Идет DDoS или мой сервер взломали?

Question

[hrvasiliy]

Как-то давно приобрел сервер у EOMY для обучения/тестов и т.д. Сегодня пытаюсь авторизоваться по SSH, но не смог потому что сервер был выключен, при входе в ПУ сервером (http://billing.it7.net) обнаружил вот такую ошибку:



Решил скопировать все файлы с сервера, переустановить систему и настроить хоть какую-то защиту от DDoS. Включил сервер, поменял пароль, но не успел я скопировать всю информацию, сервер опять "упал".

Пока я был на сервере, решил заглянуть в nginx логи, увидел огромное количество запросов к несуществующим страницам.

Не понимаю в чем может быть дело, мой ли это сервер DDoS'ит или меня? Да и какой смысл DDoS'ить сайт, на котором нет абсолютно ничего?

UPD: Добавляю логи, те что расположены ниже листа процессов.

**********************************************
First 260 lines from conntrack table (truncated)
**********************************************
ipv4 2 tcp 6 109 SYN_SENT src=MY_IP dst=115.231.231.131 sport=54383 dport=80 [UNREPLIED] src=115.231.231.131 dst=MY_IP sport=80 dport=54383 mark=0 secmark=0 use=2
ipv4 2 tcp 6 109 SYN_SENT src=MY_IP dst=115.231.231.131 sport=58341 dport=80 [UNREPLIED] src=115.231.231.131 dst=MY_IP sport=80 dport=58341 mark=0 secmark=0 use=2
ipv4 2 tcp 6 110 SYN_SENT src=MY_IP dst=115.231.231.131 sport=53381 dport=80 [UNREPLIED] src=115.231.231.131 dst=MY_IP sport=80 dport=53381 mark=0 secmark=0 use=2
ipv4 2 tcp 6 110 SYN_SENT src=MY_IP dst=115.231.231.131 sport=33379 dport=80 [UNREPLIED] src=115.231.231.131 dst=MY_IP sport=80 dport=33379 mark=0 secmark=0 use=2
ipv4 2 tcp 6 109 SYN_SENT src=MY_IP dst=115.231.231.131 sport=30695 dport=80 [UNREPLIED] src=115.231.231.131 dst=MY_IP sport=80 dport=30695 mark=0 secmark=0 use=2
ipv4 2 tcp 6 109 SYN_SENT src=MY_IP dst=115.231.231.131 sport=46317 dport=80 [UNREPLIED] src=115.231.231.131 dst=MY_IP sport=80 dport=46317 mark=0 secmark=0 use=2
ipv4 2 tcp 6 110 SYN_SENT src=MY_IP dst=115.231.231.131 sport=16250 dport=80 [UNREPLIED] src=115.231.231.131 dst=MY_IP sport=80 dport=16250 mark=0 secmark=0 use=2
ipv4 2 tcp 6 109 SYN_SENT src=MY_IP dst=115.231.231.131 sport=36300 dport=80 [UNREPLIED] src=115.231.231.131 dst=MY_IP sport=80 dport=36300 mark=0 secmark=0 use=2
ipv4 2 tcp 6 109 SYN_SENT src=MY_IP dst=115.231.231.131 sport=45592 dport=80 [UNREPLIED] src=115.231.231.131 dst=MY_IP sport=80 dport=45592 mark=0 secmark=0 use=2
ipv4 2 tcp 6 109 SYN_SENT src=MY_IP dst=115.231.231.131 sport=23728 dport=80 [UNREPLIED] src=115.231.231.131 dst=MY_IP sport=80 dport=23728 mark=0 secmark=0 use=2

Answer 1

[Оптимус Пьян]

Скорее всего подобрали пароль от ssh и используют теперь сервер как узел для атаки. Смысл ддосить учебный сервер? Поменяйте пароли и настройте iptables

Comments

[hrvasiliy]

Если подобрали пароль от ssh, почему бы его сразу не сменить? + я поменял пароль и та же картина, а попыток то мало осталось :)

[sivabur]

hrvasiliy: каких попыток )) меняйте ssh пароль на сложный 1 раз и пишите хостеру: что разобрались в чем было проблема и чтоб он вас разблокировал.

Answer 2

[Макс]

а что за чудесный пользователь uvnhqyzsky? что-то мне подсказывает, что Вас хакнули - и Ваш сервер стал источником атаки.
WP?

Comments

[hrvasiliy]

Пароль был очень простой :) uvnhqyzsky это пользователь?

[krypt3r]

Пароль был очень простой :)

hrvasiliy, здесь напрашивается *FACEPALM*, знаете ли

[hrvasiliy]

krypt3r: Не рассчитывал на то, что кому-то может быть нужен этот сервер Сейчас придумаю как все восстановить и установлю нормальную защиту :)

[Макс]

hrvasiliy: сделайте авторизацию на ключах. но перед этим лучше всего переустановите сервер.

[hrvasiliy]

Макс: Можно ли как-то выяснить какой именно файл и что он делал? Я так понял, что взломали SSH, добавили пользователя и от него что-то запускали (использовали сервер для атаки). Так получается?

[hrvasiliy]

Макс: Скачал снапшот сервера, разархивировал что смог, потому что были ошибки. в файле /etc/passwd нашел нового для меня пользователя - butter в группе root. Видимо вы были правы, просто подобрали пароль, сделали пользователя + какой-то скрипт для ддоса, я так понимаю, так создаются бот неты.

[Макс]

hrvasiliy: можете поискать файлы, которые изменились за последние несколько дней. но это дело малоперспективное, только если из интереса покопаться. быстрее переставить.

Answer 3

[Пума Тайланд]

Вас хакнули

Answer 4

[Николай Самохин]

Взлом на лицо, скорее всего подобрали пароль от SSH, который видимо на стандартном 22 порту крутится.
- Смените порт;
- Настройте авторизацию по ключу, пароль отключите вообще;
- Для верности можно двухфакторную авторизацию сделать;
- Всё лишнее закрыть Iptables, как советовали выше.