- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов
А 24,9% – на сегмент электронной коммерции
Оксана Мамчуева
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Здравствуйте ув.форумчане. Как вы знаете я владелец хостинга 24-Hoster, и вчера утром в 7:20-30 по МСК был совершён взлом с целью удаления папки var/www, т.е удаление данных всех клиентов.
Взломщик забыл затереть как следует за собой логи своих действий поэтому выкладываю всё тут.
Логи команд
/root/cpu
top Эти две команды мои последние, были сделаны ночью, где то в 1 час ночи по МСК.
Дальше идут команды взломщика.
cat /proc/cpuinfo
cd /var/www
ls | wc -l
ls
cd himiko
ls
mc
ls /dev
cd ~
ls
mc
exit
mount -l
ls /var/lib/nfs/rpc_pipefs
ls /var/lib/nfs/rpc_pipefs/mount/
ls /var/lib/nfs/rpc_pipefs/nfs/
rm -rf /var/www*
hdparm --make-bad-sector
fdisk /dev/sda
Лог входов под аккаунтом root
Aug 20 07:18:48 Kinolive sshd[11697]: Accepted password for root from 221.206.16 4.123 port 56137 ssh2
Aug 20 07:18:48 Kinolive sshd[11697]: pam_unix(sshd:session): session opened for user root by (uid=0)
Aug 20 07:22:06 Kinolive sshd[11697]: pam_unix(sshd:session): session closed for user root
Aug 20 07:22:29 Kinolive sshd[12093]: Accepted password for root from 221.206.16 4.123 port 53040 ssh2
Aug 20 07:22:29 Kinolive sshd[12093]: pam_unix(sshd:session): session opened for user root by (uid=0)
Aug 20 07:22:31 Kinolive sshd[12093]: pam_unix(sshd:session): session closed for user root
Aug 20 07:27:23 Kinolive sshd[12493]: Accepted publickey for root from 221.206.1 64.123 port 39402 ssh2
Aug 20 07:27:23 Kinolive sshd[12493]: pam_unix(sshd:session): session opened for user root by (uid=0)
Aug 20 07:29:52 Kinolive sshd[12726]: Accepted publickey for root from 221.206.1 64.123 port 39404 ssh2
Aug 20 07:29:52 Kinolive sshd[12726]: pam_unix(sshd:session): session opened for user root by (uid=0)
Aug 20 07:37:27 Kinolive sshd[12493]: pam_unix(sshd:session): session closed for user root
IP взломщика на момент входа 221.206.164.123
Имя компьютера: artemz@artemz-laptop
Теперь смотрим этот пост внимательно /ru/forum/503470
.
Приветствую всех.
В этом сначала пытались обвинить меня, поэтому я провёл аудит.
Злоумышленник зашёл и положил ключ ssh. И видимо 1 в 1 скопировал его в authorized_keys. :)
Вот его слепок:
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAsOOgUq0B9qsrsOqRXLbjId+O8F5hksV+bvWk7DA799e7oe6uKax1+/awn6SOzwqopMQVv7jTzQCfCNb07iZ753LqvkWD5Z7xren
YW3vv8crCRqHfk6oYtKC43GORRKuYLTMarZKP/5NYjVgitLENcqY3lW7Mpf4OoAoiaDO0SSBv7cFZnUyWZgKP+sp5wcjKtHj9UHEUXCjq9A+R7PI4cjTqEdl3BqduvPKHdy
pwHgYU8a3ov7iyE+ih4WmgxzOAA12Z7eGcEomhDYxe67MIoHshIu1GaUqTq7ulSJJlOUGRPce3ps8oG4xX2lGVjE8mZw16KzzjWpn99Y7FzqTo4w==artemz@artemz-laptop
Ни кого не хочу обвинять (это дело суда), но в этом посте /ru/forum/503470 явно написано имя компьютера и юзер, под которым сидит ArtemZ c форума. Так же он пользуется теми же прокси китайскими.
Спалился :) Выезжаем? )
Хацкер-неудачник :)
Ну теперь спокойно можете посадить его.
Не понял двух пунктов.
1) Как определили имя компьютера взломщика artemz@artemz-laptop?
2) Как злоумышленник смог зати на сервер и положить ключ ssh?
Не понял двух пунктов.
1) Как определили имя компьютера взломщика artemz@artemz-laptop?
2) Как злоумышленник смог зати на сервер и положить ключ ssh?
1. Посмотрите ssh-ключ выше в моём посте. В нём прописывается юзер и комп в конце) Нужные данные выделены жирным
2. Это точно не известно, он каким-то образом узнал root-пароль. Видимо потом сделал ключ, чтобы смена пароля ему не повредила.
был совершён взлом с целью удаления папки var/www, т.е удаление данных всех клиентов.
папку ему удалось снести?
Нам удалось связаться с одной компанией, сервер которой он администрирует. Слепки ssh-ключей совпали и мы имеем неопровержимые доказательства вины Артёма Жиркова
Компания до суда пожелала не учавствовать в баталиях и не выдавать себя в собственных же интересах. Но они любезно согласились помочь на суде и предоставить нужные данные со своих серверов для доказания вашей вины Артём Жирков
Я готов не доводить дело до суда, если вы, уважаемый Артём Жирков, свяжитесь со мной и возместите убытки, а так же принесёте публичные извинения моим клиентам.
.
странно :)
все отжиги всегда по пятницам :)
так папка юзеров уцелела?
так папка юзеров уцелела?
Папка var/www удалена полностью
Интересно, а что вы сможете доказать в суде?