1

Больше 10 лет арендую Linux сервер в Нидерландах под сайты и свои сервисы. Никому пароли не давал, кроме саппорта Leaseweb. Сегодня, захожу в очередной раз по SSH и вижу в истории консоли ряд команд, которые я не выполнял:

certbot certonly -d msdn.ddnsgeek.com --manual --preferred -challenges http
ls -la /etc/letsencrypt/live/msdn.ddnsgeek.com-0002
rm -rf msdn.ddnsgeek.com.conf security-linux.webredirect.org.conf
service nginx restart
rm -rf /home/parser_test/
cd /home/dnsparser_test/public_html/.well-known/acme-challenge/
ls -la
rm *
ls -la
nano NrLzewrQypAhY7AMW2np9Z6bfNTmnwX5-AkGz1ss4_U

Вопрос, что это было? Вообще, у letsencrypt есть непонятные мне домены в renewal, которые не принадлежат мне, но думал может это служебные какие, а теперь уже сомневаюсь

azure-update.mywire.org.conf
msdn.ddnsgeek.com.conf
wsus-check.mywire.org.conf

Причем даты создания разные, февраль, апрель, октябрь... мой сервер по-тихой в ботнет вовлекли? Кроме смены пароля на root что еще сделать? В такой ситуации впервые за 15 лет...

2

1nSane пишет:

Сегодня, захожу в очередной раз по SSH и вижу в истории консоли ряд команд, которые я не выполнял

Как минимум, повод для беспокойства. Насколько я понимаю, CertBot от LetsEncrypt не пишет свои команды в историю консоли.

1nSane пишет:

а теперь уже сомневаюсь

Правильно делаете, что сомневаетесь.

1nSane пишет:

azure-update.mywire.org.conf
msdn.ddnsgeek.com.conf
wsus-check.mywire.org.conf

Пробовали в браузере открыть? Хотя бы в приватном режиме.

1nSane пишет:

Кроме смены пароля на root что еще сделать?

Проверить систему на наличие руткитов и прочей заразы. На всякий случай.

ᛈᚺ'ᚾᚷᛚᚢᛁ ᛗᚷᛚᚹ'ᚾᚨᚠᚺ ᚲᛏᚺᚢᛚᚺᚢ ᚱ'lᚷᛖᚺ ᚹᚷᚨᚺ'ᚾᚨᚷᛚ ᚠᚺᛏᚨᚷᚾ

Asus Prime B460M-K, i5-10500, Intel 630 UHD, DDR4 32 GB, SSD 500GB + HDD 2TB | Linux Mint 21.3 Cinnamon + Fedora 39 MATE (Compiz) + Windows 11 + macOS 12 Monterey

3

Rizado пишет:

Пробовали в браузере открыть? Хотя бы в приватном режиме.

Это службы обновления для MS Windows Server

Rizado пишет:

azure-update.mywire.org.conf

Это исправление "косяков" в Azure DevOps

Rizado пишет:

msdn.ddnsgeek.com.conf

Изменение синхронизации MS DNS Service после падения всего Microsoft этим летом.

Rizado пишет:

wsus-check.mywire.org.conf

Обновления сетевой безопасности WSUS для Internet Explorer и служб: WireFire, Wireless, WireNET.
*** Добавлено: 15.10.2021 20:24:28 ***

1nSane, если не ошибаюсь, то владелец хостинга переехал с Linux на Windows. Причём, на "горячую"
и с кучей дыр. Меняйте все хэши и пароли.

Linux Mint 19.3 Mate Edition
Windows 7

4

msdn.ddnsgeek.com завернут на 127.0.0.1
Я сначала удивился когда браузер открыл мой веб-сервер, но после пинга все стало ясно.

5

Wolfenberg пишет:

1nSane, если не ошибаюсь, то владелец хостинга переехал с Linux на Windows. Причём, на "горячую"
и с кучей дыр. Меняйте все хэши и пароли.

Смущает что это все поддомены с созвучными службами именами, но по факту домена только два.

То, что это сделал "человек" сомнений нет, в логах откопал 2 левых IP, которые зашли по SSH с паролем от рута, хотя подбирают пароли круглосуточно, каждые пару минут.

По поводу "переезда", у меня Dedicated Server на Debian в Leaseweb напрямую, без реселлеров. Не думаю что там могли бы что-то подобное допустить...

6

1nSane, а кто не даёт переназначить порт для SSH? У меня на нестандартном порту ни одной попытки подключения уже несколько лет.
Для Ubuntu делается так, для других дистрибутивов может в мелочах отличаться, хотя у Вас Debian, большой разницы быть не должно:

 Консоль: root
[root@linuxforum.ru ~]# nano /etc/ssh/sshd_config

Ищем в начале файла незакомментированную строку:

Port 22

Меняем её на что-то нестандартное, например, на:

Port 56337

Сохраняем, выходим из редактора. Перезапускаем службу:

 Консоль: root
[root@linuxforum.ru ~]# service sshd restart

Дальнейшие подключения делаем так:
 Консоль:
ssh -p 56337 root@host

P.S. Также смотрите в сторону fail2ban, чтобы меньше ломились на сервер.

ᛈᚺ'ᚾᚷᛚᚢᛁ ᛗᚷᛚᚹ'ᚾᚨᚠᚺ ᚲᛏᚺᚢᛚᚺᚢ ᚱ'lᚷᛖᚺ ᚹᚷᚨᚺ'ᚾᚨᚷᛚ ᚠᚺᛏᚨᚷᚾ

Asus Prime B460M-K, i5-10500, Intel 630 UHD, DDR4 32 GB, SSD 500GB + HDD 2TB | Linux Mint 21.3 Cinnamon + Fedora 39 MATE (Compiz) + Windows 11 + macOS 12 Monterey

7 (16.10.2021 10:00:11 отредактировано caspar)

Rizado пишет:

кто не даёт переназначить порт для SSH?

Я бы еще запретил вход по ssh от root'а. В /etc/ssh/sshd_config:

PermitRootLogin no

Следует, также, исключить юзера из sudoers.
В этом случае взломщику придется подбирать сначала сначала имя юзера, потом пароль юзера, а потом root'а. С таким головняком взломщик возиться скорей всего не будет. Поищет тех, у кого открыт рутовый вход по паролю.

Радикальное решение -- настроить аутентификацию по ключу и отключить парольную аутентификацию.

Путь важнее цели.