VDS взломали

1

4

Ничего не сломали, ничего не украли (вроде), а повесили майнер, судя по процессу /bin/dhpcd который работает в 6 потоков и кушает 100% ядра.

Ссылка на скачивание: http://spfng.com/dhpcd

# uname -a
Linux spfng 4.19.0-6-amd64 #1 SMP Debian 4.19.67-2+deb10u1 (2019-09-20) x86_64 GNU/Linux

Я его прибил, в /bin/dhpcd написал bash-записку, чтобы со мной связались. В 00:00 по MSK файл восстановился, процесс снова запустился (пока я спал). Наверное, это просто скриптом всех подряд брутфорсят, а не направленная атака (никому не нужный Джо, ага).

Мне, в общем-то пофиг, это всего-лишь расходник, переустановил ОС и живёшь дальше. У SSH стоит авторизация по ключам. Может быть через exim? Да пофиг. Просто вот что бывает, если «один раз настроил и забыл».

Я знаю, что установи я свой уютненький CRUX, ничего бы такого не случилось. Не даром я не доверяю дистрибутивам типа Debian, CentOS, потому что хрен знает, что там внутрях у него крутится.

Любопытно только, каким образом, как. Такое-то решето!

Переустанавливать систему пока не тороплюсь. Если подскажете, куда копать, чтобы найти уязвимое место — было бы здорово. А нет так нет. Перекачусь на CRUX.

Ссылка

←	А чем вы проверяете безопасность самих контейнеров ?

tor - систему кто-то проверяет ?

→

Зависит от того что у тебя на серваке крутится. По любому надо смотреть логи, и проверять все пакеты на аутентичность.

Я думаю что переустановка системы не поможет, ведь уязвимость останется.

Wind ★★★
(27.02.20 13:45:16 MSK)

Ссылка

Если подскажете, куда копать, чтобы найти уязвимое место — было бы здорово.

Ну так всё уже система скомпрометирована, наиболее вменяемый вариант перекатится на любимый CRUX.

slimsim
(27.02.20 14:01:21 MSK)

админы vds провайдера развлекаются ))

anonymous
(27.02.20 14:08:16 MSK)

Ссылка

Ответ на: комментарий от slimsim 27.02.20 14:01:21 MSK

Вот и нужно выяснить как это было сделано.

Wind ★★★
(27.02.20 14:11:42 MSK)

Ссылка

Откуда такая уверенность, что в crux нет той же дыры.

Deleted
(27.02.20 14:12:12 MSK)

Ссылка

жопорук

~~dormeur86~~ ★★★★
(27.02.20 14:12:24 MSK)

Ссылка

Не даром я не доверяю дистрибутивам типа Debian, CentOS, потому что хрен знает, что там внутрях у него крутится.

Конечно, это ведь не дистрибутивы с 3.5 пакетами :D

~~RedEyedMan666~~ ★
(27.02.20 14:22:04 MSK)

Ссылка

Я знаю, что установи я свой уютненький CRUX, ничего бы такого не случилось.

Хм?

Zhbert ★★★★★
(27.02.20 14:22:14 MSK)

Не даром я не доверяю дистрибутивам типа Debian, CentOS

Systemd?

torvn77 ★★★★★
(27.02.20 14:23:03 MSK)
Последнее исправление: torvn77 27.02.20 14:23:11 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от Zhbert 27.02.20 14:22:14 MSK

Просто он никому не нужен :)

~~RedEyedMan666~~ ★
(27.02.20 14:24:01 MSK)

Ссылка

Ничего не сломали

а повесили майнер

Запустили процесс на хоте == сломали, причём в щепки

Я знаю, что установи я свой уютненький CRUX, ничего бы такого не случилось.

Ну, не факт =)

Если подскажете, куда копать

Позволить сделать это ещё раз, сделать снимок системы (как угодно) хоть рекурсивно ls на всё сделать или Inotify. Далее как только появится процесс майнера сделать ещё раз снимок, логов, файлов, процессов . И погасить систему, автоматически естественно. Причём резко так что бы майнер не успел что-то сделать. Затем по снимкам выяснить, что, когда и где появилось. Как запустись и кем. Родительский процесс чей? Ну и всё дело в шляпе.

LINUX-ORG-RU ★★★★★
(27.02.20 14:28:01 MSK)
Последнее исправление: LINUX-ORG-RU 27.02.20 14:29:53 MSK (всего исправлений: 2)

Ссылка

Спуф, вот скажи честно, ты после обнаружения пытался найти подобные кейсы? Или как обычно ограничился своим тупым «я сам»? Вопрос скорее риторический, потому-что не факт что смена дистра изменит ситуацию.

ilinsky ★★★★★
(27.02.20 14:33:12 MSK)
Последнее исправление: ilinsky 27.02.20 14:36:36 MSK (всего исправлений: 2)

Ссылка

да ладно, тупняк уровня спуфа наверняка. что то из разряда авторизации по ключам с неотключенным логином, рутом, дефолтным портом, игнор логов здравствуй брут.

Anoxemian ★★★★★
(27.02.20 14:36:41 MSK)

По теме - возьми open-scap и посмотри, что но скажет.

Я знаю, что установи я свой уютненький CRUX, ничего бы такого не случилось.

Вот нифига не угадал. Большая часть уязвимостей (после тупых админов) - это application-layer, и их наличие зависит не от дистрибутива, а от того, какой софт установлен

Не даром я не доверяю дистрибутивам типа Debian, CentOS, потому что хрен знает, что там внутрях у него крутится.

Ты точно знаешь, что крутится внутри твоего уютного апача/nginx-а?

~~CaveRat~~ ★★
(27.02.20 14:42:39 MSK)
Последнее исправление: CaveRat 27.02.20 14:45:47 MSK (всего исправлений: 1)

Ссылка

А что еще за сервисы крутятся помимо ssh?

anonymous
(27.02.20 14:47:16 MSK)

Ссылка

Вопрос совсем тупой, но пароли ssh все поменял? Логи подключений смотрел?

Какие вообще сервисы на твоем сервачке крутятся? web, mail, proxy, ssh, vpn-шлюз?

~~CaveRat~~ ★★
(27.02.20 14:48:00 MSK)

Ответ на: комментарий от CaveRat 27.02.20 14:48:00 MSK

ну вот картинко: https://files.catbox.moe/adjrf6.png

jabberd2, nginx со статикой (php-fpm просто так, нигде не используется), exim, и чатики (mcabber | irssi).

на вдс ничего ценного, тупо почта для спама (для регистрации на сайтах) и чатики крутятся. это вдс-однодневка, сегодня есть, завтра нет. принимает на себя все «атаки», проксирует безопасный трафик до домашнего nginx (чтобы не светить домашний провайдерский IP). поэтому отношение соответствующее, никаких обновлений не делал. вот и поплатился.

надо в crontab-e пихать apt-get update && apt-get upgrade теперь :)

~~Spoofing~~ ★★★★★
(27.02.20 15:06:23 MSK) автор топика

Ответ на: комментарий от Spoofing 27.02.20 15:06:23 MSK

exim

Там недавно дыра была, надо было вовремя обновлять.

anonymous
(27.02.20 15:11:22 MSK)

Ссылка

Ответ на: комментарий от Spoofing 27.02.20 15:06:23 MSK

Для автоматических обновлений есть https://haukola.ru/2017/unattended-upgrades/

Wind ★★★
(27.02.20 15:16:11 MSK)

Ответ на: комментарий от Wind 27.02.20 15:16:11 MSK

прикольно, спасибо, воспользуюсь этой утилитой для обновлений безопаности.

~~Spoofing~~ ★★★★★
(27.02.20 15:18:18 MSK) автор топика

Ссылка

Я знаю, что установи я свой уютненький CRUX, ничего бы такого не случилось.

Да! Ведь ты проинспектировал все исходники всего софта который идет в комплекте с CRUX!

reprimand ★★★★★
(27.02.20 15:21:06 MSK)

Ссылка

Ответ на: комментарий от Anoxemian 27.02.20 14:36:41 MSK

Не обязательно, что именно на сервере уязвимость. Могли с его рабочей машины ключи стянуть.

Deleted
(27.02.20 15:23:22 MSK)

Ссылка

https://www.virustotal.com/gui/file/4e481f41263b649df1e5ae03e001c58ed31457f3d...

это ты его уже на virustotal залил? :) Судя по выхлопу, что-то свежее, первый образец только сегодня в базе появился час назад

Harald ★★★★★
(27.02.20 15:40:24 MSK)

Ссылка

а какой у тебя был пароль на SSH, не слишком ли короткий

Harald ★★★★★
(27.02.20 15:41:01 MSK)

Ссылка

cron и таймеры проверял? Может оно автоматом откуда-то скачивается?

Radjah ★★★★★
(27.02.20 15:44:21 MSK)

Ответ на: комментарий от Radjah 27.02.20 15:44:21 MSK

# crontab -e
36 * * * * /bin/dhpcd -o de.minexmr.com:4444 -B >/dev/null 2>/dev/null

какой вы проницательный. :) но механизм возникновения /bin/dhpcd ещё остался загоднойж.

~~Spoofing~~ ★★★★★
(27.02.20 15:49:26 MSK) автор топика

Ссылка

К серверам часто перебирают пароли к SSH. Не конкретных людей, просто кого попало. Мой рекорд - через минуту, после аренды сервера и установки ОС. Решил отключением входа по паролю.

Я знаю, что установи я свой уютненький CRUX

Получилось бы то же самое.

Deleted
(27.02.20 16:38:37 MSK)

Ответ на: комментарий от Deleted 27.02.20 16:38:37 MSK

К серверам часто перебирают пароли к SSH. Не конкретных людей, просто кого попало. Мой рекорд - через минуту, после аренды сервера и установки ОС. Решил отключением входа по паролю.

Это где такие пароли?

При создании нового инстанса ОС на VDS, обычно пароль рута а ля to5nai4Rairu2e.

Deleted
(27.02.20 16:53:08 MSK)

Ответ на: комментарий от Deleted 27.02.20 16:53:08 MSK

Это где такие пароли?

Не в смысле, что через минуту взломали, а начали брутить пароль

Deleted
(27.02.20 16:55:42 MSK)

Ссылка

В 00:00 по MSK файл восстановился

Прям по крону)

Kuzz ★★★
(27.02.20 17:08:14 MSK)

Ссылка

Покрвырявшись чуть-чуть в твоём бинарнике, вот что похоже тебя покусало: https://github.com/brian112358/avermore-miner

beastie ★★★★★
(27.02.20 17:24:40 MSK)

Ссылка

Угадай спуфинга по посту. BTW, вангую простой пароль рута и неотключенный вход по паролям.

BTW, тут недавно в битриксах замечал побитый постфикс. Может и здесь через почту зашли…

dhameoelin ★★★★★
(27.02.20 17:34:54 MSK)

Ссылка

Ответ на: комментарий от Spoofing 27.02.20 15:06:23 MSK

У тебя правда пользовательский софт от рута запущен, или ты нас троллишь?

dhameoelin ★★★★★
(27.02.20 17:38:02 MSK)

Ссылка

Твой dhcpd это:

/home/den/mydata/build_xmrig-5.2.0_on_Alpine_3.10/xmrig-5.2.0/scripts/build/...

XMRig High performance, open source, cross platform miner.

Это легальный майнер, который используют ботнеты.

Судя по скриншоту процессов и, судя по тому, что это непатченная Debian, то, с огромной вероятностью, что-то в духе этого:

- https://security-tracker.debian.org/tracker/CVE-2019-10149

- https://security-tracker.debian.org/tracker/CVE-2019-15846

- https://security-tracker.debian.org/tracker/CVE-2019-16928

И ещё что-то было. Стоит проверить - пропатчено ли. Если пропатчено - значит с другим сервисом проблемы. Но, скорее всего, оно самое.

И да, просто обновить систему теперь не вариант. Ибо могли инжектировать руткит после эксплуатации уязвимости. Систему в любом случае придёться переустановить.

anonymous
(27.02.20 20:24:24 MSK)

Ссылка

Только с нуля. Остальное полумеры.

kardapoltsev ★★★★★
(27.02.20 23:20:22 MSK)

Ссылка

Ответ на: комментарий от CaveRat 27.02.20 14:48:00 MSK

Вангую, что у него был открыт root доступ по ssh, и пароль 12345, так что не только ключами боты логинятся. Мож, провайдер vds уже в образе кривые настройки ssh поставил

menangen ★★★★★
(28.02.20 00:31:28 MSK)

Ссылка

Ответ на: комментарий от Spoofing 27.02.20 15:06:23 MSK

Дай вывод openscap.

И, серьезно, посмотри логи ssh-подключений на предмет подозрительных входов. Смотри примерно вокруг тех моментов, когда у тебя майнер поднимался.

~~CaveRat~~ ★★
(28.02.20 08:58:45 MSK)

Ответ на: комментарий от CaveRat 28.02.20 08:58:45 MSK

Да exim виноват с вероятностью 99%.

anonymous
(28.02.20 09:00:50 MSK)

Ответ на: комментарий от anonymous 28.02.20 09:00:50 MSK

Ставлю на криво настроенный ssh, но это еще надо проверить.

~~CaveRat~~ ★★
(28.02.20 09:01:56 MSK)

Ответ на: комментарий от CaveRat 28.02.20 09:01:56 MSK

криво настроенный ssh

Что это значит? В оппосте написано, вход по ключам. Даже если включен логин по паролям, у спуфинга пароль не qwerty, никто не брутит целенаправленно нищевдсы больше чем по обычному вордлисту.

anonymous
(28.02.20 09:04:40 MSK)

Ответ на: комментарий от anonymous 28.02.20 09:04:40 MSK

Еще он прямым текстом пишет, что стоит exim без обновлений.

anonymous
(28.02.20 09:06:05 MSK)

Ссылка

Ответ на: комментарий от anonymous 28.02.20 09:04:40 MSK

Что это значит? В оппосте написано, вход по ключам.

То, что вход по паролю мог быть и не отключен.

Даже если включен логин по паролям, у спуфинга пароль не qwerty, никто не брутит целенаправленно нищевдсы больше чем по обычному вордлисту.

А какой у него пароль - мы не знаем.

~~CaveRat~~ ★★
(28.02.20 09:09:02 MSK)

Ссылка

сначала раскажи, как ОС защищал...

~~darkenshvein~~ ★★★★★
(28.02.20 09:46:40 MSK)

Ссылка

Спуфя опять таблеточки забыл накатить. А ему в это время накатили майнер. Ну, хорошо хоть на бутылку не посадили. За крукс давно пора натянуть эту жирную сволочь.

anonymous
(29.02.20 20:17:30 MSK)