Нахуя каким-то чмошникам свой VPN давать, пускай дальше сосут хуи и не выёбываются, смотрят рутуб и сидят в вк звонках.
Ты долбоеб еще на этапе "раздал всем свой впн".
Скажи спасибо, что тебе СОБР приклад от калаша в анус не засунул на 15 лет строгача за то, что через твой сервак гоняли цопэ и продажу веществ.
>через твой сервак гоняли цопэ и продажу веществ
как ты это представляешь если трафик зашифрованный?
>гахуя каким-то чмошникам свой VPN давать
Мне лично грустно, когда люди мучаются что не могут банальным ютубом пользоваться
>как ты это представляешь если трафик зашифрованный?
Траффик то зашифрованый, а ip открыты везде. У тебя кстати и так трафик в 99.9% зашифрован через хттпс и без впна.
>Мне лично грустно
Так помоги настроить свой сервак, делов то, оплатить и 1 команду запустить.
Если ты не понял вектор атаки (как тебя похачили), то это сделают снова, так что если не хочешь разбираться то убивай эту впску и покупай другую с другим айпи
бутфорс был 123 пароль стоял
Трудно поверить, что кто-то целенаправленно взламывает сервер. Скорее всего, это просто человек, который пытается получить доступ к любым доступным системам.
Это даже не человек делает, а автоматика, тупо хуярит по диапазонам айпишников и брутит пароли по словарю, если получается - вливает майнер. Это несложный скрипт, даже чатгпт такой написать может.
>123 пароль стоял
Лол. Подход "да кто узнает/кому нужно меня ломать" не работает уже давно. Боты хуярят по всем айпи во все порты, и всё, что смотрит в интернет и имеет пароль 123, будет похачено.
>когда переезжал, я общался с грузчиком в машине, и он жаловался, что нет нормального VPN. Я ему дал свой и что, если хочет, может пораскидать его.
Бля еблан пиздец
> Я ему дал свой и что, если хочет, может пораскидать его.
Зачем?
Советую перезалить сервак с нуля, поменять все пароли/ключи. Если злоумышленники получили рута, ты можешь не вычистить всё, что они туда положили
мимо IR-специалист
мимо IR-специалист
Пусть пользуются. Он и так загружен не более чем наполовину.
ОП, нахуя ты вообще пароли то юзаешь на УЗ? Используй авторизацию по ключу, настраивай fail2ban, настраивай файерволл , не еби голову
И обновляй ядро и пакеты своевременно
Настрой honeypot, если совсем параноишь
ну то есть на досуге открой логи ssh и посмотри что у тебя буквально через секунду после включения уже пару траев на логин
и перестань ставить такой пароль нахуй
вообще ключ лучше прокинь
нубяо
Да я вкатун стремящийся, откуда у меня знания такие-то. Как обычно, по мере проблемы решаю, а не думая заранее.
Завтра этим займусь. Мб эта гадасть бекдор оставила и опять подключится тогда я все снесу и заново поставлю все
>нубяо
Я вам еще покажу всем.
нубицк, это первое что советует чатжпт.. я когда впску арендовал первый раз, то сидел ковырялся джва часа. сейчас всё получше и я себе вообще уже репозиторий сделал с ансибл рольками :3 ну там базовые типо создать пользователя, настроить ссш, прокинуть ключ (если то где я арендую это чмони без нормального ЛК где это делается НОРМАЛЬНО)...там уже даже рольки для установки ВПН (установить, прокинуть конфиг и включить сервис), разворачивания кластера.. доволен собой, хвастаюсь, прости.
вообще я тоже вкатун...
Настрой только нормально по секуру. Запомни важное - нахуй не юзай пароли дла аутентификации, используй только ключи. Ни в коем случае не разрешай root подключение по ssh, для этого должна быть отдельная учетка. И вообще используй рута напрямую как можно реже и нихуя из под него не запускай. Для подобных целей должна быть техническая учетка с узконарравленными привилегиями.
При помощи firewall ограничь порты, в мир пусть палят только те, которым это исключительно нужно.
Поменяй порты со стандартных на рандомные (не сильно помогает, но пусть будет).
Прочитай, что такое fail2ban и как его настраивать, почитай как настроить хотя бы базовую защиту от сканирования. Отключи ICMP. Регулярно чекай обновления, и всегда, запомни, ВСЕГДА, закрывай сессиию учетки перед тем как выйти с сервера
>fail2ban
зачем если ключи? пусть стукают
>отключи ICMP
зачем? как-то неразумно
>закрывай сессиию учетки перед тем как выйти с сервера
а вот это уже звучит разумно, но все ещё зачем?
>первое что советует чатжпт
Сейчас да, а 3 года назад он был на уровне годовалого ребенка.
Спасибо большое
Так обидно, что люди такими вещами занимаются. Ну что поделать. Если жизнь заставит, то и я буду вещами и похуже заниматься. наверно
>зачем если ключи? пусть стукают
в теории может случиться так, что придётся на какой-то момент включить password auth
>зачем? как-то неразумно
скорее тут будет не отключать, а фильтровать
Насчёт сессиий - профдеформация
хорошо:3
Ему достаточно было нормальный пароль поставить.
>1 ЦП
Зарепортил педофайла
Тупой анальник ещё не понял главного правила ВСЖ - никогда и ни при каких обстоятельствах никому не помогай.
Тут соглы, оп полный долбоёб наивный иванушка
Нагрузка на CPU и канал всё равно будет, в случае жирного наплыва ботов и долгого перебора. Зачем?
>дал свой впн непонятным пидорам
Тебе же потом отвечать, когда кто-то из них там детей раздаст или что-то продаст, идиот. Был один такой учитель математики, который надолго присел подержав у себя ноду тора просто чтобы поддержать проект.
Ну а если они сами не озаботились - нахуй пускай идут, им кроме госуслуг и рутуба ничего не положено
Чел если трафик зашифрованный это не значит что мусор не отслеживает куда и откуда он идет. Они не видят что внутри конкретно, но мусору это похер, у них обычно "чуйка" или уверенность бля буду и прочее. Так что они за радостью придут и навернут какую-нибудь наивную чмоню интернетную которая почувствовала себя хакиром
Да, тут просто спам с бесконечными попытками
да... да, да...
да... да, да...
>взломали по SSH
чивоблять
Ты SSH-то видел, сынок?
Вход по паролю отключи, раз у тебя уже есть SSH, нахуй он тебе.
По крайней мере майнер бы не закинули. Я вот смотрю по командам, вроде в Линуксе шарит, а такую тупую хуйню сделал.
дурак
может у жпт спрашивает просто
В Линуксе нейронка шарит, а не он. У нас в отделе шутка есть, что если ляжет gpt, то компетентность сотрудников просядет на 50%. Я сам как можно реже стараюсь юзать нейронки, чтобы мозг не затухал. В отличии от молодых сотрудников, которые без понятия как гуглить и что такое стэковерфлоу.
>нахуй он тебе ssh.
А как нужно удаленно подключатся? Буквально когда vps покупаешь там подключение первое по ssh
>у жпт спрашивает
Да,я только базовые команды знаю чтоб пользоваться можно было
>А как нужно удаленно подключатся?
Часть ключа вставил, ребутнулся
Зашел? Молодец, выключай вход по паролю
Обосрался? Пересоздавай, еще раз делай
>А как нужно удаленно подключатся?
так и нужно, это стандарт.
>>у жпт спрашивает
>Да
тогда остальное тоже у жпт спрашивай лучше, вот например вопрос выше. быстро научишься. но если будет большой интерес, а тем более раз ты вкатун, то посмотри лучше по сетям видосики. чтоб понимал как работает инторнет, что там за протоколы и че это значит вообще, кто такая модель OSI и всё вот это.
У любого провайдера есть возможность подключения через vnc. Неча голову ебать
Короче, если тебя там правда накуканили, то наверно проще пересоздать сервак будет чем что-то пытаться пофиксить
не у любого. вообще. в рот ебал их тварей. пришлось думать как мне автоматизировать это на нескольких впс ансиблом.
а ты вообще про vnc. ну да. я спать карочи, красноглазые дворфы.
>посмотри лучше по сетям видосики. чтоб понимал как работает инторнет, что там за протоколы и че это значит вообще, кто такая модель OSI и всё вот это.
Читал и смотрел об этом ещё три года назад.
Я уже пятый год как вкатун. Через год у меня дипломная работа. Буду чет про крипту делать
так ты студент или вкатун определись штоль
> У меня ток один вопрос: всё к хуям сносить или попытаться почистить сервер от майнера? Я его удалил, и перегружаться ЦП перестал.
Только если 100% поймёшь что за майнер и как он попал. Надо знать форензику для этого.
Так что проще тупо сохранить все конифиги и снести всё нахуй.
> >гахуя каким-то чмошникам свой VPN давать
> Мне лично грустно, когда люди мучаются что не могут банальным ютубом пользоваться
А нахуя для этого ВПН, если бай дипиай идеально работает
Ваш бабай дипиай написан хуй знает кем хуй знает с какой целью, давать какой-то мутной поеботе максимальные права на своей пекарне это я не знаю кем надо быть
Ебанутый что ли?
В любом случае советую тебе почитать как ssl, tls работают и не трястись
Там БУКВАЛЬНО исходники посмотреть можно, дебилоид
Для свиней которые свой VPS поднять не могут и всирают твой - в самый раз
Как будто человек со стороны поймет, что в них написано.
Мимо
За него уже тысячу раз посмотрели те, кто шарит
Что значит взломали по ssh? Там же ключ хер знает сколько знаков, его невозможно подобрать.
>Valdikss уже 16 лет ведет публикуется на хабре
>написан хуй знает кем
а ну ок ясн пон
У него авторизация по паролю, а пароль 123 был.
>Предыстория такая, что я, когда переезжал, я общался с грузчиком в машине, и он жаловался, что нет нормального VPN. Я ему дал свой и что, если хочет, может пораскидать его.
Ты долбоеб что ли?
какой же ты потешный
почему
О, защитнички бэкдоров понабежали. Знаете ФИО и место проживания ваших валдиков, болванов и прочих васянов-говнокодеров? Не знаете. И хорошо, если вы эти поделия с гитхаба качаете, а не в тележеньке кто-то вам переслал.
Как ты вообще жить умудряешься, трясун-параноик
Просто не использую всякую хуйню, и нормально живу.
Ага. То-то в линуксе периодически находят баги 20 летней давности. Тоже такие же интеллектуалы там все ПРОСМОТРЕЛИ.
То есть вы в принципе не используете никакой софт, в том числе опенсурсный, кроме того который написали своими руками?
>Отключи ICMP
И получи ICMP Blackhole
Не слушай этого долбоёба.
Суть в том, что швятой опенсурс нихуя не гарантирует никакую безопасность.
Я к тому, что по факту ты долбоеб, который использует тонну опенсурса, непонятных всратых приложух итд, но порвался с мелкой тулзовины, которую сотни тысяч людей юзают уже больше года на постоянке
ОП, а в чем суть треда-то?
Я не использую опенсорс и всратые приложухи, ты что-то напутал.
Я больше охуеваю с того, что кенты таксиста оказались достаточно хитровыебанными, чтобы такое провернуть
История плюс советы и ничего больше
Мы же на форуме
Кулстори же!
Держал когда-то линух-ботнет для майнинга по типу того, с которым столкнулся ОП. Спрашивайте ответы.
мимо_какир
мимо_какир
Похуй + похуй.
Алсо, ssh на стандартном порту оставляют только дебилы.
Чистится эта хуйня как правило без проблем руками, поскольку у китайских долбоёбов (распихивающих такой говняк ботами) с фантазией плохо.
Никакого заражения файлов (как виндовыми вирусами) там нет, попросту куда-то в init (либо через sysv legacy, либо попродвинутее через юнит systemd) добавлена хуйня, которая этот говняк и запускает.
Как ее снести (помешав ей запустится и потом удалив) это долбаёбу опу домашнее задание.
Алсо, ssh на стандартном порту оставляют только дебилы.
Чистится эта хуйня как правило без проблем руками, поскольку у китайских долбоёбов (распихивающих такой говняк ботами) с фантазией плохо.
Никакого заражения файлов (как виндовыми вирусами) там нет, попросту куда-то в init (либо через sysv legacy, либо попродвинутее через юнит systemd) добавлена хуйня, которая этот говняк и запускает.
Как ее снести (помешав ей запустится и потом удалив) это долбаёбу опу домашнее задание.
Бототред.
Бототред про то, как васян на грузчике взломал сервак и стал майнить грузацкие монеро.
Жизненная ситуация, ведь, правда же?
>(либо через sysv legacy, либо попродвинутее через юнит systemd)
Чаще всего вообще через cron.
Кстати, ОП, ты чекнул вывод crontab -l ?
мимо_какир
>crontab -l
Лол, а этот прав.
Да, про кронтаб забыл.
319786527-кун
Говнобинарник после перезагрузки vm так и не включился, а я только сейчас пытаюсь его удалить.
Даже kill не прописывал, просто перезапустил vm.
Даже kill не прописывал, просто перезапустил vm.
Тред не читал. Добра опу за бескорыстную доброту, конечно. А так, сноси к хуям и накатывай по новой, проще чем вилкой выковыривать.
Прыщебляди как всегда соснули. Я не устану повторять, что глинуксом пользуются только ламеры
Всем спасибо за тред
Я завтра (сегодня утром) пойду с SSH разбираться и дальше полировать VM.
Еще брандмауэр на Arch поставлю, а то я его обычно всегда выключаю с идеей «да кому я нахуй нужен»
Я завтра (сегодня утром) пойду с SSH разбираться и дальше полировать VM.
Еще брандмауэр на Arch поставлю, а то я его обычно всегда выключаю с идеей «да кому я нахуй нужен»
>Еще брандмауэр на Arch поставлю
Какой нахуй брандмаузер, iptables в любом линухе по дефолту стоит. У тебя был очевидный проёб в слабом пароле на SSH, всё. Нехуй тут мусолить вообще.
Боты нонстопом брутфорсят все vps.
Ставь fail2ban и порт переноси всегда. Даже просто порт изменишь и в логах не будет попыток перебора.
>и в логах не будет попыток перебора
Будут но на порядок или два меньше. Пасс "123" был бы сбручен на абсолютно любом порту, это был вопрос времени.
у тебя скорее всего ссш демон даже не включен на твоём арчике, не бойся
Надо было Windows Server покупать ставить
Да там у половины провов наверное можно ссш ключ еще при развертывании системы указать.
Можно бесконечно смотреть на 3 вещи: на огонь, как кто-то работает и как оп обсирается.
Бай дпи вроде как бомбит пакетами оборудование ркн из за чего оно начинает пропускать траффик ну или по другому обманывает его, в общем считаю что бай дпи на сгуху за взлом может потянуть, не сейчас так в будущем.
А с впн максимум сам впн заблочат.
Ну вот, будет тебе наука, что помощь и доброе отношение заслужить нужно сначала
Бэкап конфигов впна, вайпнуть сервак, ssh ключ свой добавь, выключи логин через пароль, перекинь ssh со стандартного порта, установи впн и верни конфиги
Пересоздавай
>Как-то так, да.
>У меня ток один вопрос: всё к хуям сносить или попытаться почистить сервер от майнера? Я его удалил, и перегружаться ЦП перестал
Ясен хуй сносить и пароль от рута с логином менять, после установки впн сервера ваще ssh зыкрыть и переблочить все порты кроме впн к хуям, нахуй он не нужен там больше.
Да, надо было. Он хотя бы не позволил бы поставить пароль 123
Мой мини-сервер 1 ЦП 1 ОЗУ взломали по SSH (его IP — пик1) и закинули майнер...
Предыстория такая, что я, когда переезжал, я общался с грузчиком в машине, и он жаловался, что нет нормального VPN. Я ему дал свой и что, если хочет, может пораскидать его. А у него канал на 1К подписчиков, и знаком со стримерами по играм на телефоне.
Итог. 5-го числа я заметил, что VPN стал немного подлагивать, и вижу картину пик2. Чуть на сервере поковырялся и ничего толком не нашел и подумал, что просто много людей подключилось. Ну и ладно.
И вот сегодня пришла в голову мысль, что тут не чисто, ибо он 24/7 100% загружен. Решил взяться и посмотреть. Итог — пик3.
Что мы имеем:
> один процесс загружает ЦП на ~100%
> непонятные имена файлов и папок
> бесшумный скрипт
> пулы майнинга .eh_pool и xmr9
> Он еще поменял пароль от root
Как-то так, да.
У меня ток один вопрос: всё к хуям сносить или попытаться почистить сервер от майнера? Я его удалил, и перегружаться ЦП перестал.