Были зашифрованы файлы баз данных, сайта и т.д. В каждой папке где были зашифрованы файлы находиться txt документ README.txt. С таким содержимым
---
Your personal files are encrypted! Encryption was produced using a unique public key RSA-2048 generated for this computer.
To decrypt files you need to obtain the private key.
The single copy of the private key, which will allow to decrypt the files, located on a secret server on the Internet. After that, nobody and never will be able to restore files...
To obtain the private key for this computer, which will automatically decrypt files, you need to pay 4.6 bitcoins (~1000 USD).
Without key, you will never be able to get your original files back.
______________________________________________
!!!!!!!!!!!!!!!!!!!!! PURSE FOR PAYMNET: 13JqaSsVg2tVBpbbvbwgF2jzdK5Sn2rQ68 !!!!!!!!!!!!!!!!!!!!!
After you made payment, you should send email to site@mailinator.com - which must contains you're BTC wallet.
After this, our system will automatically checks payment and send to your email private key for decryption.
If you have any questions about payment, you can send also to site@mailinator.com!
---
Сервер на digitalocean я настраивал своими силами. За что и поплатился. Я понимаю что восстановить файлы не удастся. Но хотел бы избежать этого в будущем. Потому вопрос.
Каким способом скорее всего был осуществлен взлом? Хочу на новом сервере хоть как то защитить себя от подобных ситуаций. Если был украден пароль рутовский из за вируса на моем компьютере это одно. А если взлом был из за корявой настройки сервера это уже совсем другой вопрос.
Оставьте виртуалку, я в понедельник вернусь в цивилизацию и посмотрю в неё, может удастся по косвенным признакам найти причину взлома.
Только выключьте её, чтобы больше там никто не веселился.
Влад Животнев: хорошо я пришлю на вашу почту доступ к серверу в пятницу. С сервера все равно толку нет в таком его виде. Потому он нужен только что бы понять как был осуществлен взлом.
taral: в пятницу смысла нет, я в понедельник с утра приеду.
Нужно, чтобы он ночь не стоял включенным - там logrotate сработает и логи унесет, если они ещё остались.
Ну вообще если сами умеете - проверьте владельца файлов зашифрованных и в /var/lib/mysql зашифрованных.
Влад Животнев: logrotate уже сработал. взлом я обнаружил поздно. Сайт исправно работал уже когда его взломали. Я зашел в phpmyadmin и обнаружил что в базах данных нет таблиц. Это удивило поскольку все работало. Я перезагрузил сервак и после этого обнаружил что проблема была намного серьезнее. Файлы базы были уже закодированы давно.
Вот скриншот зашифрованных файлов mysql clip2net.com/s/3ncgvUx
WinSCP говорит что владелец root.
Влад Животнев: настройка сервера была примитивная. Грубо говоря поставил apache, mysql. Залил файлы и запустил сайт. Потому все было от рута. Теперь я понимаю что я идиот... Но когда это делалось мне так не казалось =) Думалось что раз пароль 14 символьный и сгенерированный то беспокоится не о чем.
taral: ну в целом такая "примитивная" настройка как раз достаточно секурна, дистры тоже не дураки клепают.
Если apt-get-ом ставили, то там всё от своих пользователей работало.
Влад Животнев: ставил apt-get-ом. На сервере не запускал никаких скриптов. В целом сайт был запущен и спокойно себе работал без вмешательства. Давно была попытка установить asterisk на этом сервере. Она не увенчалась успехом. После ничего не ставилось.
Раз у вас есть возможность зайти, проверьте доступ к логам ssh-сервера и содержимое.
А вообще схема простая: shodan.hq → RCE с uid 0 в движке → результат.
Вот логи за 25 число. Именно тогда все зашифровали https://yadi.sk/i/ybOs351AiwQ3Z
Я нашел там много попыток неудачной авторизации. Также много ip адресов с Китая и Кореи.
Средний
Простой
Простой
Средний
