Поздравьте, меня хакнули.

Ответить
Shurale
Фельдфебель
Фельдфебель
Сообщения: 779
Зарегистрирован: 20 апр 2005, 10:03

Сообщение Shurale » .

Вот уж не ожидал такого, а оно произошло.
У меня дома много лет работал сервачок под Ubuntu, на котором помимо файлового хранилища с фотками и различными документами крутилось ещё много чего полезного, привычного и любимого: интернет-радио со множеством каналов любимой музыки, разбитой по жанрам; фидошная нода; телефонный автоответчик и ещё куча всего, что собиралось, настраивалось и использовалось буквально годами.
Как-то вся эта красота стала недоступна. Полез выяснять, думал, что разделы перестали монтироваться. А оказалось, что все данные на них стёрты. В /home обнаружился файлик READ_ME.txt следующего содержания:
"We have secured and backed up your files and databases in a safe place!
To get your database back, you have to pay 1 Bitcoin within 24 hours. If not, we will leak your files and databases to the public.
Please pay to this Bitcoin address 3Q3YX3TnLJu3SuAn1JTuadQJG72ZcA3a7U.
After sending Bitcoin, please send the transaction ID and your server IP address to this email address johndonker666@protonmail.com
We will send link to get your files and databases to your email address."
Как я понимаю, злодей подобрал логин и не слишком простой пароль для ssh-сессии. Сколько же времени на это было потрачено?
И сумма выкупа ещё несколько смущает. Выходит, что это было сделано из любви к искусству :)
Alexander_SAS
Поручик
Поручик
Сообщения: 6286
Зарегистрирован: 13 июл 2006, 15:01

Сообщение Alexander_SAS » .

1 биткоин просят :)
по курсу
646 242 рублей вроде как.
Скорее всего не подбором паролей, а через уязвимость в ПО которое за это время сильно устарело, и не обновлялось. По портам опросили, нашли это ПО. Время думаю совсем мало (файлы скорее просто удалили, зачем им копия), попробуйте, восстановить диск загрузившись с другого носителя например с флешки или CD.
(напишите этому гаврику чтобы прислал вам какой то конкретный файлик :) убедиться что копия есть :) )
Может резервная копия была?
Теперь можно обновить железо :) и запустить всё тоже самое на виртуалке :) из любви к искусству :)
Shurale
Фельдфебель
Фельдфебель
Сообщения: 779
Зарегистрирован: 20 апр 2005, 10:03

Сообщение Shurale » .

Изначально написано Alexander_SAS:
1 биткоин просят :)
по курсу
646 242 рублей вроде как.

Хрена се... Отстал я от жизни.
файлы скорее просто удалили, зачем им копия

Я тоже так думаю. Там почти терабайт данных был.
запустить всё тоже самое на виртуалке :) из любви к искусству :)

Всё и было в контейнерах LXC. Тем удобнее было с ними расправиться - снёс каталоги, и всё :)
Написать ему - это мысль. Попробую без матов.
Но платить не стал бы ни копейки в любом случае :)
Henri
Прапорщик
Прапорщик
Сообщения: 2500
Зарегистрирован: 23 июн 2009, 03:04

Сообщение Henri » .

Изначально написано Shurale:

Но платить не стал бы ни копейки в любом случае :)

А почему вы не хотите оплатить работу? Человек старался, находил уязвимости в вашей системе. Оплату попросил постфактум.
Alexander_SAS
Поручик
Поручик
Сообщения: 6286
Зарегистрирован: 13 июл 2006, 15:01

Сообщение Alexander_SAS » .

Террористам нельзя платить, да и на фига :) 99% всей инфы восполнима, или не нужна :)
Egolf
Поручик
Поручик
Сообщения: 5739
Зарегистрирован: 30 апр 2003, 00:13

Сообщение Egolf » .

Поздравляю, раз просите )
Alexander_SAS дело говорит, почти всё можно восстановить так или иначе.
Ну и бэкап нужен так или иначе. Он же был? :D
Это кстати очередной случай, когда бэкап решает.
Ну и явно хакнули не day0, а просто мамкины хулкацкеры нашли стандартным скриптом старую уязвимость в вашей системе, т.к. никто её не обновлял и pen тестов не делал.
Shurale
Фельдфебель
Фельдфебель
Сообщения: 779
Зарегистрирован: 20 апр 2005, 10:03

Сообщение Shurale » .

Изначально написано Henri:

Человек старался, находил уязвимости в вашей системе.

Так он же, зараза, не поделился со мной этой информацией :)
Изначально написано Alexander_SAS:
Террористам нельзя платить, да и на фига :) 99% всей инфы восполнима, или не нужна :)

Согласен и с первым и со вторым. Сделаю и снова буду пользоваться. До следующего кулхацкера :)
Изначально написано Egolf:
Ну и бэкап нужен так или иначе. Он же был? :D

Почти терабайт данных бэкапить... Ну, в принципе, есть куда. Теперь будет.
Ну и явно хакнули не day0, а просто мамкины хулкацкеры нашли стандартным скриптом старую уязвимость в вашей системе, т.к. никто её не обновлял и pen тестов не делал.

Хост-систему обновлял регулярно. Вот в контейнерах не обновлял, да. Но как из изолированной среды можно на хосте похозяйничать? Для меня пока загадка.
Shurale
Фельдфебель
Фельдфебель
Сообщения: 779
Зарегистрирован: 20 апр 2005, 10:03

Сообщение Shurale » .

В качестве средства защиты я остановился на fail2ban.
Это если кому интересно, как свой линуксовый сервак защитить.
А если кто-то сомневается, что и его тоже пытаются ломануть, просто посмотрите логи:
sudo cat /var/log/auth.log | grep Failed
Вот где офуеть-не-встать.
Аватара пользователя
Rakshas
Прапорщик
Прапорщик
Сообщения: 2769
Зарегистрирован: 28 дек 2009, 20:55
Страна: Российская Федерация
Откуда: Питер

Сообщение Rakshas » .

Shurale писал(а):А если кто-то сомневается, что и его тоже пытаются ломануть, просто посмотрите логи:
Да. На сайтах постоянно логи пухнут - сканируют на наличие админок популярных CMS. Тяжело найти то, чего нет. :D
ayf
Штабс-капитан
Штабс-капитан
Сообщения: 6907
Зарегистрирован: 24 янв 2005, 13:55

Сообщение ayf » .

Да это постоянно. Но при этом, в линуксе хрен вылечишь. Только ставить новую систему.
Werewolf_Zarin
Подполковник
Подполковник
Сообщения: 16554
Зарегистрирован: 25 ноя 2008, 03:19

Сообщение Werewolf_Zarin » .

Изначально написано Shurale:
Сколько же времени на это было потрачено?

Да не сколько, не представляете сколько появляется уязвимостей если например не обновить файрвол. :D
К сожалению обновы всяких примочек происходит после череды взломов, как вышла новая заплатка вы потенциальная жертва взлома до обновы, это надо помнить постоянно. Ну и бэкапить от подобной чешуи. Да дорого, но ваши домашние фотографии и гиги доков дешевле?
Тоже владелец сервера. :P
А длинна и заковыристость вашего пароля интересно только школоте.
Seytar
Поручик
Поручик
Сообщения: 4950
Зарегистрирован: 05 окт 2009, 17:48
Страна: Российская Федерация
Откуда: Москва

Сообщение Seytar » .

Я когда сервак вешаю на белый IP роутера, через минут 20 порт Ehternet дымиться начинает от сканов. :) Просто в плане дедика мой сервак вкусный очень. Белый IP, 300 Мбит симметричный канал.
alex.kzn
Подпоручик
Подпоручик
Сообщения: 4237
Зарегистрирован: 30 мар 2010, 15:35

Сообщение alex.kzn » .

содержимое сервера их не волнует, хакают всё что могут, рассчитывая на авось важные данные
в одной строительной конторе сервер грохнули, а там инфы на миллиард, заплатили биток тогда он меньше 1000 бакинских был
Shurale
Фельдфебель
Фельдфебель
Сообщения: 779
Зарегистрирован: 20 апр 2005, 10:03

Сообщение Shurale » .

Изначально написано alex.kzn:
содержимое сервера их не волнует, хакают всё что могут, рассчитывая на авось важные данные
в одной строительной конторе сервер грохнули, а там инфы на миллиард, заплатили биток тогда он меньше 1000 бакинских был

И что, вернули им данные?
alex.kzn
Подпоручик
Подпоручик
Сообщения: 4237
Зарегистрирован: 30 мар 2010, 15:35

Сообщение alex.kzn » .

Изначально написано Shurale:

И что, вернули им данные?

да
Ответить

Вернуться в «Компьютеры и программы»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость