Прийшов час осідлати справжнього Буцефала🏇🏻Приборкай норовливого коня разом з Newxel🏇🏻Умови на сайті
×Закрыть

regBot ubuntu

Привет

Столкнулся с проблемой, что мои сервера на Digital Ocean (Ubuntu 14.04×64) регулярно хакают. Получаю abuse complaint что они (сервера) делают атаки regBot и за это их естественно отключают от сети.

На виртуалках крутится selenium, supervisor и php. И больше ничего. Обновил систему, настроил фаервол, который пропускает из вне только 22 порт.

Подскажите пожалуйста если кто сталкивался с подобной проблемой. Может знаете какой уязвимостью пользуются для создания regBot сетей.

Спасибо
Юрий

LinkedIn
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
настроил фаервол, который пропускает из вне только 22 порт.
ограничьте source IP для SSH только теми адресами, с которых будете заходить сами
если подключаетесь с мобильных операторов — их IP-пулы тоже известны, работы конечно будет больше, но по крайней мере из Китая уже по SSH не залогинятся
но уязвимости в самом SSH достаточно редки и быстро патчатся, после того как о них становится известно, обычно проблема в самих приложениях

1 — Создавать дроплеты без пароля (авторизация по ключу)
2 — установить fail2ban
3 — закрыть все порты кроме необходимых, унести ssh c 22-го
4 — удалить sudo
5 — запретить руту логин по ssh
6 — запускать софт только в контейнерах (lxc, docker)

Сам выполняю только пункт 1, и за последние пару лет, ни единого разрыва :) но я не запускаю вордпресы и прочие решето. С ними обязательно пункт 6.

Да, если удалять судо и запрещать вход по ssh то нужен пароль для рута. Хотя с другой стороны, если юзать core-os то и не нужен. Там как бы под рутом все равно нечего делать.

Фактически правильно настроенная СoreOS способна реализовать весь список без ущерба для функциональности.

Что-то вы свалили сюда все, что не поняли как произошло, имхо. Я имею ввиду новосозданный сервер, IP которого мог 5 минут назад быть чьим-то другим, и даже был!
yum update связывать с брутфорсом что-то новенькое:)
3) исключает 1)
2) Если вы не заходите под паролем, то не значит вы отключили эту возможность! По крайней мере из пункта непонятно!
Откройте для себя fail2ban

Цікаво як вони знаходять хоча б ІР новоствореного сервака.
навряд чи хтось шукає ПЕРСОНАЛЬНО Ваш сервер
просто в наші часи дійсно величезна кількість хостів постійно сканує мережу в пошуках потенційної жертви

тут кто то писал что поднимает ВСД на линуксе у хостера и сразу на второей день идет безумный брутфорс (типа из китая), брутфорс такой что включенный лог разрастался до больших размеров за час. настройте доступ только с определенных айпи.

1. исследуйте логи — там должно быть хоть что-то
2. доступ по SSH сделайте через ключи и отключите доступ по паролю
3. переведите SSH на другой порт и используйте что-то типа fail2ban для борьбы с брутфорсом

Как правило ломается не ssh, а какое-то бажное приложение.

Человек же сказал, что на сервере у него даже httpd нету, а снаружи пропускается только 22. Так вот, второй по популярности вариант — это тупой брутфорс ssh.

Так вначале ломают, получают рута, или превышение полномочий на запуск , а уж потом ставят что хочется конкретному хозяину ботнета.

Скорее всего сломали через пхп.

Посмотрите что у вас в мир смотрит вообще. Определитеcь с кругом подозреваемых софтин и ищите.

Если ломают регулярно — дыра в софте используемом на всех ваших серверах.

Начните с апдейта системы.

Спасибо за идею с пхп. Там php не отрабатывает через веб сервер а просто работает как системный процесс. Веб сервера на серверах нет.

Систему обновил, но не помогло.

Как посмотреть что «в мир смотрит». Речь идет о netstat или о чем-то другом?

В гугл забанили ?

askubuntu.com/...losed-port-on-my-computer

Если писец уже произошёл — ищите в системе левые процессы — я и апачи находил и постфиксы там, где их отродясь не было.

Посмотрите в /tmp , иногда там такие софтинки недочищают.

Если писец уже произошёл — ищите в системе левые процессы

Спорный совет, особенно для контейнера.
Слить данные, залить заведомо чистый образ, залить данные.

Т.е. никому не интересно как оно туда попало?
Где гарантия что не устранив причину — человек не получит через час то же самое?

Как предполагается искать причину на потенциально скомпрометированной системе?
Как вы будете проверять, что ps не фильтрует левые процессы? И что такое «левые» процессы (в Убунте)?

Слить образ и диффнуть относительно заведомо чистого, ок. Про-активно позакрывать проблемные места типа sshd и интерпретатора php.
Искать причину на месте, по живому, занятие сильно на любителя.
Не то чтобы это было совсем бесполезно, но по затратам-отдаче это далеко не лучший вариант.

а что в контейнере нельзя запустить левые процессы?:)

Ну его как минимум нужно пересобрать и перезапустить.

Зачем? Что мне мешает скачать свой скрипт, после того как я оказался внутри контейнера? Ну и запустить после этого?

В теории readonly файловая система и/или без прав на выполнение :)

Ну если захотеть, то есть даже на половину готовые решения coreos.com

Подписаться на комментарии