Возможна ли магия или мистика…?

0

2

Начну с того, что я ничего запрещённого не употребляю и всегда в трезвом уме.

В общем на домашней лабе для тестов с пихой развёрнута VM’ка с выходом в мир. Вчера вечером не смог зайти по доменному имени, но было уже поздно, думаю разберусь завтра и пошёл спать.

Сегодня подключаюсь по VNC и слегка опешил. У меня там отобразилась вот такая картина. Я взял платочек, снял очки, протёр их тщательно, надел и взглянул ещё раз. Картина была та же самая. Рестартую этого гостя с хоста и наблюдаю что происходит VNC. В меню граб единственный вариант загрузки — это TinyInstaller Windows и всё!

По клавише с попадаю в shell граба, командую ls вижу (hd0) (hd0,msdos3) (hd0,msdos2) (hd0,msdos1).

Да что за хрень?

Останавливаю рабочего гостя, добавляю в его конфиг диск из гостя с пихой.

virsh edit deb
<disk type='block' device='disk'>
    <driver name='qemu' type='raw' cache='none' io='native' discard='unmap'/>
    <source dev='/dev/mapper/vgdata-testphp--mirror'/>
    <target dev='vdb' bus='virtio'/>
    <address type='pci' domain='0x0000' bus='0x09' slot='0x00' function='0x0'/>
</disk>

virsh start deb

lsblk
NAME    MAJ:MIN RM   SIZE RO TYPE MOUNTPOINTS
sr0      11:0    1  1024M  0 rom  
vda     254:0    0     6G  0 disk 
├─vda1  254:1    0   487M  0 part /boot
└─vda2  254:2    0   5.5G  0 part 
  └─v-l 253:0    0   5.5G  0 lvm  /
vdb     254:16   0   300G  0 disk 
├─vdb1  254:17   0    49M  0 part 
├─vdb2  254:18   0   400M  0 part 
└─vdb3  254:19   0 299.6G  0 part

Отлично! Но я помню что у меня разметка там была lvm ибо уже год как ушёл на вольюм манагер. Командую

vgchange -ay
  1 logical volume(s) in volume group "v" now active

В смысле 1…?!?

Хорошо, смонтируем vdb3

mount /dev/vdb3 /mnt
ls -l /mnt
total 1441849
drwxrwxrwx 1 root root          0 Jun 21  2022 '$Recycle.Bin'
-rwxrwxrwx 1 root root          1 Jun 18  2013  BOOTNXT
-rwxrwxrwx 1 root root       9872 Jan 27  2024  bootsqm.dat
lrwxrwxrwx 2 root root         10 Aug 23  2013 'Documents and Settings' -> /mnt/Users
-rwxrwxrwx 1 root root 1476395008 Dec 21  2024  pagefile.sys
drwxrwxrwx 1 root root          0 Aug 23  2013  PerfLogs
drwxrwxrwx 1 root root       4096 Aug 23  2013  ProgramData
drwxrwxrwx 1 root root       4096 Aug 23  2013 'Program Files'
drwxrwxrwx 1 root root       4096 Aug 23  2013 'Program Files (x86)'
drwxrwxrwx 1 root root       4096 Jan 27  2024 'System Volume Information'
drwxrwxrwx 1 root root       4096 Jun 21  2022  Users
drwxrwxrwx 1 root root      24576 Oct 28 19:26  Windows

Йопа-мать!

Судя по дате, винда была поставлена 11 лет назад, но как…?!?

ls -l /mnt/Users/
total 21
drwxrwxrwx 1 root root 8192 Jun 21  2022  Administrator
lrwxrwxrwx 2 root root   16 Aug 23  2013 'All Users' -> /mnt/ProgramData
drwxrwxrwx 1 root root 8192 Mar 22  2014  Default
lrwxrwxrwx 2 root root   18 Aug 23  2013 'Default User' -> /mnt/Users/Default
-rwxrwxrwx 1 root root  174 Aug 23  2013  desktop.ini
drwxrwxrwx 1 root root 4096 Aug 23  2013  Public

Из юзеров только администратор. По дате он заведён летом 2022 года

Начнём с того, что дома с виндой я не работаю ВООБЩЕ!!! Никто подключиться к лабе не мог ибо подключение только у меня. Самой лабе год отроду. Как туда залетела винда из прошлого?

Как-бы этот гость был для говнокода и для тестов. Данные потерять не страшно.

P.S> У психиатра на учёте не состою, как вначале сказал ничего запрещённого не употребляю

Перемещено hobbit из general

←	webmin-Cron задание для выполнения PHP запроса на файл модуля

system backup через dd

→

← 1 2 →

ничего запрещённого не употребляю

А из разрешённого?

greenman ★★★★★
(20.12.24 12:44:44 MSK)

Ответ на: комментарий от greenman 20.12.24 12:44:44 MSK

А из разрешённого?

Чай с лимончиком. Здоровье уже не позволяет алкоголь употреблять

Shprot ★★
(20.12.24 12:46:08 MSK) автор топика

Возможно вам пригодится: Отчитка (экзорцизм).

ugoday ★★★★★
(20.12.24 12:53:21 MSK)

короче пока ты спал, тебе мсдос поставили, и чета химичат там.

это лоровцы, за ними глаз да глаз нужон.

alysnix ★★★
(20.12.24 12:53:51 MSK)

Ответ на: комментарий от Shprot 20.12.24 12:46:08 MSK

Сколько годков-то, что здоровье уже не позволяет?

Ololo_Trololo ★
(20.12.24 12:56:13 MSK)

Ответ на: комментарий от Ololo_Trololo 20.12.24 12:56:13 MSK

Сколько годков-то, что здоровье уже не позволяет?

Дело не в возрасте, а конкретно в непереносимости алкоголя. А так я 1984-го от рождества Христова. В этом году юбилей был

Shprot ★★
(20.12.24 12:59:40 MSK) автор топика

Судя по дате, винда была поставлена 11 лет назад

Это не винда поставлена 11 лет назад, это винда 11 летней давности. Восьмёрка, поди?

Aceler ★★★★★
(20.12.24 13:02:08 MSK)

Ответ на: комментарий от alysnix 20.12.24 12:53:51 MSK

за ними глаз да глаз нужон.

В глаз да в глаз*

u5er ★★
(20.12.24 13:05:17 MSK)

Ответ на: комментарий от Aceler 20.12.24 13:02:08 MSK

Возможно, что на момент создания этих файлов системное время было выставлено неверно, так что не факт.

u5er ★★
(20.12.24 13:06:55 MSK)

Ответ на: комментарий от Aceler 20.12.24 13:02:08 MSK

Это не винда поставлена 11 лет назад, это винда 11 летней давности.

Загуглил как узнать дату установки винды. Один из способов посмотреть в свойствах Users дату создания юзера

ls -l /mnt/Users/
total 21
drwxrwxrwx 1 root root 8192 Jun 21  2022  Administrator
lrwxrwxrwx 2 root root   16 Aug 23  2013 'All Users' -> /mnt/ProgramData
drwxrwxrwx 1 root root 8192 Mar 22  2014  Default
lrwxrwxrwx 2 root root   18 Aug 23  2013 'Default User' -> /mnt/Users/Default
-rwxrwxrwx 1 root root  174 Aug 23  2013  desktop.ini
drwxrwxrwx 1 root root 4096 Aug 23  2013  Public

Судя по этому можно сделать вывод, что винда было установлена 21 июля 2022 года, но это не отменяет мистического её появления у меня. Повторюсь, что самой лабе с виртуализацией примерно год отроду. Такое невозможно

Shprot ★★
(20.12.24 13:08:13 MSK) автор топика

Ответ на: комментарий от Shprot 20.12.24 12:59:40 MSK

Так ты написал, что «уже». Значит, до этого позволяло.

Ololo_Trololo ★
(20.12.24 13:10:09 MSK)

Ответ на: комментарий от Aceler 20.12.24 13:02:08 MSK

Восьмёрка, поди?

Не могу сказать. При попытке войти просит пароль админа. У меня его естественно нет, да и скидывать его нет желания. В смонтированном диске покопался, там нет никаких файлов, кроме системных. Походу винда была установлена и всё. Не использовалась

Shprot ★★
(20.12.24 13:12:00 MSK) автор топика

Ответ на: комментарий от Shprot 20.12.24 13:08:13 MSK

You’ve been owned.

Ololo_Trololo ★
(20.12.24 13:12:34 MSK)

Никто подключиться к лабе не мог ибо подключение только у меня.

Ситуация указывает на обратное.

Pohmetolog
(20.12.24 13:13:38 MSK)

Ответ на: комментарий от Ololo_Trololo 20.12.24 13:10:09 MSK

Так ты написал, что «уже». Значит, до этого позволяло.

Чел, ты чего к этому пристал? =) Если откровенно, то бухал я раньше как лошадь! В 35 лет понял, что жизнь под откос пошла. Поехал к наркологу и закодировался. Вот уже 5 лет как ни капли в рот…=)

Shprot ★★
(20.12.24 13:16:02 MSK) автор топика

https://tinyinstaller.top/images?hl=en

Это оно, вспоминай, что делал.

Возможно, перепутал диски.

для тестов с пихой

Если хочешь нормальных ответов, лучше не используй сленг, который понятен малому количеству народа.

Dimez ★★★★★
(20.12.24 13:16:18 MSK)
Последнее исправление: Dimez 20.12.24 13:18:52 MSK (всего исправлений: 2)

Ответ на: комментарий от Shprot 20.12.24 13:08:13 MSK

Повторюсь, что самой лабе с виртуализацией примерно год отроду.

диск у цыган покупал?

alysnix ★★★
(20.12.24 13:16:22 MSK)

Останавливаю рабочего гостя, добавляю в его конфиг диск из гостя с пихой.

Пихарь в гости приехал?

xaTa ★★★★
(20.12.24 13:19:47 MSK)

Ответ на: комментарий от Dimez 20.12.24 13:16:18 MSK

Это оно.

Судя по скрину - Windows Server 2012 R2

Shprot ★★
(20.12.24 13:21:32 MSK) автор топика

Ответ на: комментарий от alysnix 20.12.24 13:16:22 MSK

диск у цыган покупал?

Эм-м-м… ну скажем так, что это честно найденные диски…=)
2 тербайтника в LVM. Сам диск для VM создавал командой lvcreate --size 300G --name test-mirror --mirrors 1 vgdata

lvs
  LV                VG     Attr       LSize   Pool Origin Data%  Meta%  Move Log Cpy%Sync Convert
  cloud-mirror      vgdata rwi-aor--- 300.00g                                    100.00          
  prometheus-mirror vgdata rwi-a-r--- 6.00g                                      100.00          
  revprx-mirror     vgdata rwi-aor--- 4.00g                                      100.00          
  test-mirror       vgdata rwi-aor--- 300.00g                                    100.00          
  websrv-mirror     vgdata rwi-aor--- 12.00g                                     100.00

Ну то есть это даже не файл qcow2, а блочное устройство.

Shprot ★★
(20.12.24 13:28:21 MSK) автор топика

Анекдот про «это был не тот слон» уже вспоминали?

Irma ★★
(20.12.24 13:29:33 MSK)

Ответ на: комментарий от Shprot 20.12.24 13:21:32 MSK

Ну либо тебя ломанули и залили винду, либо ты сам выполнил wget | bash не в той консоли.

Dimez ★★★★★
(20.12.24 13:35:23 MSK)

Ответ на: комментарий от Shprot 20.12.24 13:21:32 MSK

Как раз, год появления совпадает с файлами. При установке винды метки времени на копируемых файлах не меняются (ибо незачем), вот ты и получаешь файлы из 13-го года в 2024-м.

В общем, или ты как-то случайно качнул этот tiny (он в дебиане есть?), или хакеры какие-то совсем ленивые пошли, винду им подавай.

Aceler ★★★★★
(20.12.24 13:39:45 MSK)

Ответ на: комментарий от Dimez 20.12.24 13:16:18 MSK

Возможно, перепутал диски.

У меня там всего 5 ВМ’ок.
Конкретно смотрю проблемную

virsh dumpxml testphp
<disk type='block' device='disk'>
   <driver name='qemu' type='raw' cache='none' io='native' discard='unmap'/>
   <source dev='/dev/mapper/vgdata-testphp--mirror'/>
   <target dev='vdb' bus='virtio'/>
   <address type='pci' domain='0x0000' bus='0x04' slot='0x00' function='0x0'/>
</disk>

Смотрю приоритет в загрузке

<os>
  <type arch='x86_64' machine='pc-q35-7.2'>hvm</type>
  <boot dev='hd'/>
</os>

Вчера-позавчера и ранее там был LEMP, сегодня там, мать его, винда.
Я перепутать не мог! В конфиг ВМ’ки не лазил после первой установки.

Shprot ★★
(20.12.24 13:41:52 MSK) автор топика

В игре xbill твоя ситуация была описана. Тебе повезло что это всё только в виртуалке случилось.

firkax ★★★★★
(20.12.24 13:41:52 MSK)

Ответ на: комментарий от Shprot 20.12.24 13:41:52 MSK

В конфиг ВМ’ки не лазил после первой установки.

Зачем в конфиг лазить? Посмотри, как ставится винда по моей ссылке то.

TinyInstaller runs directly on the VPS, without the need for recovery or rescue mode. Please copy and run the command below with root user. TinyInstaller completely replaces the operating system of the VPS, just like when you run wget | gunzip | dd of=/dev/vda

Dimez ★★★★★
(20.12.24 13:43:06 MSK)
Последнее исправление: Dimez 20.12.24 13:44:29 MSK (всего исправлений: 1)

Ответ на: комментарий от Shprot 20.12.24 13:28:21 MSK

Эм-м-м… ну скажем так, что это честно найденные диски…=)

На помойке что ли? Ну сколько можно, неужели у тебя нет нескольких копеек купить раз в 10 лет нормалньый диск?

Обращу внимание на дату Oct 28 19:26 на директории Windows. Когда ты эти диски «нашёл» - до или после неё?

firkax ★★★★★
(20.12.24 13:45:28 MSK)

Ответ на: комментарий от Dimez 20.12.24 13:35:23 MSK

тебя ломанули и залили винду

Для развлекухи? Ха-ха…!

ты сам выполнил wget | bash не в той консоли.

Эм-м-м… а вот тут припоминаю что curl’ом игрался на той ВМ’ке. Ну предположим. И что? Как я скачал нужный скрипт, который накатил винду?

Shprot ★★
(20.12.24 13:48:07 MSK) автор топика

Сеть для qemu-kvm. How to...?

Решил убрать лишнее звено (аппаратный маршрутизатор микрот фтопку)

Ну вот, убрал. Дефолтные правила файрвола (а скорее всего nat), которые прикрывали твою задницу, больше не существуют

16 декабря было не так давно. Если есть sysstat или любой другой вариант сбора метрик, посмотри загрузку процессора за это время. Винда в процессе установки (и где-то час после) жрет процессор как не в себя

vgdata-testphp–mirror

Хотя если там был древний и необновляемый сайт на php, могли и гораздо раньше поломать

Когда будешь создавать новую лабу, не забудь разбить её на отдельные сети (vlan’ы, например) и жестко их ограничить. Виртуалкам выход только через прокси (и только необходимый минимум). Все, доступное снаружи - в изолированной сети. Для веба вход через reverse proxy с mod_security, логи на отдельную ВМ в другом vlan’е и т.д. Можно заморочиться с каким-нибудь samhain или что сечас модно для ids. Систему мониторинга не забудь

router ★★★★★
(20.12.24 13:50:56 MSK)

Ответ на: комментарий от Shprot 20.12.24 13:48:07 MSK

Смотри, есть два варианта

винду поставил ты
винду поставил не ты

Т.к. божественное вмешательство билла гейтса можно сразу отмести

«поставил ты» - отрицаешь. Остается что? Признай и начинай устранять последствия

router ★★★★★
(20.12.24 13:52:45 MSK)

Ответ на: комментарий от firkax 20.12.24 13:41:52 MSK

В игре xbill твоя ситуация была описана.

Не совсем понял. То есть в системе (на виртуалке) был некий пакет, который запустил установку винды, затерев всё, что было перед…?

Почитал в вики про XBill. Интересно. То есть это на самом деле или просто игра…?

Shprot ★★
(20.12.24 13:54:32 MSK) автор топика

Ответ на: комментарий от Shprot 20.12.24 13:48:07 MSK

И что? Как я скачал нужный скрипт, который накатил винду?

Вспоминай, игрался ли ты с tinyinstaller’ом. Если да, то ты мог запустить не в той консоли.

Если нет, то, видимо, тебя ломанули через php, получили рута и вот так вот нагадили. Что было в виртуалке, какой хоть линукс (дистрибутив и его версия)?

Dimez ★★★★★
(20.12.24 13:55:58 MSK)

Ответ на: комментарий от router 20.12.24 13:52:45 MSK

Да там ОП путается в показаниях на каждом шагу!

Тут test-mirror

Там testphp-mirror

Подождем еще немного, сейчас окажется, что это разные гипервизоры вообще 🤡

aol ★★★★★
(20.12.24 13:55:59 MSK)

Это не взлом, часом?

sparkie ★★★★★
(20.12.24 13:56:08 MSK)

Ответ на: комментарий от router 20.12.24 13:50:56 MSK

Какой наблюдательный.

nftables настроил. Разрешил только что можно, всё остальное drop. Сверху fail2ban, но настроен только на SSH (пока что). Виртуалки и так в определённом влане.

Shprot ★★
(20.12.24 13:57:25 MSK) автор топика

Ответ на: комментарий от Dimez 20.12.24 13:55:58 MSK

Что было в виртуалке, какой хоть линукс

Debian 12.
apt update && apt upgrade ну раз - два в неделю делаю.
PHP там 8.3 стоял.
Единственный косяк - включен вывод ошибок был - display_errors = on

Shprot ★★
(20.12.24 14:00:55 MSK) автор топика

Ответ на: комментарий от Shprot 20.12.24 14:00:55 MSK

Тогда всё-таки ты сам. Php то могли ломануть, но local root в deb12 я что-то не припоминаю.

Dimez ★★★★★
(20.12.24 14:33:57 MSK)

Ответ на: комментарий от Dimez 20.12.24 14:33:57 MSK

У него там вполне могло самодельное rce+lpe быть организовано.

Php то могли ломануть

И не сам пхп, разумеется, а дырявые скрипты на нём.

firkax ★★★★★
(20.12.24 14:49:20 MSK)
Последнее исправление: firkax 20.12.24 14:50:24 MSK (всего исправлений: 1)

Ответ на: комментарий от Shprot 20.12.24 13:12:00 MSK

В смонтированном диске покопался

А теперь трафик послушать…

anonymous
(20.12.24 15:45:50 MSK)

Ответ на: комментарий от Shprot 20.12.24 13:28:21 MSK

Эм-м-м… ну скажем так, что это честно найденные диски…=)

Ну так может винда оттуда? Например, ты криво настроил зеркало и данные на старом диске выжили.

Harliff ★★★★★
(20.12.24 16:28:03 MSK)

Бывает, я тоже уже начал натыкаться на вещи, которые явно делал я, но совершенно этого не помню)

goingUp ★★★★★
(20.12.24 16:44:59 MSK)

Ответ на: комментарий от goingUp 20.12.24 16:44:59 MSK

У меня было такое один раз тоже, причем даже не виртуалка. Утром был Арч, а вечером прихожу с работы - винда. Сын школьник признался в содеянном не сразу.

anonymous
(20.12.24 17:12:02 MSK)

VM’ка с выходом в мир

Судя по описанию - подобрали пароль и попытались настроить под ботнет. Но зачем сносить все - хз, возможно ОС там была настолько древняя что софт под ботнет не собирался.

Вторая версия - проказник Гейтс по ночам проникает по сети в системы спящих линуксоидов и делает с ними ВСЯКОЕ.

Выбирайте вариант в меру толщины фольги на шапочке.

Obezyan ☆
(20.12.24 17:25:04 MSK)

Ответ на: комментарий от Obezyan 20.12.24 17:25:04 MSK

Третья версия - запивание спирта пивом. Однажды так установил, настроил и ввёл в эксплуатацию кластер oVirt и узнал об этом через две недели.

Pohmetolog
(20.12.24 18:00:58 MSK)

Что на твоей лабе было установлено?

Rodegast ★★★★★
(20.12.24 18:41:02 MSK)

Простые пароли на чём то стояли?

Rodegast ★★★★★
(20.12.24 18:44:36 MSK)

Ответ на: комментарий от aol 20.12.24 13:55:59 MSK

Да там ОП путается в показаниях на каждом шагу!

Для тестов на PHP, раздел, при создании, был назван с приминением нецензурного слова. Пришлось при оформлении тут подтирать.

Подождем еще немного, сейчас окажется, что это разные гипервизоры вообще

Дома? Разные гипервизоры? Ты думаешь кто-то дома ЦОД’ы держит?

Shprot ★★
(20.12.24 20:36:01 MSK) автор топика

Ответ на: комментарий от anonymous 20.12.24 17:12:02 MSK

У меня было такое один раз тоже, причем даже не виртуалка. Утром был Арч, а вечером прихожу с работы - винда. Сын школьник признался в содеянном не сразу.

Из домашних - это жена закупщик. Работает на площадках только по 44 и 223фз, а мелкий гоняет в доту. У всех свои буки на вафле в другом влане. Исключено!

Shprot ★★
(20.12.24 20:42:45 MSK) автор топика

У меня лет этак 15-20 назад была исория, кажется ещё под Windows XP.

Встаю утром, включю комп, он выпадает в ч0рный эркан и на что-то ругается. Попробовал еще пару раз. То же самое всё.

А потом кажется надо было к бабушке ехать на месяц в другой город. Приехал - комп работает.

anonymous
(20.12.24 20:44:33 MSK)

Ответ на: комментарий от Obezyan 20.12.24 17:25:04 MSK

ОС там была настолько древняя

Debian 12

Гейтс по ночам проникает по сети в системы спящих линуксоидов

Я живу во Владивостоке. Предполагаю, что Гейтс ориентируется в основном на Москоутайм…=)

Shprot ★★
(20.12.24 20:46:09 MSK) автор топика

← 1 2 →

←	webmin-Cron задание для выполнения PHP запроса на файл модуля

Admin

system backup через dd

→

Похожие темы