Украли пароль?

…7 цифр…

От 0000000 до 9999999, всего 10млн. возможных комбинаций, они же не руками пароль подбирают

Но понятно, через ССХ чтоли?

Пароль заменил на адов

Заменил на что?

но всё равно как, Карл?

Есть много способов «подсмотреть» пароль. Ты уверен, что вводил пароль в бункере с громкой музыкой и в полном одиничестве?

Возможно и через ССХ(Сообщество студентов-христиан) кто знает ваши предпочтения.
Если это сервер имел белый ip адрес и хотя-бы не имел fail2ban то легко. Какие порты еще были открыты, и какие сервисы и версия (может там старая версия с актуальным CVE) их слушают ?

Заменил на что?

На едрёный. Многа буков и цыфр

Ты уверен, что вводил пароль в бункере с громкой музыкой и в полном одиничестве?

Таки да, у меня стационарный комп весом в 20кГ, в кабинете. Без вариантов)

Если это сервер имел белый ip адрес и хотя-бы не имел fail2ban то легко…

Это мой домашний комп, на DHCP провайдера. Фаервола правда неделю не было - на компе отключен, а в микротике временно отключил все правила (не помню нафига, что то там изобретал), т.е. неделю сидел без фиревола вообще…

А что так бывает?

И хренли толку, даже если взломали, значит не залезли, раз шантажируют тем, чего нет)))? Я этого понять не могу, если бы я залез в чей то комп с такой целью, я бы всё таки скачал бы что то интересное и дорогое. А тут - не понятно…

И хренли толку, даже если взломали, значит не залезли, раз шантажируют тем, чего нет

По вторым рукам пустили, список с емейлами + паролями

У тебя в системе уже может быть то, о чем ты не знаещь. Т. е. твоя смена пароля уже не поможет. Доступ уже может быть без него.

всем такие приходят

правда мне без паролей

Пароль уникальный

Не верю (с)

Ты этот пароль на livejournal.com случайно не использовал?

Ну просто набор цифр от балды, в теории конечно можно было подобрать…

Ты этот пароль на livejournal.com случайно не использовал?

В ЖЖ меня нет, а этот пароль был ТОЛЬКО на этой машине…

всем такие приходят

правда мне без паролей

То-то и оно)))

У тебя в системе уже может быть то, о чем ты не знаещь. Т. е. твоя смена пароля уже не поможет. Доступ уже может быть без него.

Этого то я и боюсь. Пароль сменил, систему обновил, Прогнал Clamav, прогнал lynis, но сижу и сцу…

Nod32 поставь.

Nod32 поставь.

Это шутка, или вы вот так серьёзно?

Ну будет хоть антивирусник достойный, всяко лучше clamav.

Он даже есть под Linux :)

где-то тут уже было такое.

Как вычислить этих %^*#$??

То же самое могу сказать про яндекс. Там тоже решето то ещё. Причём меня на нём «хакнули» сразу после того, как яндекс однажды при входе в ящик заставил меня поменять мой короткий пароль на «длинный и надёжный». Причём, что забавно, с коротким паролем было всё ок в течение нескольких лет, а «длинный и надёжный» «хакнули» через некоторое время.

Ну будет хоть антивирусник достойный, всяко лучше clamav.

Рассказываю кулстори. Дело было ещё во времена хрюшки. Накатывал я как-то хрюшку на комп. Первым делом я поставил этот твой хвалёный нод32 и обновил его сигнатуры. После этого я полез в инет за драйверами на какую-то железку(уже не помню на какую). Открываю я яндекс, захожу на первую же ссылку в его выдаче и наступает время переустанавливать шиндовс выскакивает «фирменая» заставка с текстом «ваш компьютер заблокирован, отправьите смс». Это с учётом того, что сигнатуры в антивире были последние. Так что твой нод32 такое же решето, как и осёл, который пропустил эту дрянь на комп.

Тебе бы сказки сочинять. Врунишка из тебя никакой.

у меня в голове навязчивый вопрос - как эта падла узнала мой пароль

Скорее всего по хэшу подобрали. Ты как-то, где-то засветил свой хэш.

биткоинами куда то там

Запости адрес. Посмотрим, сколько биткоинов уже наворовали.

Ага, давай ещё и пруфы с меня затребуй за события 20ти летней давности. Хаха.

т.е. неделю сидел без фиревола вообще

Поди с поднятым ssh-ом с тем же паролем или с паролем вида 1234, да?

Ох. Ну кто так делает? Как и при наличии рут доступа к пекичу. Роспись на рабочем столе поверх кадра с гей-порно оказывает на юзера куда большее влияние, чем какой-то e-mail.

ТС, по теме тебе надо переустанавливать всю систему. Юзерские файлы которые запускаются не запускать и вообще провести массовую сверку их с бэкапами, как и сверку самих бэкапов за разные периоды. Всё это делать в рид онли режиме монтирования с опциями отключения запуска. Проверять разумеется скриптами, например, на хеш-суммы или даже побитово, если паникёр.

На линаксе (да и не на линаксе тоже), единственное чем ты можешь себе помочь - переустановить все с нуля. Вообще все, до чего сможешь дотянуться с того компа, где у тебя был рут. Не использовать (или перепроверить) весь софт/скрипты и прочее, который был сохранен, и планировал использовать снова. Никакие clamav и прочее тебе (в худшем случае) не помогут. Если рутованый телефон с adb - его тоже перешивай ) Роутер, телеки итд )

А так, конечно, неплохо было бы изучить логи, какие есть, и выполнить прочие соотвествующие действия )

Когда украден пароль рута, логи чуть более чем совсем бесполезны, если только они не на почту отсылаются

Ну тут как. Если там ничего нет, то это ничего и не значит. Но что-то можно забыть / не заметить потереть. Не все делается вручную, системы могут быть разными

https://krebsonsecurity.com/2018/07/sextortion-scam-uses-recipients-hacked-passwords/comment-page-27/

https://nakedsecurity.sophos.com/2020/04/20/new-sextortion-scam-high-level-of-risk-your-account-has-been-hacked/

гы

Погугли тело своего письма, будет понятно к какой кампании относится :)

верный - root

и мне приходило подобное - единственное пароль был указан неверно - сильно подивился наглости вымогателей…

Мне тоже пришло, но шляпный пароль, который я использую на всех подозрительных васянских сайтах.

А вообще я использую генератор паролей, <генерируемый пароль> =generate("секретное слово", "aber@linux.org.ru")

p.s. камера есть, поросайты посещаю, если у них есть видео пусть пришлют скриншот :)

Мде, столько комментаторов и ни один не написал, что это плохая попытка взять на испуг.

Мне прошлым летом таких писем 5 штук было, причём как на английском, так и через Google Translate.

Но ты ТС срочно бойся, в бункер!

И люк за собой закрыть не забудь)

Так что spam+scam+blackmail

Хотя вру, один написал)

Я этого понять не могу, если бы я залез в чей то комп с такой целью, я бы всё таки скачал бы что то интересное и дорогое.

Всё правильно сделали. С остальным трудно возится, да и ручной труд.

А так троян передаёт тебе хеши паролей. Почтовый ящик.

Сложные пароли не выломаются, ну и фиг с ними.

Те, которые ломанулись — тому письмо.

Всё автоматизируется легко.

Хотя скорее всё тупее и проще — взлом какого-то сайта, где тот же самый пароль. Ну и письмо на испуг с указанием его.

Тут как бы в пароле дело, он реальный, в моем случае это простой пароль который я тыкал везде где меня не беспокоила сохранность учетной записи, следовательно кто-то занимается фишингом по утекшей базе email + пароль. Чтоб найти источник датафида, мне достаточно поискать в ящике, куда пришел спам, письма подтверждающие регистрацию от разных сайтов, последние 5 лет почти не пользовался тем ящиком, так что список будет не очень длинным.

Ну да, но тогда подозреваю, что у ТСа стоял пароль 123456

От «тупых» ботов хорошо спасает повесить ssh на нестандартный порт.

Запости адрес. Посмотрим, сколько биткоинов уже наворовали.

𝙿𝚞𝚛𝚌𝚑𝚊𝚜𝚎 𝚄𝚂𝙳 𝟸𝟶𝟶𝟶 𝚒𝚗 𝚋𝚒𝚝𝚌𝚘𝚒𝚗 𝚊𝚗𝚍 𝚜𝚎𝚗𝚍 𝚒𝚝 𝚝𝚘 𝚝𝚑𝚎 𝚋𝚎𝚕𝚘𝚠 𝚊𝚍𝚍𝚛𝚎𝚜𝚜:

18jo6prauEUcvt4vkq*HkdwA7PGui9c8gCo [𝚌𝚊𝚜𝚎-𝚜𝚎𝚗𝚜𝚒𝚝𝚒𝚟𝚎 𝚌𝚘𝚙𝚢 𝚊𝚗𝚍 𝚙𝚊𝚜𝚝𝚎 𝚒𝚝, 𝚊𝚗𝚍 𝚛𝚎𝚖𝚘𝚟𝚎 * 𝚏𝚛𝚘𝚖 𝚒𝚝]

Поди с поднятым ssh-ом с тем же паролем или с паролем вида 1234, да?

Ну а как иначе))?

ТС, по теме тебе надо переустанавливать всю систему. Юзерские файлы которые запускаются не запускать и вообще провести массовую сверку их с бэкапами, как и сверку самих бэкапов за разные периоды. Всё это делать в рид онли режиме монтирования с опциями отключения запуска. Проверять разумеется скриптами, например, на хеш-суммы или даже побитово, если паникёр.

Блин, вот думаю ОС переустановить, но вот вопрос - может ли зараза сидеть в файлопомойке (сколько то там террабайт и хренова туча файлов) и /или конфигах (их то я обычно сохраняю).

https://krebsonsecurity.com/2018/07/sextortion-scam-uses-recipients-hacked-passwords/comment-page-27/

https://nakedsecurity.sophos.com/2020/04/20/new-sextortion-scam-high-level-of-risk-your-account-has-been-hacked/

гы

Погугли тело своего письма, будет понятно к какой кампании относится :)

Первое очень похоже, но, б**ть, там МОЙ пароль, что меня сильно раздражает…

Мде, столько комментаторов и ни один не написал, что это плохая попытка взять на испуг.

Мне прошлым летом таких писем 5 штук было, причём как на английском, так и через Google Translate.

Но ты ТС срочно бойся, в бункер!

Конечно боюсь, когда ТВОЙ пароль рута присылают ТЕБЕ на почту. Ещё раз, этот пароль мною больше ни ГДЕ не используется. Не светиться. Не повторяется. Это пароль был только на этой машине. Только.

А тут и наработки по работе, и бухгалтерия, и много чего всего…

всего 10млн. возможных комбинаций, они же не руками пароль подбирают

А таймаут на ввод нового пароля для чего сделан?

А таймаут на ввод нового пароля для чего сделан?

У меня на роутере таймауты и на подбор были выставленны, и на попытки заломиться через ССХ, РДП, но вот нахрена-то я его отключил. На неделю. Дебил (Я).

А в системе есть таймаут по умолчанию? ОпенСьюз. Даже и не знаю…

на роутере

Роутер сам делал или купил в магазине?

Если купил в мпгазине то сам понимаешь…

Хотя скорее всё тупее и проще — взлом какого-то сайта, где тот же самый пароль. Ну и письмо на испуг с указанием его.

Пароль ТОЛЬКО на этой машине. ТОЛЬКО.