Хакнули сервер, как избавиться от майнеров?

Question

[Volgarastraport]

На трёх VPS серверах установлена CyberPanel и вероятно взломали через неё, была новость, но не успел обновится. Заметил что по htop CPU 100%. B htop процессы от kinsing. Погулил, есть статьи и на Хабре https://habr.com/ru/articles/582830/
Но победить заразу удалось только на одном сервере. На остальных два, несмотря на замены файлов, паролей SSH, каждый день проблема возвращается. Никаких CRON процессов на уровне сервера нет, либо я их не нахожу.

Ну и ситуация сильно усугубляется тем, что почему-то блокируется доступ по SHH. Сервер сбрасывает доступ постоянно. Только если перезагрузить сервер на уровне хостера, то на 10-12 минут удается войти и что-то сделать.

Comments

[kisaa]

Обычно в таких случаях рекомендуют восстановление из бэкапа или полную переустановку.

Answer 1

[ky0]

Восстановить сервисы из бэкапов на новых, чистых виртуалках. Никаких панелей, разумеется, не ставить.

Comments

[Volgarastraport]

Проблема в том, что я не знаю когда взломали. Бэкапы есть, но с большой долей вероятности тоже зараженные.

[Volgarastraport]

И есть месячный бэкап, но куча нового контента потеряется.

[szQocks]

Volgarastraport, взломы vps - стандартная процедура в 2024, каждый наверное девопс через неё проходил. И не похоже что это просто бот какой-то, раз так пакостит. Так что там скорее всего в большинстве случаев в фоне лежат сюрпризы, + скорее всего где-то вредоносные файлы лежат. Тут только переустановка поможет с нуля, ну и делать её соответственно более защищённой а не как у тебя сейчас.

[scooby_doe]

Данный майнер очень часто атакует docker контейнеры, смотрящие наружу. Он сканирует сервер и по заранее подготовленным RCE заползает на сервер.
Если юзаешь контейнеры, бегом проверять версии образов, скорее всего какой-то из них смотрит наружу и давно не обновлялся.

Сделай следующее:
1. Просканируй свой сервер через nmap на наличие открытых портов (если какой-то из них торчать не должен - убираешь и берешь на будущее на вооружение)
2. Проверь версии образов docker / софта - найди тот, который самый старый (обновляешься - берешь на будущее на вооружение)
3. Если есть возможность развернуть содержимое сервера на чистой и свежей ОС - сделай это, скомпроментированный сервер уже != безопасность

У моего клиента на сервере был такой же кейс:

/var/www/app # ps aux
PID USER TIME COMMAND
1 root 0:06 php-fpm: master process (/usr/local/etc/php-fpm.conf)
2159 www-data 0:09 /tmp/kinsing
2328 www-data 18h05 /tmp/kdevtmpfsi
2900 www-data 0:04 php-fpm: pool www
2901 www-data 0:02 php-fpm: pool www
2902 www-data 0:01 php-fpm: pool www
2903 root 0:00 sh
2911 root 0:00 ps aux

Прикол был в том, что был docker и был docker compose, в секции ports (в docker-compose.yml) не были закрыты для внешки контейнеры. Был старый redis, подробности есть здесь.

Лучше делай полный бэкап данных, потом разворачивай на чистом сервере, закрывай от внешки все, что не должно туда смотреть.

[CityCat4]

Volgarastraport, Откатывай по одному заходу и смотри - есть зараза или нет. Недельные бэкапы есть? Вообще какая схема бэкапов?

Answer 2

[CityCat4]

Как обычно.

Все существующие машины - фтопку. Развернуть новые, раскатать бэкап. Не ставить никаких панелей - панели - зло! Управление только по ssh, с ограничением по списку IP и по ключам, никаких паролей.

Answer 3

[Александр Демин]

В дополнение как вариант, на хостинге должен быть вариант подключения к серверу "типо" как на прямую. Ограничить из под данного способа входа выход в инет на время проведения работ, пробежаться антивирусным софтом каким располагаете по серверам, и вернуть себе доступ, если доступ прекращается вероятно тогда отрабатывает какой то скрипт или по, на тот случай если у вас нет бэкапов. Можно попробовать проанализировать трафик но это совсем если все плохо и есть опыт и блокировать по месту назначения.