взломали сервер?

Посмотреть откуда ходили, если не почистили историю команд, то, поди, и логи/wtmp не почистили.

Ресетапить сервер при малейшем подозрении проникновения.

еще бы понимать, как wtmp «расшифровать», вижу там левые IP адреса, но вот как понять через что заходили, а точнее откуда пароль…

ts/0root 52.231.33.167

ts/0root 5.249.150.57

ts/1root tmux(11378).%0

Остальное моя подсеть (SSH и FTPD)

Никому пароли не давал, кроме саппорта Leaseweb.

wat

Посмотрел в auth.log, попыток авторизоваться тонна, а вот с этих двух правильно подобрали пароль… либо БД Leaseweb ковырнули, либо подобрали (там сложный пароль был). Вопрос, эти следы что могут негативного нести? достаточно ли смены пароля рута и удаления этих записей или что-то еще искать?..

Раз запускали текстовый редактор, значит это был человек. Раз этим текстовым редактором был nano, значит хакер, который взломал твой сервер, был совсем зелёный ламер и возможно школьник. То что он не сбросил историю команд и логи ещё раз подтверждает его ламерство.

Но цель он свою наверняка выполнил, похоже что он использовал твой сервер с целью переподписывания HTTPS-сертификатов для каких-то своих подозрительных доменов, которые ты перечислил. А подозрительные они потому, что в них используются общепринятые и легкоузнаваемые имена и торговые марки.

azure-update – Azure, облачный сервис компании Microsoft.
msdn – MSDN, крупнейший портал разработчиков которые используют продукты Microsoft.
wsus-check – Сервер сервиса Windows Update.

От греха я бы переставил систему и переразвернул на ней сервисы, предварительно сделав их аудит.

У тебя на SSH пароль? Его влёгкую могли подобрать. В следующий раз делай авторизацию только по ключу.

А есть мануал что это и как сделать? А то я не линуксоид, я просто 100500 лет назад арендовал сервак, пару раз менял (на более мощный в ту же цену), и администрирую на уровне «РНР работает, МуСкул работает, НодеЖС работает, перекрестимся»…

Мануалы для всего этого есть в интернете, например, у DigitalOcean неплохие мануалы по развёртыванию PHP, MySQL, NodeJS на разных дистрибутивах Linux. Но если лень копаться в этом массиве данных самому, можно нанять какого-нибудь специалиста, он поможет вам всё настроить как нужно.

К тому же, по той информации, которую вы предоставили, неизвествен вектор атаки. Возможно злоумышленник смог проникнуть к вам используя залитый shell через уязвимости в PHP или ваших PHP-скриптах. Проверьте все системные файлы каким-нибудь антивирусом вроде ClamAV, возможно он найдёт какие-нибудь скрытые майнеры или shell’ы.

Возможно через FTP, там тоже часто могут сломать пароль и залить shell, через который потом выполнять команды. Судя по всему, у злоумышленника доступ к root имеется тоже, раз он имеет возможность перезапускать Web-сервер.

https://wiki.archlinux.org/title/OpenSSH

Полно мануалов гуглится по поводу настройки ssh авторизации по ключу, допустим: https://firstvds.ru/technology/dobavit-ssh-klyuch

Суть, что генерится два файла, один копируется на сервер, другой вы используете на своём компе вместо пароля. Ну и запрещаете авторизацию по паролю. Хотя я как-то не верю, что сложный пароль можно подобрать. Я бы попытался выделить все ip адреса с которых были попытки авторизаии и посмотреть кол-во попыток с каждого адреса. Если с разных ip долбились много раз, а с этих двух ip-адресов зашли сразу, то это подозрительно.

И я не понял, «пароль» или «пароли»? То есть были заходы под разными логинами или только root'ом?

Ну ещё имеет смысл запрещать логин root'ом, сначала заход обычным пользователем, потом su/sudo. Тогда для подбора/перебора сначала нужно угодать логин. Особенно, если админов несколько, для каждго админа своего пользователя, чтобы как-то отличать когда кто заходил.

Ну, и если пароль утёк через поддержку, а вы снова им его предоставите, дак снова может утечь...

Его влёгкую могли подобрать.

fail2ban + 50-значный пароль - легко?

Раз этим текстовым редактором был nano, значит хакер, который взломал твой сервер, был совсем зелёный ламер и возможно школьник.

Прекрасная аналитика. А если б он через емакс или вим файл правил, знач сразу не ламер. Но раз нано, который тебе не нравится, значит школьник.

Люблю лор.

Его влёгкую могли подобрать За какое время можно подобрать через sshd хотя бы 8 символьный пароль?:) Давай посчитаем. Был о тебе лучшего мнения.

Узнал себя?

Его влёгкую могли подобрать За какое время можно подобрать через sshd хотя бы 8 символьный пароль?:) Давай посчитаем.

Давай. ТС говорил про то, что он сообщал какие-то пароли тех. поддержке. Кроме того, у ТС’а пароль этот мог быть словарным. А ещё он написал что таки да, подобрали:

Посмотрел в auth.log, попыток авторизоваться тонна, а вот с этих двух правильно подобрали пароль…

Был о тебе лучшего мнения.

Научись уже правильно цитировать.

Кто тебя взломал, камон. Это же надо, не почистить логи. Или они не могли почистить их?

Никому пароли не давал, кроме саппорта Leaseweb.

Пароли после этого менял?

Не возмущайся. В следующий раз следи за логами, так перейдешь в студенты.

мальшик. энтропия пароля = (количество символов)* lg2 (вариантов символа). lg2 -логарифм по основанию 2.
для пароля, содержащего как верхний, так и нижний регистр символов, цифр и знаков препинания, будет иметь 10 + 26 + 26 + 32 = 94 варианта символа.
lg2 (94) = 6,55
твои 50 символов, которые хрен запомнишь и один фиг будешь где-то как-то хранить в какомнить файлике или в кr00tом кипасе, эквивалетны 327 битам.
что круче 256 битного ключа, которым давно никто не пользуется, но сильно слабее 4кб ключа.

фаил2бан бесполезен при распредленном простукивании твоего сервера, что при размерах современных ботнетов не проблемма.
крайний раз судя пол логам простукивались каждый раз с нового ip. и повторений не встречал (хотя и не скажу что отследил все…)

а насколько ключ безопаснее, чем стойкий пароль + google аутентификатор?

сюда бы добавить подбор имени пользователя, отличного от root

ты хочешь к ssh добавить модуль от гугля ?? мда, ахиренная забота о безопасности, вот прям аж рассмешил…

а эти модули разве не по открытой лицензии распространяются? и разе гугл никакого вклада в другое спо не вносит, в то же ядро?

Причем даты создания разные, февраль, апрель, октябрь… мой сервер по-тихой в ботнет вовлекли?

Не просто в ботнет, а ажно C&C видимо.

Кроме смены пароля на root что еще сделать?

Полный пересетап, без альтернатив.

да пофих, если честно. почитай сколь времени потребуется для подбора хотя бы 4кб RSA-ключа.

В порядке очередности
1. Пересетап, по возможности с обновлениями бивисов и прошивкой IPMI / DRAC или что там используется для удаленного управления
2. Заказ сусурити аудита у кого-нибудь компетентного. Нет, не у техподдержки лизвеба.

да без разницы что-куда гугель пишет, но вот давать знать гуглю о каждом моем входе на мой же сервер как-то глупо.
хотя согласен, может и не круто, и не современно, и не продвинуто….

а вот, к примеру, живя в каком-нить крыму, вдруг неожиданно понять, что доступ к твоему же серверу перекрыт из-за санкций американского правительства… мальчик шел бы ты с такими советами в …. дальше в тиктоке ролики для керативных дебилов смотреть.

какой крым, какие санкции, какое " знать гуглю о каждом моем входе на мой же сервер", что ты несешь…

океюшки. разбираем по буквам.

«стойкий пароль + google аутентификатор» понимаю так:

на каждый вход пишу «длинный стойкий пароль», который скорей всего не помню и храню где-то на компе. оттуда переношу копипастой (куча лишних движений, нудапофих).

плюс к паролю запускается модуль твоего гугло-аутенфикатора, который каким образом меня определяет.
единственный вариант на мой взгляд - связаться с серверами гуглуса и как-то через них проверить что «я» это именно «я».
вот эта связь и доверие к копрорации добра и есть большая глупость: как минимум гугло-серверы могут обрезать вход с неправильных ip-адресов ( прикладной пример - крым несколько лет назад)
а также собирать статистику: где (ip-адрес запроса) кто (кого идентифицировали) какой вход (имя/тип запрашивающего модуля) и хз что с ней делать.

либо чтото не так понял в твоей фразе «стойкий пароль + google аутентификатор» так что глаголь свою телегу, желательно развернуто и подробно.

если умственные способности не позволяют тебе запомнить порядка 20 случайных символов или больше, но не случайных (например некая длинная фраза, известная только тебе), то в этом виноват явно не гугл

если ты даже не удосужился прочитать как работает google authenticator и его аналоги, то это тоже не вина гугла. Никакие гугл сервисы для проверки того, что ты это ты не нужны (для его работы вообще интернет не нужен), нужно только достаточно точное время на устройстве с одноразовыми кодами и на твоем серваке

мои умственные способности позволяют мне передать тяжелую с точки зрения мозга функцию «запоминание несвязанной меж собой информации» компутеру, для которого она легка и естественна.
и это будет гораздо эффективнее. к примеру тот же 4кб ключ RSA (устаревающий кстати и нерекомендуемый) будет аналогичен по сложности подбора полностью случаной последовательности из 610 символов из поля в 94 варианта (a-z,A-Z,0-9 и знаков препинания). при этом подстановка ключа будет работать быстро и эффективно, без всяких копипаст.
и для этого мне гугл не понадобится в принципе.

как неудосужился прочитать кучу других вариантов аппаратных ключей. их мульен и маленькая тележка было придумано, еще со времен rs-232 и LPT ключей. аппаратный lpt-ключ где-то до сих пор валяется. :)
самый главный минус внешних ключей - что он внешний и живет отдельной жизнью.

да и seed-ключ генерации одноразовых время-зависящих ключей надо где-то защищено хранить. в таком варианте мне больше понравился вариант внешнего ключа с маленькой клавиатуркой и дисплеем, с помощью которой вводишь код в ключ и получаешь ответный код.

сколько времени понадобится для распределенного простукивания 94^50 вариантов пароля?

хз. погугли. статей по этому поводу навалом.
заодно сравни с перебором 4кб rsa-ключа.

т.е. ты даже примерно прикинуть не можешь сколько надо времени для подбора пароля из 4х10^98 возможных?

не могу, не программист

В зависимости от поставленной цели, конечно, но обычно никто не будет пытаться перебирать все возможные комбинации логинов и паролей. Ты тем или иным способом узнаешь логин, а потом из базы слитых кредов с другого ресурса входишь с первой-второй попытки.

а насколько ключ безопаснее, чем стойкий пароль + google аутентификатор?

Не знаю, я не безопасник. Но ключ меня ещё никогда не подводил. Да и куда удобнее именно ключом рулить.

Полный пересетап, без альтернатив.

И пересетап должен быть тоже с умом, возможно там шелл в его PHP-или Js-скриптах.

Ему не понравилась энтропия 50 значного пароля.
Я и спрашиваю сколько времени уйдёт на его брутфорс.
Причём тут слитые креды.

Я и спрашиваю сколько времени уйдёт на его брутфорс.

Какой дураг будет брутфорсить в 2021? Когда есть буткиты ...

Ху из буткит?

Ху из буткит?

https://www.securitylab.ru/analytics/432914.php

http://www.freezepage.com/1634522639DKQIFUQFQJ

Гугли ...

Если днс еще на тебя смотрит, отзови ключи. Переустанавливай систему без копирования конфигов.

Я недавно брутфорсил юникс пароль из хеша. Скорость была 500 000 в секунду. Это на четырёх теслах. Это 43 бита за год. Брутфорсить через запущенный ssh просто невозможно, там скорость порядка 10 в секунду.

там речь о бэкдурах.
и этот бэкдур надо еще внедрить, а без физического доступа к железу придется как-то удаленно внедряться.

так и я о том же
товарищ выше утверждал что ключи в 256 бит это уже не тру.
и пароль в 50 знаков тоже не тру.

Ох лол!

4кб ключ RSA (устаревающий кстати и нерекомендуемый)

Но у алгоритмов на эллиптических кривых, идущих на смену RSA, ключи намного короче)