Digital ocean скомпроментирован?

Question

[Дмитрий Гусев]

Добрый день!
Столкнулся с проблемой, созданные дроплеты на DO, спустя несколько дней блочат.

Есть подозрения, что дроплеты изначально поставляются с некой дырой/бекдором, которым активно пользуются?

Сопровождается это письмом счатья:

Networking disabled

Hi there,

We are sorry to report that we have detected what appears to be a large flood of traffic from one or more of your servers that is disrupting the normal traffic flow for other users.

To prevent this traffic from causing further disruption, we have disabled the networking interface on the server or servers involved. In order to correct the issue, here is the direct link to the console of the affected droplet

Please take action at your earliest convenience in order to investigate and resolve the situation. Once this is done, if you determine the program was malicious, please also determine how this software came to be installed on your droplet and prevent it from being installed again in the future. As soon as this is done let us know and we will investigate re-enabling your networking.

If you need any guidance on how to find and resolve this issue, we recommend reviewing this:

https://www.digitalocean.com/community/tutorials/h...

Please understand that this is a very serious issue as it negatively impacts our platform and your server. If you have any questions just let us know.

Thank you,
DigitalOcean Support

Буду признателен за разъяснения такой ситуации, и возможно полезную практики как себя обезопасить?
Так же, будет ли достаточно настройки fail2ban и доступа по ssh исключительно по ключам?

UPD:
На дроплетах крутится Node.js + MongoDB в репликасете
Порты использует Монга и Нода

UPD2:
Да используется Redis, конфиги дефолтные. проверяю этот грешок

Comments

[Никита]

Напишите им, тех поддержка работает нормально, вы за это платите деньги.

Answer 1

[Евгений Самойленко]

Было такое, когда поставили редис из коробки, а он был открыт и можно было из вне и получить рута. Пофиксили это и все прекратилось.

Comments

[Дмитрий Гусев]

Таки да, редис открыт. Проверю, будет ли еще блокировка

[Евгений Самойленко]

Дмитрий Гусев: Главное в этом деле, это убить все спамящие процессы, тогда все будет хорошо. Это если вы лечите дроплет, если же просто восстанавливались из копии, то просто закрыть.

[Евгений Самойленко]

И проверьте файл ~/.ssh/authorized_keys - там будут явные следы взлома. Так же в этой директории будет подозрительный файл, не помню как назывался, но его там быть явно не должно.

Answer 2

[landergate]

На моих дроплетах такого не происходит.

1. Вы закрываете ненужные для публикации порты фаерволом?
   
2. Пароль достаточно надёжный? Возможно вы создавали дроплет без SSH-ключа, и ваш дроплет просто брутфорсили, подбирая пароль к root. Можно отключить доступ к дроплету по паролю, оставив только SSH ключ.
   
3. Опубликованное ПО точно не имеет никаких способов вызова сторонних приложений (через макросы и т.д.)?
   

Comments

[_ umr]

а как их закрывать и как узнать что они не нужны для публикации?

[landergate]

_ umarov: Все порты по умолчанию закроются со включением фаервола.

Разворачивая какое-то ПО на сервере, его владелец должен понимать/планировать, какую функцию оно будет играть для его сервиса и по какому порту он будет доступен.

Например для Дмитрий Гусев (автор вопроса), публикация Redis в интернет не была нужна: это внутренний сервис, и его порты необходимо сразу закрывать от публичного доступа (или биндить приложение не на 0.0.0.0, а на 127.0.0.1, чтобы подключаться к нему могли только приложения на этом же сервере).

Answer 3

[Андрей]

Если не ошибаюсь, они могут писать такие письма, если вы используете порты не по назначению. Например, если вы поднимите vpn или proxy на нестандартом порту и будете его использовать. Но могу ошибаться

Comments

[Дмитрий Гусев]

Есть у них спека, по портам? какие они считают можно использовать, какие нет?

[Андрей]

Дмитрий Гусев: я сам не сталкивался, но на radio-t слышал про поднятый VPN на нестандартном порту, и за него DO прислал такое письмо. Но это не значит что вас не взломали. Смотрите логи, читайте документацию от DO, пишите им)

[Эргил Осин]

Андрей: простите, а они не переели ухи следить что у меня на каких портах? Как я правильно отказался от их услуг в свое время.

[Андрей]

Эргил Осин: они еще и реферальные деньги отбирают, если ими не пользоваться, или если не тратишь столько,сколько рефералы приносят. Это довольно обидно

[Эргил Осин]

Андрей: Да ЛММ бы с рефералами, но я вот поднимаю у себя OpenVPN на нескольких портах, мне так нужно, порты рандомно выбираю когда создаю инстанс опенвна, с какого это бодуна что у меня где висит должно касаться хостера?

[private_tm]

Эргил Осин: та не вроде не банят. Прокси серверы у многих хостеров запрещены, а vpn вроде нет.

[Эргил Осин]

private_tm: было бы очень странным запрещать ВПНы, а если он у меня для объедения моих серверов, а вовсе не для обхода цензурных ограничений наложенных Росценузрой? Но сама идея что какой-нибудь попингуй у хостера будет решать что у меня на каких портах должно висеть мне кажется идиотичной.

Answer 4

[Владислав]

ДО ставит по умолчанию два дополнительных сервиса - nfs-common и rpcbind.
Проверьте их наличие и необходимость вам.