У меня взломали сервер?

Question

[Миша]

На мой подкроватный сервер я недавно установил squid, чтобы друг мог подключиться через мой ip. Сегодня утром (4-5 дней спустя) я заметил, что интернет лежит. Дома соединение 1Гбит, а тест скорости выдавал около 1-2Мбит. Зашёл на сервер, а там ОЗУ забита почти полностью, в top увидел, что нагрузка на squid. После его отключения всё нормализовалось.

Вот последние записи с логов, везде я вижу, что запросы идут со всяких облак (ovh, digitalocean и тд) и идут на российские ip

1655276682.144 181119 134.209.191.2 TCP_TUNNEL/200 55452 CONNECT 90.156.201.65:80 - HIER_DIRECT/90.156.201.65 -
1655276682.144 610164 18.191.160.102 TCP_TUNNEL_ABORTED/200 45830 CONNECT 81.177.32.250:80 - HIER_DIRECT/81.177.32.250 -
1655276682.144 111083 95.216.25.34 TCP_TUNNEL_ABORTED/200 26182 CONNECT 31.41.246.17:443 - HIER_DIRECT/31.41.246.17 -
1655276682.144  37109 8.209.103.125 NONE/000 0 CONNECT 185.178.208.171:80 - HIER_NONE/- -
1655276682.144  68570 31.131.27.166 TCP_TUNNEL_ABORTED/200 66960 CONNECT 51.250.50.205:443 - HIER_DIRECT/51.250.50.205 -
1655276682.144  47584 51.195.201.155 NONE/000 0 CONNECT 84.201.189.90:443 - HIER_NONE/- -
1655276682.144 251568 135.181.201.207 TCP_TUNNEL_ABORTED/200 39 CONNECT 91.106.201.120:80 - HIER_DIRECT/91.106.201.120 -
1655276682.144  35240 34.91.213.64 NONE/000 0 CONNECT 85.233.64.114:443 - HIER_NONE/- -
1655276682.144  52479 154.53.46.142 NONE/000 0 CONNECT 185.129.103.123:443 - HIER_NONE/- -
1655276682.144  44936 142.132.235.58 NONE/000 0 CONNECT 212.193.158.179:443 - HIER_NONE/- -
1655276682.144  37321 141.144.251.39 NONE/000 0 CONNECT 87.249.38.253:443 - HIER_NONE/- -
1655276682.144  54249 5.161.75.149 NONE/000 0 CONNECT 91.208.42.67:443 - HIER_NONE/- -
1655276682.144  55490 93.170.46.76 NONE/000 0 CONNECT 185.178.208.171:80 - HIER_NONE/- -
1655276682.144  45307 128.199.26.18 NONE/000 0 CONNECT 82.202.170.138:80 - HIER_NONE/- -
1655276682.144  50769 164.92.223.28 NONE/000 0 CONNECT 84.42.111.139:80 - HIER_NONE/- -
1655276682.144 535926 95.217.217.250 TCP_TUNNEL_ABORTED/200 130115 CONNECT 109.167.254.105:443 - HIER_DIRECT/109.167.254.105 -
1655276682.144  38712 128.199.159.26 NONE/000 0 CONNECT 212.164.138.173:443 - HIER_NONE/- -
1655276682.144  48488 195.201.239.171 NONE/000 0 CONNECT 176.118.220.39:80 - HIER_NONE/- -
1655276682.144  46292 51.195.201.155 NONE/000 0 CONNECT 84.201.189.90:443 - HIER_NONE/- -

На squid стоял логин и пароль. Как так произошло, что к нему получили доступ? Возможно ли, что что-то ещё на сервере взломано?

Answer 1

[AUser0]

Согласно документации, полноценный доступ через прокси был у тех, у кого в логах есть "TCP_TUNNEL/200" и "TCP_TUNNEL_ABORTED/200". Это означает "подключился и получил ответ сервера", и "подключился, получал данные, разорвал соединение раньше времени". Ещё есть "TCP_MISS/200" - это аналог "TCP_TUNNEL/200", но через порт 80 (HTTP, без шифрования). А все "NONE/000" - это несостоявшиеся соединения на IP, которые вообще не ответили на попытку соединения.

То, что эти строки а логах вообще есть - указывает на то, что у этих клиентов или был пароль, или ограничение по паролю не работало. Cloud-сервера покупаются/используются всеми, кто только захочет и имеет денежку в кармане. А "нащупали" простым сканированием всего Internet-а на стандартный Squid-порт TCP[3128], либо в логах своих WEB-сайтов увидели ваш IP как proxy server (в конфигах по умолчанию это включено). То, что пользовались Squid-ом - ничего не значит в разрезе взлома самого сервера. Конечно если пароль на Squid не одинаковый с паролем ROOT-а этого сервера.

P.S. Стоило использовать абсолютно нестандартный порт, наугад по всему Internet-у его фиг найдёшь!

Comments

[Миша]

спасибо!

Answer 2

[Drno]

Логин пароль могли подобрать...

Поменяйте логин/пароль и включите сквид. Посмотрим что будет

Comments

[Миша]

Мне скид больше не нужен. Удалил его и закрыл порт в роутере. Меня скорее волнует: не получен ли доступ к остальной информации на сервере?

[Drno]

Миша, ну а мы то откуда знаем)))
Если к ssh доступ закрыт - то врятли

Answer 3

[CityCat4]

Скорее всего логин и пароль стояли неправлиьно и их обошли. Насчет остальной информации - смотрите логи, а если паранойя - то проще будет все нужное в архив с паролем, чтобы враг не дроп и сервер переставить с нуля с полным форматированием диска.
(Да, это нудно и сложно и поэтому стоит делать только если паранойя, а так - логи смотрите, нет ли чего подозрительного. Скорее всего нашли возможность зайти на squid без пароля и начали ддосить через Вас)