Вероятный взлом VDS, что делать?

Question

[Вадим Тимошенко]

Есть сайт на VDS, Ubuntu 18.04.
От хостинга пришло письмо:

Мы получили жалобу от администратора стороннего сервиса на исходящие запросы вредоносного характера с вашего аккаунта. Приводим фрагмент журналов работы сервера, к которому шли обращения:

/furanet/sites/porticolegal.com/web/htdocs/logs/access:188.225.9.120 - - [09/Apr/2019:05:34:03 +0200] "GET /pa_articulo.php?ref=999999.9+%2f**%2fuNiOn%2f**%2faLl+%2f**%2fsElEcT+0x393133353134353632312e39,0x393133353134353632322e39,0x393133353134353632332e39,0x393133353134353632342e39,0x393133353134353632352e39,0x393133353134353632362e39,0x393133353134353632372e39,0x393133353134353632382e39,0x393133353134353632392e39,0x39313335313435363231302e39,0x39313335313435363231312e39,0x39313335313435363231322e39,0x39313335313435363231332e39,0x39313335313435363231342e39,0x39313335313435363231352e39,0x39313335313435363231362e39,0x39313335313435363231372e39,0x39313335313435363231382e39,0x39313335313435363231392e39,0x39313335313435363232302e39,0x39313335313435363232312e39,0x39313335313435363232322e39,0x39313335313435363232332e39,0x39313335313435363232342e39,0x39313335313435363232352e39 HTTP/1.0" 200 1287 "-" "http://www.porticolegal.com/pa_articulo.php?ref=99...
sElEcT+0x393133353134353632312e39,0x393133353134353632322e39,0x393133353134353632332e39,0x393133353134353632342e39,0x393133353134353632352e39,0x393133353134353632362e39,0x393133353134353632372e39,0x393133353134353632382e39,0x393133353134353632392e39,0x39313335313435363231302e39,0x39313335313435363231312e39,0x39313335313435363231322e39,0x39313335313435363231332e39,0x39313335313435363231342e39,0x39313335313435363231352e39,0x39313335313435363231362e39,0x39313335313435363231372e39,0x39313335313435363231382e39,0x39313335313435363231392e39,0x39313335313435363232302e39,0x39313335313435363232312e39,0x39313335313435363232322e39,0x39313335313435363232332e39,0x39313335313435363232342e39,0x39313335313435363232352e39" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-PT; rv:1.9.1.2) Gecko/20090729 Firefox/3.5.2 (.NET CLR 3.5.30729)"
Date: Tue Apr 9 05:34:05 CEST 2019
Unix timestamp: 1554780844.94

Наиболее вероятно, что данная активность является результатом взлома вашего сервера, поэтому вам необходимо провести аудит безопасности для предупреждения повторения проблемы.

Подскажите какие действия я должен предпринять прежде всего?

root закрыт
доступ на сервер по ключам

Недавно отключил fail2ban, так как постоянно увеличивающийся файл /var/lib/fail2ban/fail2ban.sqlite3 занимал все место сервера. Включить обратно?

Answer 1

[David]

Привет!

Сервер вероятно стал частью ботнета, был заражен.
Вектора заражения могут быть такие:
1) Сетевые сервисы: ssh, ftp, munin, nagios и другие, если их порты доступны из интернет.
2) Уязвимости в CMS и плагинах. Часто ломают через известные баги в Wordpress, Joomla.
3) Уязвимости в коде в веб-приоложения. В том, что сделали разработчики.

fail2ban это хороший инструмент, но когда заражение уже произошло его поздно использовать.
По возможности нужно восстановить сервер из бекапа и разобрать с причиной заражения.
Для этого есть два способа:
1) Аудит зараженной системы, логов, истории bash, проверки контрольных сумм файлов.
2) Поиск "дыры", через которую вредоносный код попал на сервер. Для этого можно воспользоваться сканерами уязвимостей. Такими как Metascan, AI-Bolit, WP-scan, Qualys

Если для тебя проблема актуальна - напиши мне в личку - помогу разобраться.