Что нужно проделать на Debian 8.8, чтобы избавиться от Petya.A/Petya.C (Wanna Cry)?

0

2

27 июня 2017 г. зарегистрирована масштабная хакерская вирусом (модификация нашумевшего в 2016 году шифровальщика-вымогателя Petya.A/Petya.C), который распространяется аналогично Wanna Cry.

Есть у меня VPS с ОС Debian 8, но которой была установлен cifs-utils (apt-get install -y cifs-utils), который включает в себя smbclient (как я понял, через него ко мне пролез этот вирус). Провайдер прислал письмо, в котором жалоба, что мой сервер учавствует в атаке.

Чтобы уничтожить вирус на 100%, я заказал у провайдера новую установку linux. После установки поднял VPN сервер, подключил несколько клиентов.

Также закрыл некоторые порты (21, 111, 135, 137, 138, 139, 445, 6851, 36082, 65448) командами

iptables -A INPUT -p tcp --dport [PORT] -j DROP
iptables -A INPUT -p udp --dport [PORT] -j DROP

Но это не помогло, снова прислали письмо:

"We have indications that there was an attack from your server.
Please take all necessary measures to avoid this in the future and to solve the issue."

и вложение:

##############################################################################
#               Netscan detected from host  [ip_moego_servera]               #
##############################################################################

time                protocol src_ip src_port       	   dest_ip dest_port
------------------------------------------------------------------------------
Wed Jun 28 16:19:59 2017 TCP  [ip_moego_servera] 55347 =>     3.18.50.252 445  
Wed Jun 28 16:19:50 2017 TCP  [ip_moego_servera] 54469 =>   3.194.178.216 445  
Wed Jun 28 16:21:01 2017 TCP  [ip_moego_servera] 61533 =>    6.182.74.177 445  
Wed Jun 28 16:20:52 2017 TCP  [ip_moego_servera] 60583 =>    7.45.158.179 445  
Wed Jun 28 16:21:04 2017 TCP  [ip_moego_servera] 61829 =>    7.186.54.250 445  
Wed Jun 28 16:20:02 2017 TCP  [ip_moego_servera] 55675 =>    7.231.88.234 445  
			...
Wed Jun 28 16:19:46 2017 TCP  [ip_moego_servera] 54032 =>   209.72.63.231 445  
Wed Jun 28 16:21:00 2017 TCP  [ip_moego_servera] 61379 => 210.189.193.182 445

Вчера вечером я снова заказал у провайдера новую установку «Debian-88-jessie-64-LAMP». Абсолютно ничего на него не ставил. Сегодня утром с помощью команд tcpdump src port 445 и tcpdump dst port 445 увидел, что снова активно идет траффик по 445 порту. Получается что вирус остался...

Что нужно проделать на Debian 8.8, чтобы избавиться от Petya.A/Petya.C (Wanna Cry)?

Ссылка

←	AMT - enabled, unprovisioned. Локальное повышение привилегий?

Генерация Md5 rainbow tables по маске

→

← 1 2 3 →

Ответ на: комментарий от ZenitharChampion 02.07.17 03:56:02 MSK

Да не ломают у него ничего. Почитайте топик, там у тс был проходной двор в виде кучи пользователей его vpn, которых ничего не ограничивало. Достаточно было чтобы один из пользователей был заражен, чтобы для хостера тс выглядел распространителем пети.

Ну, по крайней мере так выглядит ситуация на данный момент )

vaddd ★☆
(02.07.17 09:06:02 MSK)

Ответ на: комментарий от vaddd 02.07.17 09:06:02 MSK

А я уже боялся, что началось :-) Первая в мире вирусная эпидемия Linux

ZenitharChampion ★★★★★
(02.07.17 11:06:24 MSK)

Ссылка

Чтобы уничтожить вирус на 100%, я заказал у провайдера новую установку linux.

«We have indications that there was an attack from your server.
Please take all necessary measures to avoid this in the future and to solve the issue.

Годный развод, хотя с причиной уже разобрались конечно. Но у всех приличный провайдеров, ты можешь поставишь любой популярный дистрибутив, просто выбрав его из списка меньше чем за минуту.

anonymous_sama ★★★★★
(02.07.17 11:26:08 MSK)
Последнее исправление: anonymous_sama 02.07.17 11:27:12 MSK (всего исправлений: 1)

Ответ на: комментарий от Sorcus 29.06.17 14:48:12 MSK

А можешь посоветовать такого, где можно? Буду признателен

letni ★
(02.07.17 17:16:35 MSK)

Ответ на: комментарий от MrClon 29.06.17 15:51:18 MSK

Ну или самому ставить.

Какие провайдеры такую возможность дают? Хочу VPN взять, но хотелось бы всё своё поставить, включая ядро.

letni ★
(02.07.17 17:22:33 MSK)

Ответ на: комментарий от letni 02.07.17 17:22:33 MSK

Своё ведро (во всяком случае если это ядро linux) можно поставить на любом VPS хостинге использующем виртуализацию (KVM, XEN, VMWare, HyperV etc), а не контейнеризацию (OpenVZ, как-там-называется-платнаяверсия-openvz, LXC etc).
Возможность установить свою систему (например с ISOшника) без финтов ушами есть не у всех, надо смотреть отдельно каждого провайдера. возможно даже спрашивать ТП.
Но если задача просто скомпилять своё ядро то возможность загрузки с ISOшника не так уж и нужна

MrClon ★★★★★
(02.07.17 17:35:23 MSK)

Ссылка

Ответ на: комментарий от letni 02.07.17 17:16:35 MSK

Лучше о таких вещах спрашивать у конкретных провайдеров.
В Hetzner на сколько я знаю можно свой образ использовать.
С другими я просто не сталкивался.

Sorcus ★
(02.07.17 18:45:01 MSK)

Ссылка

Ответ на: комментарий от ZenitharChampion 02.07.17 03:56:02 MSK

У него зараженный комп за впном, как только поднимает впн зараженный комп начинает бурную деятельность и используя впн. В цепочку forward добавить правило с log на 445 порт чтобы вычислить зараженный комп.

anonymous
(11.07.17 22:39:03 MSK)

Ответ на: комментарий от ZenitharChampion 02.07.17 03:56:02 MSK

через какую уязвимость ломают?

Через SMB протокол, для этого используется порт 445

pospelov
(14.07.17 13:59:11 MSK) автор топика

Ссылка

Ответ на: комментарий от vaddd 02.07.17 09:06:02 MSK

был проходной двор в виде кучи пользователей его vpn

я тоже так думаю, потому что после запрета 445 порта и других - ситуация стабилизировалась

pospelov
(14.07.17 14:00:22 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous_sama 02.07.17 11:26:08 MSK

у всех приличный провайдеров, ты можешь поставишь любой популярный дистрибутив, просто выбрав его из списка меньше чем за минуту.

да все нормально с дистрибутивами, можно там выбрать из списка, и, скорее всего, можно залить свой. я просто выбрал из списка нужный и на этом все

pospelov
(14.07.17 14:02:21 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 11.07.17 22:39:03 MSK

зараженный комп за впном, как только поднимает впн зараженный комп начинает бурную деятельность и используя впн. В цепочку forward добавить правило с log на 445 порт чтобы вычислить зараженный комп.

сделал проще - закрыл 445 порт и дело в шляпе =)

pospelov
(14.07.17 14:03:52 MSK) автор топика

Ссылка

Ответ на: комментарий от pospelov 02.07.17 02:22:33 MSK

Для цепочек FORWARD, INPUT и OUTPUT закрыл TCP-порты и UDP-порты 1024-1035, 135, 139 и 445. ждемс...

Судя по тому, что больше на меня не кидали жалобы - все нормально!

pospelov
(14.07.17 14:05:04 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← 1 2 3 →

←	AMT - enabled, unprovisioned. Локальное повышение привилегий?

Security

Генерация Md5 rainbow tables по маске

→

Похожие темы