Поздравьте, меня хакнули.
Вот уж не ожидал такого, а оно произошло.
У меня дома много лет работал сервачок под Ubuntu, на котором помимо файлового хранилища с фотками и различными документами крутилось ещё много чего полезного, привычного и любимого: интернет-радио со множеством каналов любимой музыки, разбитой по жанрам; фидошная нода; телефонный автоответчик и ещё куча всего, что собиралось, настраивалось и использовалось буквально годами.
Как-то вся эта красота стала недоступна. Полез выяснять, думал, что разделы перестали монтироваться. А оказалось, что все данные на них стёрты. В /home обнаружился файлик READ_ME.txt следующего содержания:
"We have secured and backed up your files and databases in a safe place!
To get your database back, you have to pay 1 Bitcoin within 24 hours. If not, we will leak your files and databases to the public.
Please pay to this Bitcoin address 3Q3YX3TnLJu3SuAn1JTuadQJG72ZcA3a7U.
After sending Bitcoin, please send the transaction ID and your server IP address to this email address johndonker666@protonmail.com
We will send link to get your files and databases to your email address."
Как я понимаю, злодей подобрал логин и не слишком простой пароль для ssh-сессии. Сколько же времени на это было потрачено?
И сумма выкупа ещё несколько смущает. Выходит, что это было сделано из любви к искусству
У меня дома много лет работал сервачок под Ubuntu, на котором помимо файлового хранилища с фотками и различными документами крутилось ещё много чего полезного, привычного и любимого: интернет-радио со множеством каналов любимой музыки, разбитой по жанрам; фидошная нода; телефонный автоответчик и ещё куча всего, что собиралось, настраивалось и использовалось буквально годами.
Как-то вся эта красота стала недоступна. Полез выяснять, думал, что разделы перестали монтироваться. А оказалось, что все данные на них стёрты. В /home обнаружился файлик READ_ME.txt следующего содержания:
"We have secured and backed up your files and databases in a safe place!
To get your database back, you have to pay 1 Bitcoin within 24 hours. If not, we will leak your files and databases to the public.
Please pay to this Bitcoin address 3Q3YX3TnLJu3SuAn1JTuadQJG72ZcA3a7U.
After sending Bitcoin, please send the transaction ID and your server IP address to this email address johndonker666@protonmail.com
We will send link to get your files and databases to your email address."
Как я понимаю, злодей подобрал логин и не слишком простой пароль для ssh-сессии. Сколько же времени на это было потрачено?
И сумма выкупа ещё несколько смущает. Выходит, что это было сделано из любви к искусству
-
- Поручик
- Сообщения: 6464
- Зарегистрирован: 13 июл 2006, 15:01
1 биткоин просят
по курсу
646 242 рублей вроде как.
Скорее всего не подбором паролей, а через уязвимость в ПО которое за это время сильно устарело, и не обновлялось. По портам опросили, нашли это ПО. Время думаю совсем мало (файлы скорее просто удалили, зачем им копия), попробуйте, восстановить диск загрузившись с другого носителя например с флешки или CD.
(напишите этому гаврику чтобы прислал вам какой то конкретный файлик убедиться что копия есть )
Может резервная копия была?
Теперь можно обновить железо и запустить всё тоже самое на виртуалке из любви к искусству
по курсу
646 242 рублей вроде как.
Скорее всего не подбором паролей, а через уязвимость в ПО которое за это время сильно устарело, и не обновлялось. По портам опросили, нашли это ПО. Время думаю совсем мало (файлы скорее просто удалили, зачем им копия), попробуйте, восстановить диск загрузившись с другого носителя например с флешки или CD.
(напишите этому гаврику чтобы прислал вам какой то конкретный файлик убедиться что копия есть )
Может резервная копия была?
Теперь можно обновить железо и запустить всё тоже самое на виртуалке из любви к искусству
Изначально написано Alexander_SAS:
1 биткоин просят
по курсу
646 242 рублей вроде как.
Хрена се... Отстал я от жизни.
файлы скорее просто удалили, зачем им копия
Я тоже так думаю. Там почти терабайт данных был.
запустить всё тоже самое на виртуалке из любви к искусству
Всё и было в контейнерах LXC. Тем удобнее было с ними расправиться - снёс каталоги, и всё
Написать ему - это мысль. Попробую без матов.
Но платить не стал бы ни копейки в любом случае
Изначально написано Shurale:
Но платить не стал бы ни копейки в любом случае
А почему вы не хотите оплатить работу? Человек старался, находил уязвимости в вашей системе. Оплату попросил постфактум.
-
- Поручик
- Сообщения: 6464
- Зарегистрирован: 13 июл 2006, 15:01
Террористам нельзя платить, да и на фига 99% всей инфы восполнима, или не нужна
Поздравляю, раз просите )
Alexander_SAS дело говорит, почти всё можно восстановить так или иначе.
Ну и бэкап нужен так или иначе. Он же был?
Это кстати очередной случай, когда бэкап решает.
Ну и явно хакнули не day0, а просто мамкины хулкацкеры нашли стандартным скриптом старую уязвимость в вашей системе, т.к. никто её не обновлял и pen тестов не делал.
Alexander_SAS дело говорит, почти всё можно восстановить так или иначе.
Ну и бэкап нужен так или иначе. Он же был?
Это кстати очередной случай, когда бэкап решает.
Ну и явно хакнули не day0, а просто мамкины хулкацкеры нашли стандартным скриптом старую уязвимость в вашей системе, т.к. никто её не обновлял и pen тестов не делал.
Изначально написано Henri:
Человек старался, находил уязвимости в вашей системе.
Так он же, зараза, не поделился со мной этой информацией
Изначально написано Alexander_SAS:
Террористам нельзя платить, да и на фига 99% всей инфы восполнима, или не нужна
Согласен и с первым и со вторым. Сделаю и снова буду пользоваться. До следующего кулхацкера
Изначально написано Egolf:
Ну и бэкап нужен так или иначе. Он же был?
Почти терабайт данных бэкапить... Ну, в принципе, есть куда. Теперь будет.
Ну и явно хакнули не day0, а просто мамкины хулкацкеры нашли стандартным скриптом старую уязвимость в вашей системе, т.к. никто её не обновлял и pen тестов не делал.
Хост-систему обновлял регулярно. Вот в контейнерах не обновлял, да. Но как из изолированной среды можно на хосте похозяйничать? Для меня пока загадка.
В качестве средства защиты я остановился на fail2ban.
Это если кому интересно, как свой линуксовый сервак защитить.
А если кто-то сомневается, что и его тоже пытаются ломануть, просто посмотрите логи:
sudo cat /var/log/auth.log | grep Failed
Вот где офуеть-не-встать.
Это если кому интересно, как свой линуксовый сервак защитить.
А если кто-то сомневается, что и его тоже пытаются ломануть, просто посмотрите логи:
sudo cat /var/log/auth.log | grep Failed
Вот где офуеть-не-встать.
- Rakshas
- Подпоручик
- Сообщения: 3885
- Зарегистрирован: 28 дек 2009, 20:55
- Страна: Российская Федерация
- Откуда: Питер
Да. На сайтах постоянно логи пухнут - сканируют на наличие админок популярных CMS. Тяжело найти то, чего нет.Shurale писал(а):А если кто-то сомневается, что и его тоже пытаются ломануть, просто посмотрите логи:
Да это постоянно. Но при этом, в линуксе хрен вылечишь. Только ставить новую систему.
-
- Полковник
- Сообщения: 18350
- Зарегистрирован: 25 ноя 2008, 03:19
Изначально написано Shurale:
Сколько же времени на это было потрачено?
Да не сколько, не представляете сколько появляется уязвимостей если например не обновить файрвол.
К сожалению обновы всяких примочек происходит после череды взломов, как вышла новая заплатка вы потенциальная жертва взлома до обновы, это надо помнить постоянно. Ну и бэкапить от подобной чешуи. Да дорого, но ваши домашние фотографии и гиги доков дешевле?
Тоже владелец сервера.
А длинна и заковыристость вашего пароля интересно только школоте.
содержимое сервера их не волнует, хакают всё что могут, рассчитывая на авось важные данные
в одной строительной конторе сервер грохнули, а там инфы на миллиард, заплатили биток тогда он меньше 1000 бакинских был
в одной строительной конторе сервер грохнули, а там инфы на миллиард, заплатили биток тогда он меньше 1000 бакинских был
Изначально написано alex.kzn:
содержимое сервера их не волнует, хакают всё что могут, рассчитывая на авось важные данные
в одной строительной конторе сервер грохнули, а там инфы на миллиард, заплатили биток тогда он меньше 1000 бакинских был
И что, вернули им данные?
Изначально написано Shurale:
И что, вернули им данные?
да
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 5 гостей