Я не понимаю, меня взломали или нет?

[Sly_tom_cat]

Peter_I, вот смотрите - рут в ubuntu задизейблен по дефолту (и это не просто прихоть космонавта).
Рут - это первый кандидат на подбор пароля. Т.е. именно рутовый пароль перебирают взломщики. Допустим им надо перебрать 10^8 паролей, что бы с вероятностью близкой к 1 подобрать пароль рута.

А вот теперь представим, что рута нет. Нужно еще примерно столько же переборов, что бы просто угадать имя пользователя, ну даже пусть меньше, допустим 10^6. Ага, но теперь всего нужно перебрать 10^12 комбинаций. Заметили разницу?

А пользователь с правом на sudo это не рут - это администратор. И у него как раз то самое - неизвестное по умолчанию имя. Имя можно подсмотреть из-за спины и в случае интерактивного логина имя пользователя довольно сомнительный элемент повышения безопасности, но в случае удаленного доступа имя становится непредсказуемым и тем самым превращается в элемент повышения безопасности.

Так что, именно таким пользователем и можно заходить на сервер (и по ssh и интерактивно). А не должно быть (точнее ему должен быть запрещен вход и интерактивно и удаленно) именно пользователя root.

Но лучше все же по ключам вход на ssh настроить - это в разы безопаснее чем по логину/паролю.

[Tpona]

О! Ребята, спасибо за написанное.
На сегодняшний день ситуация такова:

Если запретить доступ этим двум пользователям (root и autoru), коннекты прекращаются, менять пароль бесполезно, хватает минут на 5 потом по-новой.

Бекапы у меня скорее всего все зараженные (т.к. максимум 7 дней), в связи с этим не понятно как поступать.
Из ценного там только сайты и содержимое svn.
Сайты - 5 шт, все вместе весят около 28 Гб (много картинок), все, все кроме одного (joomla) в свн-копии на компе есть, сайты в процессе постоянной разработки некоторые. Но! репозиторий хранится на этом же сервере.

Сейчас пытаюсь оптимизировать/сжать изображения для уменьшения общего размера, чтобы выбор VPS-ников был побольше, найду и буду заново настраивать, хотя уже не уверен в себе ...
Почем настройка сервера нынче?

[Sly_tom_cat]

менять пароль бесполезно, хватает минут на 5 потом по-новой.

Скорее всего сбрасывают изнутри посмотрите что в cron-е - может сидит какая зараза. 

Бекапы у меня скорее всего все зараженные (т.к. максимум 7 дней), в связи с этим не понятно как поступать.

а чего же непонятного...

Из ценного там только сайты и содержимое svn.
Сайты - 5 шт, все вместе весят около 28 Гб (много картинок), все, все кроме одного (joomla) в свн-копии на компе есть, сайты в процессе постоянной разработки некоторые. Но! репозиторий хранится на этом же сервере.

А вот репы на рабочем серваке это радикально неправильно.


Сжимать все - честно говоря не понял зачем - недавно брал за 2 бакса VPS в Канаде (поиграться) там диска давали 100Гб (правда проц слабоват и памяти не густо - но это же за 2 бакса всего).

А настраивать - по безопасности вы урок уже получили - уверен усвоили. А в плане остального по себе скажу - лучше чем сам никто ни за какие деньги не настроит. Но есть и vps-ки с настройками - там ценники сильно разнятся (но даже диапазн не скажу - не интересовался).

[Peter_I]

Sly_tom_cat, Согласен, необходимость знать пользователя,
входящего в группу sudo - это дополнительная дверь. Я не знаю,
можно ли узнать пользователя, перехватывая трафик с компьютера.
Если можно, то это ничего не даст.
У меня пароль root'а - 9 символов, можно и больше, если
использовать какую-нибудь бессмыссленную фразу, как это
рекомендуется. Тогда подобрать его будет нереально.
Если ещё сделана авторизация по ключу, а парольный вход
по ssh запрёщён, то пароль важен только для локального входа.
А на компьютере я не вижу надобности заводить пользователя
в группе sudo, удобнее администрировать как root и в его окружении.

[bukass]

Peter_I,
Ну, Вы Петя, и Ваасяя...

Tpona,
А что проверки какие-то проводил?

rkhunter

chrootkit

?

Из всего надо выгоду извлекать. Возьми дамп системы, поковырять потом в песочнице.

[Sly_tom_cat]

У меня пароль root'а - 9 символов, можно и больше, если
использовать какую-нибудь бессмыссленную фразу, как это
рекомендуется. Тогда подобрать его будет нереально.

Реально - все что невозможно. Вопрос только времени...
Ваш из 9-и символов - крайне слабый пароль - времени на подбор много не потребуется.

Если ещё сделана авторизация по ключу, а парольный вход
по ssh запрёщён, то пароль важен только для локального входа.

Так я это с самого начала говорю - на ssh надежнее входить по ключу, но если с ключом неудобно (бывают ситуации) то логинится надо только администратором, но не рутом.

А на компьютере я не вижу надобности заводить пользователя
в группе sudo, удобнее администрировать как root и в его окружении.

Ага очень трудно выполнить из под администратора sudo -i и дальше работать из рутового окружения и с рутовыми правами. 
На столько трудно, что мы наплюем на все советы "не сидеть все время под рутом" и будем дальше топтать виндузовые грабли когда любой зараза запущенная пользователем не нужно парится на предмет повышения привилегий - уже все доступно - делай что хочешь....

[Peter_I]

Sly_tom_cat,
Да, 9 символов - слабый пароль, но на мой домашний компьютер
ещё никто не ломился и это никому не нужно, разве что для
тренировки. IP у меня динамический. И как угадать пароль
неизвестно какой длины, особенно если это фраза
"Моллюски отгрызли мои гарцующие гениталии"?

Всё-таки неприятно, когда есть пользователь с правом sudo,
особенно, если у него простой пароль. Пусть простые пароли
будут у пользователей, а сложный только у root, которому
обычно не надо входить часто. А то получается, что вместо
пароля "sudo -i". И никто и не советует всё время быть root'ом.

[Freezeman]

... найду и буду заново настраивать, хотя уже не уверен в себе ...
Почем настройка сервера нынче?

В видео по ссылке, которую я дал, есть упоминание о lynis. После всех тестов он покажет вам список проблем с кодами, по которым можно найти более развернутое описание.

[Tpona]

Да, спасибо, я начал смотреть вчера, сегодня досмотрю, попробую

[Tpona]

Что за процесс failsafe-x? может ли он запускаться на сервере?
Пока не переехал окончательно пытаюсь узнать все дыры через которые могли пробраться

[Freezeman]

Что за процесс failsafe-x? может ли он запускаться на сервере?

http://igorka.com.ua/2010-02-01/upstart-ubuntu/

[Sly_tom_cat]

Мне крайне странным кажется наличие сейфмода графического режима на сервере (где графики по умолчанию не ти нафиг она там не нужна).

[Dt-13]

что нибудь говорит? :

whois 105.62.76.144

(Нажмите, чтобы показать/скрыть)

% This is the AfriNIC Whois server.

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '105.48.0.0 - 105.63.255.255'

% No abuse contact registered for 105.48.0.0 - 105.63.255.255

inetnum:        105.48.0.0 - 105.63.255.255
netname:        Safaricom-2014
descr:          Safaricom Limited
country:        KE
org:            ORG-SL70-AFRINIC
admin-c:        JM27-AFRINIC
tech-c:         JM27-AFRINIC
status:         ALLOCATED PA
mnt-by:         AFRINIC-HM-MNT
mnt-lower:      MNT-SAF2004
source:         AFRINIC # Filtered
parent:         105.0.0.0 - 105.255.255.255

organisation:   ORG-SL70-AFRINIC
org-name:       Safaricom Limited
org-type:       LIR
country:        KE
address:        WAIYAKI WAY
address:        PO BOX 66827 - 00800
address:        NAIROBI
phone:          +254722727615
phone:          +254772004048
admin-c:        JM27-AFRINIC
tech-c:         JM27-AFRINIC
mnt-ref:        AFRINIC-HM-MNT
mnt-ref:        MNT-SAF2004
mnt-by:         AFRINIC-HM-MNT
remarks:        data has been transferred from RIPE Whois Database 20050221
source:         AFRINIC # Filtered

person:         John Muita
address:        P.O Box 66827, 00800
address:        Nairobi
address:        Kenya
phone:          +254 722 540542
fax-no:         +254 722 003272
nic-hdl:        JM27-afrinic
source:         afrinic # Filtered

и
whois 196.100.63.178

(Нажмите, чтобы показать/скрыть)

% This is the AfriNIC Whois server.

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '196.0.0.0 - 196.255.255.255'

% No abuse contact registered for 196.0.0.0 - 196.255.255.255

inetnum:        196.0.0.0 - 196.255.255.255
netname:        ORG-AFNC1-AFRINIC-20050414
descr:
descr:          AfriNIC - www.afrinic.net
descr:          Allocation for Africa - This block is in use
descr:          by AfriNIC for allocating/assigning to networks
descr:          in the AfriNIC service region.
descr:          More information - whois.afrinic.net.
descr:          Abuse - please querry the whois db for the
descr:          contacts of the assigned/allocated prefix.
descr:
country:        MU
org:            ORG-AFNC1-AFRINIC
admin-c:        TEAM-AFRINIC
tech-c:         TEAM-AFRINIC
status:         ALLOCATED UNSPECIFIED
mnt-by:         AFRINIC-HM-MNT
mnt-lower:      AFRINIC-HM-MNT
source:         AFRINIC # Filtered
parent:         0.0.0.0 - 255.255.255.255

organisation:   ORG-AFNC1-AFRINIC
org-name:       African Network Information Center - ( AfriNIC Ltd )
org-type:       RIR
country:        MU
address:        11th Floor,
address:        Raffles Tower
address:        Cyber City
address:        Ebene
phone:          +230 403 5100
fax-no:         +230 466 6758
admin-c:        CA15-AFRINIC
tech-c:         IT7-AFRINIC
mnt-ref:        AFRINIC-HM-MNT
mnt-ref:        AFRINIC-IT-MNT
mnt-ref:        AFRINIC-DB-MNT
mnt-by:         AFRINIC-HM-MNT
remarks:        =======================================
remarks:        For more information on AFRINIC assigned blocks,
remarks:        querry whois.afrinic.net port 43, or the web based
remarks:        query at http://whois.afrinic.net or www.afrinic.net
remarks:        website: www.afrinic.net
remarks:        Other Contacts:
remarks:        ===============
remarks:        hostmaster@afrinic.net  - for IP resources
remarks:        new-member@afrinic.net  - for new members and other
remarks:        inquiries.
source:         AFRINIC # Filtered

role:           AfriNIC TEAM
address:        Raffles Tower - 11th Floor
address:        Cybercity
address:        Mauritius
phone:          +230 403 5100
fax-no:         +230 466 6758
admin-c:        AA1-AFRINIC
tech-c:         CA15-AFRINIC
nic-hdl:        TEAM-AFRINIC
mnt-by:         AFRINIC-DB-MNT
source:         AFRINIC # Filtered

Пользователь решил продолжить мысль 06 Апреля 2015, 12:02:06:iiptables - закрыть входы-выходы для этих адресов... ковырять в сторону процессы - подпроцессы, их зависимости... на пример это: http://www.k-max.name/linux/processy-v-linux/

[Sly_tom_cat]

Dt-13, прокси - проксями пользуются все кому не лень особенно когда занимаются не вполне законными действиями - кто за прокси не прячется особо - это большой китайский брат


Я пару месяцев тестил VPS и смотрел логи окуда мне ломятся - там Германия, Англия и Китай с Россией сильно отставали по числу тыканий от побережных африканских стран. Если кому не лень - гляньте на карту кабелей оптических на дно морское кинутых - там вокруг всей Африки кольцо с выходами куда не лень. А уровень жизни такой, что там на сетях только рекламой и проксями зарабатывают. Ну и конечно уровень IT не высокий, что позволяет там трояны вешать пачками.

PS IP-шник у моего vps был канадский ....

[Tpona]

Настроил на нестандартный порт ssh, вырубил вход по руту, пока тихо.
Пользователь решил продолжить мысль 06 Апреля 2015, 15:54:00:А какие права на папке /tmp должны быть?

И вообще к каким папкам какие права можно назначить рекурсивно, а то мне кажется полная лажа теперь с правами в разных папках, после взлома.