В общем, кто виноват и что делать?

Не знаю, ставь то, на что не жалуются.

В общем, кто виноват?

Один еврей финского происхождения.

что делать?

Продолжать использовать OpenBSD, очевидно.

Попробовать Devuan, это Debian без systemd. И процессы прибивать можно, и самый вероятный вектор атаки закрывается…

Linux = решето?

да

кто виноват?

ты

Да это все херня, с системД или без.

Найми админа. С 2013 года держим dedicated baremetal и всё у нас хорошо.

У меня и с 2011 всё ок. Было. Ну или просто хостеры предыдущие на жалобы не обращали внимание :)

Скрины переписки приложишь?

В общем, кто виноват и что делать?

сервер, физический

Бот, успешно продырявивший хост на линуксе, будет успешно дырявить гостей на линуксе и не будет интересоваться всякой неэндемичной дичью.

а не, не спам, тоже ddos, я проглядел.

Hello Abuse-Team,

your Server/Customer with the IP: *ИПШНИК* (static.ИПШНИК.clients.your-server.de) has attacked one of our servers/partners. The attackers used the method/service: *ssh* on: *Wed, 18 Mar 2020 13:44:28 +0000*. The time listed is from the server-time of the Blocklist-user who submitted the report. The attack was reported to the Blocklist.de-System on: *Wed, 18 Mar 2020 14:43:37 +0100*

Один еврей финского происхождения.

находил в инете инфу, что Торвальдс на самом деле швед, и что дома в семье они общаюдся на шведском. просто жил он тогда в Финляндии

а почему он сам спам не шлёт?

Откуда я знаю. Может не умеет с хоста, или не хочет палится.

Если тебе виртуалку ломают за считанные минуты, то тут, скорее всего, проблема не в виртуалке.

ну одна за минуты, другая за несколько дней

интересен также техпроцесс ломания kvm-виртуалки

интересен также техпроцесс ломания kvm-виртуалки

Это совсем неинтересно, если хост взломан.

Я понимаю, что непосвящённому в эти всякие расовые вопросы человеку, сложно идентифицировать этническое происхождение такого изрядно разбавленного представителя, но вот его отец:

https://im.mtv.fi/image/346198/landscape16_9/1600/900/4ac1a197ea7a47294b192726a1711632/Jr/1436721.jpg

А вот его дед:

https://upload.wikimedia.org/wikipedia/commons/thumb/9/91/Ole_Torvalds.png/250px-Ole_Torvalds.png

Шведского там небольше, чем майонеза в шоколадной пасте.

кто виноват

Сисадмин.

что делать?

Увольнять с волчьим билетом, нанимать нового.

могу посоветовать нанять эникейщика, для настройки защиты сервера

могу посоветовать нанять эникейщика, для настройки защиты сервера

Сомневаюсь, что у «аникейщика» хватит компетенции разобраться. :) Я даже сомневаюсь, что у него хватит компетенции поставить Proxmox VE на голый сервер, где нет никаких приводов :)

На основной хост, где тоже Debian 10, была только одна жалоба, на rpcbind, что через него что-то то ли ддосили, то ли ещё что.

man iptables. man здравый смысл. man голова.

Поскольку в современном systemd+sysvinit дебиане отключить сервис почему-то тупо нельзя, он запускается при старте всё равно

Ты опять форсишь эту тупость?

В общем, кто виноват

Ты.

и что делать?

Самообразовываться.

это медицинский факт

Медицинский (уже) факт это то, что ты не осилил настройку и тебя проломили, а ты даже не осиливаешь провести простейшую диагностику.

можно хоть 100 раз подряд сделать systemctl disable rpcbind

Повторение одинаковых действий для достижения результата без изменения внешних признаков - это клиника.

это проверяется элементарно

У меня элементарно ничего не запущено, что я выключил.

Ссылки на багрепорт нет, повторяемости ни у кого нет => ищи проблемы в /dev/hands.

это плохо скрытая реклама FreeBSD?

это плохо скрытая реклама FreeBSD?

настолько скрытая, что я сам только что об этом узнал. спасибо, что глаза открыли

можно хоть 100 раз подряд сделать systemctl disable rpcbind и update.rc-d disable rpcbind, хоть одновременно, хоть через раз - сервис всё равно стартанёт при перезагрузке

systemctl status rpcbind
● rpcbind.service - RPC Bind
   Loaded: loaded (/lib/systemd/system/rpcbind.service; disabled; vendor preset: enabled)
   Active: inactive (dead)
     Docs: man:rpcbind(8)

Бабка врёт.

это Debian 10? в любом чисто-systemd дистрибутиве у меня такое тоже работает. в Debian - нет.

не знаю, что там статус пишет, я уже модуля поудалял, но сервис стартует. и есть ощущение, что не из systemd стартует, а из этой портянки скриптов, которую у дебиан не хватает силы воли поудалять, и оставить один systemd. и, вроде бы, по статусу systed тоже показывало disabled, я щас не вспомню.

это плохо скрытая реклама FreeBSD?

Да весь современный линукс это одна большая реклама FreeBSD.

это Debian 10? в любом чисто-systemd дистрибутиве у меня такое тоже работает. в Debian - нет.

$ systemctl status rpcbind
Unit rpcbind.service could not be found.

$ cat /etc/debian_version 
bullseye/sid

https://www.us-cert.gov/ncas/alerts/TA14-017A

сабж

О, 2014 год, с разморозкой! Наши субарендаторы оказались дятлами и попали на эту атаку.

это не ерзент, случаем?

Похож, но вроде нет.

Линукс на свой комп, бсдю на сервер - реальность 2020, даже distrowatch это понял.

Только линукс предельно минималистичный, НЕКОПРОРАТИВНЫЙ, системГ фри.

через HyperThreading™️ взломали

а Тео вас предупреждал!!!

В загрузочном секторе сохранился вирус и внедряется во все ваши линуксы. На bsd он не действует

SlES

SLES

Только линукс предельно минималистичный, НЕКОПРОРАТИВНЫЙ, системГ фри.

Тоже подойдет

В общем, кто виноват

Ты и больше никто.

Если у тебя на взлёте ломают линуксовую машину, то ты явно делаешь что-то очень не так. Например ставишь какое-то дырявое говно и голой жопой светишь им в интернет. Или ssh с несложным паролем оставляешь торчать наружу(за ssh не по ключам в нынешние времена надо бить батареей по рукам, например)

И тому подобное.

(за ssh не по ключам в нынешние времена надо бить батареей по рукам, например)

Так погоди, допустим у меня пароль рандомно сгенерированный длиной в 20 символов, чем это менее секурно чем авторизация по ключу?

Подломили твой ноутбучек, упырили заботливо хранимый файлик с паролями к каждому из серверов(рандомно генереный ты не сможешь запомнить) и привет.

А с ключами мало упырить ключ, надо ещё passphrase утащить, что несколько сложнее.

что делать?

В первую очередь - заслать бинарники этих процессов на Virustotal. Возможно, что кто-то этих ботов уже ловил, и дальнейшие действия известны.

Еще можно посмотреть, с кем они взаимодействуют, на предмет выявления C&C-серверов (а они, скорее всего, есть). Если найдется конфиг в открытом виде - радоваться, и тщательно его изучать.

Еще сменить все пароли и поставить все обновления. Ну и запустить openscap, почитать, что он скажет/порекомендует.

кто виноват

Карма. It is not about IF, it is about WHEN.

это экспериментальный сервер, там ценных данных было ровно 0. к тому же, по сути, он мне больше не нужен, буду от него отказываться, поэтому, честно говоря, неохота там что-то выискивать. я думал, мож популярное что, или есть простой способ «прочекать»

сервера, где есть хоть сколько-нибудь ценные данные - они у меня на OpenBSD :) хотя и там я толком не интересовался, как «прочекать», потому что не требуется - годами всё работает, и ладно, и мне особо неинтересно там ковыряться

Ответ на комментарий:

Альфа в модераторах… Теперь точно верится, что ЛОРу капец. Она его домодерирует до ручки, да.

Будто что-то новое на лоре произошло. ЛОР всегда модерировался тупыми п в переносном смысле, а теперь и в прямом. Ничего принципиально нового совсем, она ничем не отличается от всяких там пинкбайтов, тайлгунеров, JB и т.д.

#t15693776

Linux = решето?

Да.

</thread>

Простой или скомпрометированный пароль, дефолтный порт ssh, отсутствие fail2ban. На 100% уверен, что имеем все три пункта. Решето в голове твоей.

PermitRootLogin yes - в ту же копилку. Ну, в общем, админа найми, боярин, не твое это.

Ставлю арч

а с каких пор стал считаться прод решением? ты точно буратино!

Думаю, в комментариях выше уже указаны причины случившегося.

От себя добавлю следующее: советую вначале установить ОС в виртуальную машину, настроить, как надо (чтобы можно было поиграться, не боясь ушлых китайских госхакеров), снять образ и развернуть уже на сервере. Лишняя морока, но в таких случаях и вправду лучше заморочиться.

Да какая разница, у него и арч поимеют...

в любом чисто-systemd дистрибутиве у меня такое тоже работает

сокет тоже отключен? а таргет?

что не из systemd стартует

можно проверить, ведь когда systemd что-то стартует, то обычно он пишет об этом в журнал