1?

теоретически конечно можно отправить сообщение на /dev/tty*, но насколько я помню для этого надо быть или рутом или владельцем/группой этого самого tty

/dev/tty1 доступен в т.ч. как файл. Может и есть варианты. Или дырки в login

На /dev/tty1 действительно можно зайти только со стороны гипервизора, или я тупой?

Штатно, не имея прав рута - да, только из гипервайзора. Но если рут получен или где-то есть уязвимости - возможно что угодно.

Но если рут получен — тогда зачем :-)

тогда зачем

Получить шелл. Рут может быть получен эксплоитом вне какого-либо шелла.

Окай. Ну то есть хостер может быть прав и ломали не через него.

сотрудник хостинга охренел на столько, что подключился к VNC, применил init=/bin/bash

Во избежание таких ситуаций, стоит шифровать root-раздел. Это сводит к минимуму вероятность того, что один из работников хостинга впаяет зловред. Не исключает полностью, всё же boot-раздел остаётся доступен для впаивания, но сильно снижает вероятность.

В эту консоль можно попасть через веб-панель управления хостера, там VNC-клиент в браузере

можно развить мысль о дыре в веб-панели/внц-клиенте…

Ах, да.

сотрудник хостинга охренел на столько, что подключился к VNC, применил init=/bin/bash

А есть в логах выключение / включение системы? init=/bin/bash «на живую» не применишь.

Ну и сотрудники хостинга уж точно последние кандидаты на подсовывание скучного зловреда.

стоит шифровать root-раздел

чтобы, примерно, что?

Виртуалка работает, раздел расшифрован, доступ к гипервизору, а, следовательно, и ко всей оперативке, есть.

Чем в этой ситуации помогает шифрование гостевой машины (ну, кроме как потешить паранойю владельца)?

чтобы, примерно, что?

Я и не говорю, что это защищает от физических (или, условно физических) атак на работающую систему. Но вот проведение атак на не загруженную систему, изрядно затрудняет. Атакующий уже не сможет просто так взять, и впаять зловред в root-раздел, или завести аккаунт выполнив условный init=/usr/bin/bash при загрузке. Ему придется или впаивать зловред в файлы лежащие на /boot, или взламывать уже загруженную VM, копаясь в её оперативной памяти. Последнее требует от атакующего больше усилий, и заметно большего уровня экспертизы.

Кроме того, это защищает от сценария кражи чувствительной инфы, в случае ненадлежащей утилизации накопителей дц.

Но вот проведение атак на не загруженную систему, изрядно затрудняет.

арендовать впску, чтобы держать её выключенной? ммм…. мечта! :)

арендовать впску, чтобы держать её выключенной? ммм…. мечта! :)

Я не совсем точно выразился. Шифрование предотвращает атаки нацеленные на прямой, непосредственный доступ к содержимому root-раздела. Доступ становится возможен посредством взлома VM, или кражи ключей из оперативной памяти. Но вот тупо подмонтировать раздел, и получить к содержимому доступ уже не выйдет, даже когда VM включена. Атакующему придётся идти сложным путём.

Да, и пароль на граб неплохо бы. Но это надо было делать клиентом до того, а меня позвали как самого умного, только сейчас :-)

«Нет, нашу инфраструктуру не взламывали.». ©

А есть в логах выключение / включение системы?

Да.

В эту консоль можно попасть через веб-панель управления хостера, там VNC-клиент в браузере. В веб-панели есть журнал входов и журнал подключений, за 11-е число оба чистые.

Прямое подключение внц работает? Может оно только факты логина через веб регистрирует?

сотрудник хостинга охренел на столько, что подключился к VNC

Просто запустил скрипт, чтобы всем майнера подкинуть.

Тогда воздействие на виртуалку со стороны инфраструктуры хостера вполне вероятно, и выглядит как более простое объяснение, чем какой-то хитрый взлом самой виртуалки.

Прямое подключение внц работает? Может оно только факты логина через веб регистрирует?

Оно логирует и подключение по VNC.

Просто запустил скрипт, чтобы всем майнера подкинуть.

Сотруднику хостера реально нет смысла подсовывать брутфорсера. А майнера он не подкинул.

Ещё есть вариант что взломали совсем по-другому, а эти логи фейковые чтоб запутать расследование. Хотя зачем такое делать ради бота-брутфорсера не знаю. Может на той системе что-то важное и брутфорсер тоже для отвлечения внимания?

А где таймстампы обоих событий?

Проверь что у всех демонов в логах на это время было выключение, что оно сходится по времени с теми ssh-логинами итд.

Если юзера действительно создали во время отключения то очевидно это делалось не через дыру в системе а таки через VNC, и почему логов VNC не осталось - вопрос. Может подключились сильно заранее и держали открытую сессию месяц (старые логи есть? айпи можно проверить). Может логи VNC потёрли (а баша и ssh не потёрли, да), тот самый коррумпированный сотрудник.

В логах пишется причина выключения? Если выключали через vnc, наверное, это Power key pressed и тогда можно будет ещё задать вопросы сотрудникам техподдержки. Типа «если VNC-логи чистые, то кто и как выключал?»

init=/bin/bash, завёл пользователя

Но, если он наследил .bash_history, то где там команды создания пользователя? И что по временам изменения/создания (birth) файлов passwd, shadow, /.bash_history. ИМХО, нужно в одном месте собрать все временные метки, когда машина была включена, когда нормально загружена, какие файлы в промежуке между этими событиями менялись/создавались.

Вобще, странно, отключение sshd-входа по паролю, вроде как, типовой приём, если уж перегружаешь машину, то можно было сразу и sshd_config поправить.

А первая попытка зайти по sshd под пользователем http была ранее 00:54:43? А то по этим данным как-то странно получается, сначала ROOT LOGIN, потом неудачная попытка зайти под http и через 15 с перезапуск sshd. 15 секунд, ИМХО, как-то супербыстро, чтобы понять, что нужно редактировать конфиг, найти там нужную строчку...