Взломали панель и повесили майнер

Защита сервера от взлома, антивирус, файрвол, SSL-сертификаты и прочие вопросы, связанные с безопасностью данных.
Аватара пользователя
KyKyIIIKuH
Сообщения: 268
Зарегистрирован: Ср мар 14, 2018 11:04 am

Re: Взломали панель и повесили майнер

Сообщение KyKyIIIKuH » Вс авг 16, 2020 7:16 pm

zulicheg писал(а):
Вс авг 16, 2020 7:12 pm
KyKyIIIKuH писал(а):
Вс авг 16, 2020 7:05 pm
я не настолько ламер))
все проверил, там только за те дни которые написаны на скрине
а, мелкий скриншот не обратил внимание на даты. Ничего не менял в ротации логов? У меня логи с 19 июля
ну в ротации было "Хранить количество старых логов: 4"
сейчас поменял на 60

но уже поздно :lol: :lol:
Screenshot_20200816_221509.png
Screenshot_20200816_221509.png (16.55 КБ) 6841 просмотр
Alma Linux 8 - KVM
Текущая версия: 1.0941.20220818
Linux 4.18.0-348.20.1.el8_5.x86_64

vikont
Сообщения: 271
Зарегистрирован: Сб ноя 11, 2017 10:51 pm

Re: Взломали панель и повесили майнер

Сообщение vikont » Вс авг 16, 2020 10:31 pm

У себя тоже нашел весь набор!
Подключился вчера 15.08.2020 ночью.
Лог за эту дату удален.

zulicheg
Сообщения: 103
Зарегистрирован: Пн июн 15, 2020 1:48 pm

Re: Взломали панель и повесили майнер

Сообщение zulicheg » Вс авг 16, 2020 11:19 pm

vikont писал(а):
Вс авг 16, 2020 10:31 pm
У себя тоже нашел весь набор!
Подключился вчера 15.08.2020 ночью.
Лог за эту дату удален.
Не терпится услышать комментарии разрабов.

vikont
Сообщения: 271
Зарегистрирован: Сб ноя 11, 2017 10:51 pm

Re: Взломали панель и повесили майнер

Сообщение vikont » Вс авг 16, 2020 11:46 pm

Давайте сверим: У кого какой провайдер
У меня bitweb.

Зачем? А я вдруг обнаружил, что мой FTP сервер ломится ко мне на 21 порт! Заметте, не я к нему а он ко мне! При том не имея к моему серверу доступа! Не давал и нет у него такой функции.
Техподдержка мне пишет, что не дурите голову, мол мой FTP сервер не может причинить мне вреда! А зачем он тогда вообще ломится нс сервер? В ответ тишина.
Проблема в том, что система безопасности блокирует IP FTP сервера, ведь ломится без всяких прав, как взломщик, и потом при бекапировании на заблокированный адрес полностью ложится сервер.
Пока техподдержа хранит молчание.

Аватара пользователя
KyKyIIIKuH
Сообщения: 268
Зарегистрирован: Ср мар 14, 2018 11:04 am

Re: Взломали панель и повесили майнер

Сообщение KyKyIIIKuH » Пн авг 17, 2020 5:57 am

vikont писал(а):
Вс авг 16, 2020 11:46 pm
Давайте сверим: У кого какой провайдер
У меня bitweb.
hetzner
Alma Linux 8 - KVM
Текущая версия: 1.0941.20220818
Linux 4.18.0-348.20.1.el8_5.x86_64

Аватара пользователя
KyKyIIIKuH
Сообщения: 268
Зарегистрирован: Ср мар 14, 2018 11:04 am

Re: Взломали панель и повесили майнер

Сообщение KyKyIIIKuH » Пн авг 17, 2020 6:19 am

в /tmp/test.sh еще файл был, там были команды для создания пользователя
Alma Linux 8 - KVM
Текущая версия: 1.0941.20220818
Linux 4.18.0-348.20.1.el8_5.x86_64

zulicheg
Сообщения: 103
Зарегистрирован: Пн июн 15, 2020 1:48 pm

Re: Взломали панель и повесили майнер

Сообщение zulicheg » Пн авг 17, 2020 9:14 am

vikont писал(а):
Вс авг 16, 2020 11:46 pm
Давайте сверим: У кого какой провайдер
У меня bitweb.
да дата-центр тут не причем, ломают именно через панель. в логах путь /etc/brainycp/api. не могут в одночасье сломать сервера у разных людей где связующее звено панель.

P.S. Суппорт пока молчит.

zulicheg
Сообщения: 103
Зарегистрирован: Пн июн 15, 2020 1:48 pm

Re: Взломали панель и повесили майнер

Сообщение zulicheg » Пн авг 17, 2020 12:07 pm

Поддержка уже полтора часа ковыряется на сервере, но пока внятных ответов нет. Сказали что через webshell взломали, но он не был установлен и включен. Копаются дальше. Если появится инфа отпишусь.

UPD 16:10: Ответ ТС
есть подозрение что пользователь создавался через api, и если использовалось sudo то он явно прошел авторизацию.
подключите группу к юзерам, закройте все им включая API. если он вам не нужен то можете вообще удалить весь каталог API оставьте только один файл api_send.php
Короче все непонятно и загадочно. Сказали еще проверят работу API.

Akrobs
Сообщения: 325
Зарегистрирован: Чт сен 21, 2017 10:48 pm
Откуда: Saint-Petersburg
Контактная информация:

Re: Взломали панель и повесили майнер

Сообщение Akrobs » Пн авг 17, 2020 4:13 pm

zulicheg писал(а):
Пн авг 17, 2020 12:07 pm
Поддержка уже полтора часа ковыряется на сервере, но пока внятных ответов нет. Сказали что через webshell взломали, но он не был установлен и включен. Копаются дальше. Если появится инфа отпишусь.
А какая версия панели у вас была, на момент взлома?

Аватара пользователя
KyKyIIIKuH
Сообщения: 268
Зарегистрирован: Ср мар 14, 2018 11:04 am

Re: Взломали панель и повесили майнер

Сообщение KyKyIIIKuH » Пн авг 17, 2020 5:04 pm

Akrobs писал(а):
Пн авг 17, 2020 4:13 pm
zulicheg писал(а):
Пн авг 17, 2020 12:07 pm
Поддержка уже полтора часа ковыряется на сервере, но пока внятных ответов нет. Сказали что через webshell взломали, но он не был установлен и включен. Копаются дальше. Если появится инфа отпишусь.
А какая версия панели у вас была, на момент взлома?
у меня 1.0813
Alma Linux 8 - KVM
Текущая версия: 1.0941.20220818
Linux 4.18.0-348.20.1.el8_5.x86_64

Ответить