Кто сталкивался с биткоин вымогателями бд?

Question

[Алексей Виноградов]

В общем вчера с утра мне постучали со дна затерев базы данных на сервере, и оставив вместо старых баз записку:

INSERT INTO `WARNING` VALUES (1,'To recover your lost data : Send 0.05 BTC to our BitCoin Address and Contact us by eMail with your server IP Address or Domain Name and a Proof of Payment. Any eMail without your server IP Address or Domain Name and a Proof of Payment together will be ignored. Your File and DataBase is downloaded and backed up on our servers. Backups that we have right now: biysk,blawknox,belgorod,albajar,alaskadiesel,ashok,avia,barber-green,auwaerter,blog,bernard,buffalospringfield,armavir,belarus,caterpillar,balakovo,baycityshovel,bova,balashiha,adams,austinhealy,benford,bolens,bautz,bentley,berdsk,bluebirdbody,autodiesel,bantam,benfra,abg,bryansk,ausa,aveling-barford,agriful,agrale,belaz,casagrande,acura,bray,angarsk,ag-chem,bandit,carrier,bristol,astrahan,abakan,bell,bharatearth,american-motors,buick,bw-lathrop,ceccato,bataysk,austin-western,benati,blagoveshhensk,barnaul,braud,arzamas,ahlmann,brunogenerator,ankai,bmw,autokraz,astra,bedford,bitelli,allis-chalmers,akerman,ayyedekparca,achinsk,almetevsk,albaret,berezniki,cbt,audi,bratsk,blount,atlasweyhausen,carraro,arhangelsk,cadillac,bussing,camc,catalog,bks,athey,asiamotorwork,aksa,bmc-trucks,agco,baudouin,avant,allison,ayerbe,beibentruck,best-winner,artem,ammann . If we dont receive your payment,we will delete your databases.','1HXnLWN8Bi8nKAhTg1YqtGWZ2KttHhiDZF','admin@hello-database.xyz');

При этом начав разбираться я увидел у пользователя root привилегию GRANT PROXY которую так же создали эти содомиты, слава богу у меня делаются каждый день резервные копии, я их восстановил, отрубил полностью доступ из внешки, удалил у рута наличие грат прокси, поменял пароли на всех учетках, все было хорошо ровно день, сегодня мне постучали второй раз затерев уже 100 баз данных, на просторах гугла абузрепортов масса на эту тему, но решений по устранению корня зла нигде нет, вопрос может кто сталкивался с такой проблемой?

Включение general_log в mysql по большому счёту дают мало информации

Comments

[irishmann]

Хостинг? Сервер?

[Алексей Виноградов]

irishmann, хостинг сервер своих сайтов

[Anton Mashletov]

Алексей Виноградов, чего? Какой хостинг у тебя? Компания

[synapse_people]

Anton Mashletov, свой сервер у него, написал же он

Answer 1

[sim3x]

Вас взломали и у вас нет квалификации в расследовании взлома?
Делаем образ выключенной системы снаружи и бекапим его себе (зачем? Возможно найдете того кто сможет расследовать)
Берем список софта и убираем из него все, что не требуется для работы сервиса
- пхпмайадмин, фтп, как раз примеры такого софта

Сносим ОС (считайте что скомпроментирован рут и все тулзы ОС)
И ставим по хорошему мануалу с изрядной долей паранои (чаще всего одна статья не поможет - делайте свои заметки при установке)
Максимально изолируем все от всего
Наружу смотрит только вебсервер
ссш по портпиннингу (оно делается в полпинка, как на стороне клиента так и на стороне сервера)
Ваши цмс и скрипты должны обновляться регулярно
Следите за логами - часто взлом происходит в течении нескольких дней и простой греп по логам покажет, кого вам нужно забанить по ип и где поставить капчу

То что у вас есть бекапы делает вашу ситуацию в разы лучше

Answer 2

[Rsa97]

Закрывать весь доступ к базе извне. MySQL должен слушать только локальные адреса.
Доступ к серверу должен быть только по ssh с ключом, а не паролем.
Убирать PHPMyAdmin, настроить SQLWorkbench с доступом через ssh-туннель.

Answer 3

[serginhold]

Вообще ноль информации в посте, но смотрю есть тег phpmyadmin, может дело в нем? стоит какая-нибудь дырявая версия. При этом я вообще не понимаю нафига им пользоваться)

Answer 4

[CityCat4]

Значит дыра не в паролях, а скорее всего ломают через CMS или еще каким-нибудь образом получая привилегии рута.
Отсоединить сервер от тырнета. От слова совсем, оставить только консоль.
Образ системы слить для дальнейшего изучения.
Если хост с рейдом - разобрать рейд и собрать с другим порядком дисков, создать заново с форматированием рейда.
Систему поставить заново, из бэкапов брать только текстовые конфиги и то после того, как они просмотрены. Дистриб сливать с оригинального сервера с перепроверкой контрольных сумм.
(Все это нужно для того, чтобы гарантировать чистую машину для установки и чистый дистриб)
Как можно меньше сервисов наружу, все сервисы на нестандартные порты, все, что авторизуется по ключам или сертификатам - нужно использовать только с ключами/сертификатами
Постоянно глядеть логи - наверняка будут еще попытки.

Да, некоторые пункты отдают паранойей :) Но лучше здоровая паранойя...

Answer 5

[pfg21]

хосподи этих криптовымогателей в тырнете до лампочки.

наверное надо настроить систему безопасности ??
чтобы левых недопускать туда куда не нужно.
или нет ??

Comments

[criminalist]

Спасибо капитан очевидность))

[Валентин]

criminalist, смотря что автор вкладывает в понятие «система безопасности»

Answer 6

[AlexBaravy]

https://www.phpmyadmin.net/security/PMASA-2019-2/

Answer 7

[MrGroovy]

Насколько я понял, из вашего рассказа, злоумышленниками был создан пользователь которому передали root права. Вас взломали по средствам SQL инъекции, и внедрили примерно такой код:

CREATE USER 'intruder'@'localhost' IDENTIFIED BY 'intruder_password';
GRANT PROXY ON 'admin'@'localhost' TO 'intruder'@'localhost'

отрубил полностью доступ из внешки, удалил у рута наличие грат прокси, поменял пароли на всех учетках, все было хорошо ровно день...

Вам не помогли эти действия, потому что вы не устранили причину - возможность внедрения SQL кода. Для этого вам нужно настроить фильтрацию входящих данных и обращений. Например воспользовавшись встроенными функциями PHP:

$_POST[$_post] = mysql_real_escape_string($_POST[$_post])

И таким способом вам нужно отфильтровать все "слабые" места вашего кода. Найти их можно воспользовавшись утилитой SQLMAP для linux или использовать онлайн сканер, наподобие METASCAN, он покажет не только SQL уязвимости, но и проверит сайт на XSS, noSQL, уязвимости CMS, а также проверит всю инфраструктуру в целом.