Есть ли смысл обращаться в Полицию после взлома трех серверов одного и того же провайдера?

Question

[mrAndersen7]

Понятно, что вопрос достаточно наивный, и может быть даже глупый, но с подобной ситуацией сталкиваюсь впервые за 12 лет работы в сфере разработки. Сразу хочу оговориться, что я не сис. админ, и скорее всего моих скилов в области администрирования *nix систем может не хватать, но уж точно достаточно для понимания базовых вещей.

Началось с того что из саппорта "Провайдера А" мне написали с комментарием в стиле "Уважаемый, если вы с вашего сервера Х не перестаните сканить весь интернет - то мы вынуждены будем вас забанить, так как на вас поступила жалоба".

Далее идет ссылка и текст от магистрального провайдера Нидерландов (Провайдера А имеет там серверы, в том числе мой находится там, наряду с этим у них есть сервера и в Москве), в которой сказано буквально следующее что с моего сервера идет лютый скан портов 5555. Ок подумал я.

Залогинившись на сервер по публичному ключу, я обнаруживаю тонну процессов zmap, которые как раз и сканят данный порт в диапазоне 0.0.0.0 - 255.255.255.255, после их убийства я начинаю анализировать ситуацию. По auth.log выясняется что 18 сентября, 26 сентября и 30 сентября (день написание данного поста) были логины с ip адресов вида 94.231.132.***, которые судя по беглому поиску принадлежат Самарскому провайдеру домашнего интернета https://telenettv.ru/.

Дальнейшее изучение логов показало, что логинились с первой попытки по паролю, логин по паролю в sshd, включен, я никогда по паролю не логинился, сразу после покупки сервера я добавил свой публичный ключ. Никогда никому пароль из ЛК Провейдера А, который хранится там в открытом виде, я не говорил и ни в каких переписках никогда не скидывал.

На сервере стоит fail2ban, и брутфорсинг пароля крайне маловероятен + длина пароля составляет 12 символов верхнего и нижнего регистра + спец-символы, что в совокупности делает подбор почти невозможным.

В наличии у Провайдера А - три сервера, на всех трех серверах прямые логины по паролям с адресов, вида тех которые я привел выше. На одних серверах кроме логинов никаких действий не было (судя по .bash_history, который безусловно, можно почистить, но судя по двум другим серверам этого не делалось), на других же была масса действий, начиная от установки zmap и модификации файла настроек для скана, и до упаковки исходников моих проектов и отправки на 0x0.st.

В одном из питон файлов, который служил для отправки логов zmap идет пост запрос этих самых логов на 185.231.155.175:5000/lol.

В связи с этим два вопроса
1) Каким еще образом кроме чтения auth.log, lastb, .bash_history можно понять активность пользователя?
2) Стоит ли писать в полицию, ясно что ip адреса могут быть - прокси/VPN, но судя по тому что это провайдер домашнего интернета, надежда все таки есть.

UPD 3) И самый главный вопрос, каким образом кроме прямой утечки паролей Провайдера А, человек мог залогиниться на сервер. Я допускаю что возможно (что и крайне маловероятно) мои приложения, которые работают на сервере могли бы содержать уязвимости, но при эксплутации уязвимостей явно не появляются записи в ssh логах

Comments

[none7]

Очевидно, что ваш ЛК вашего "провайдера А" взломали и в первую очередь должно беспокоить то, как это сделали. По поводу полиции, любой толковый юрист дело развалит. Есть гарантии, что ваш скомпрометированный сервер пишет правильный ip в логи? Нет. Мог ли хакер изменить логи? Да. Могли ли владельца того ip взломать или загрузитъ ему троян? Могли. Есть гарантии, что это не вы взломали тот компьютер и входили с него. Нет. С такой кучей дыр в обвинении попасться может только малолетний "террорист".
Отслеживания действий хакера дело неблагодарное, нужно защититься от повторного взлома и совершить чистую установку всех доступных вам данных.

[edo1h]

логин по паролю в sshd, включен

Выводы сделаны?

Answer 1

[Keffer]

Отсюда мораль 1 - никогда не ставьте один и тот же пароль на разные сервисы. Утечет один - лишитесь всего. И мораль 2 - меняйте ВСЕ пароли на ВСЕХ сервисах раз в короткий промежуток времени.

Answer 2

[mrAndersen7]

none7, Так точно, был взломан ЛК "Провайдера А", лог айпи показывает как раз те самые "Самарские адреса", что касаемо защиты, безусловно я это уже предпринял. Про ЛК провайдера сразу не подумал конечно, в голову почему-то не пришло. Что касается того как это было сделано - лет 8 назад в интернет утек пароль от одного из моих почтовых ящиков, который как раз и стоял у "Провайдера А", поэтому тут у меня удивления как раз нет. В общем всё оказалось куда проще

Comments

[AVKor]

На будущее. Двухфакторная аутентификация в ЛК создаёт дополнительные препятствия для взлома аккаунта.

На самих серверах: настроить запрет входа по паролю, настроить файрволл на вход по SSH только с вашего IP, port knocking - выбирайте. Из своего опыта: даже банальная смена порта и закрытие 22 сразу "подрезает" активность попыток несанкционированного доступа.

Answer 3

[АртемЪ]

Есть ли смысл обращаться в Полицию

Нет.
Серьезного ущерба нет - какой смысл полиции заниматься этим делом? Они вам посоветуют дурью не маяться, а настраивать безопасность на серверах нормально.
Заявление конечно примут, если будете настаивать, но толку от этого никакого не будет.

Никогда никому пароль из ЛК Провейдера А, который хранится там в открытом виде, я не говорил и ни в каких переписках никогда не скидывал

Пароль не может хранится в ЛК провайдера в открытом виде!
Так делают только при регистрации сервиса - вам скидывают адреса доступа и пароль и напоминают что его нужно обязательно поменять.
Вы этот пароль должны моментально поменять на свой, который нигде не будет храниться. Если вы этого не сделали - ну ловите проблемы.

Comments

[Drno]

я бы добавил - если была смена пароля, и он до сих пор есть в ЛК в открытом виде - меняйте провайдер.
максимум что должно быть в ЛК - кнопка для сброса пароля. если это конечно не VDS

[mrAndersen7]

АртемЪ я бы с радостью вам скинул пруф, в виде пароля, который хранится в открытом виде в ЛК, но боюсь тогда и он будет утерян. У этого провайдера делается смена пароля на тот который вы указываете в процессе этой самой смены и после этого он отображается в открытом виде в ЛК этого самого провайдера при заходе в свойства сервера :)

UPD. Пожалуй вот такой скрин я могу себе позволить

[vladyslav_kondratenko]

У меня вот недавно кто то хакнул сервак
Сменили пароль
Потом сбросил пароль через тп
Проверяю историю входов и вижу что заходила тп хостинга в то время когда сервер был хакнут
(Запросов в тикет не создавал)
Самое смешное что поменяли все пароли кроме пароля бд что бы увидел что нужно оплатить на тор сайте за данные иначе они будут использованы в своих целях
Что в итоге?
Сменил хостинг провайдера

[АртемЪ]

mrAndersen7,

У этого провайдера делается смена пароля на тот который вы указываете в процессе этой самой смены и после этого он отображается в открытом виде в ЛК этого самого провайдера при заходе в свойства сервера :)

Однозначно менять провайдера!!!!

Это явное пренебрежение банальными правилами безопасности - сразу видно отношение к данным клиента.
Если пароль хранится у вас в ЛК в открытом виде, значит любой сотрудник вашего провайдера может его посмотреть, сообщить своим знакомым или использовать самостоятельно.

В нормальных конторах пароль знает только клиент, ни один сотрудник провайдера, даже самый, самый крутой админ никак не может посмотреть пароль клиента.
И нигде у провайдера этот пароль не храниться!

[kolossradosskiy]

Проверяю историю входов и вижу что заходила тп хостинга в то время когда сервер был хакнут

vladyslav_kondratenko, что за хостер можно поинтересоваться?

[pindschik]

А Вы вообще в последнее время обращались в полицию по каким-либо вопросам? Видели унылый звездец, в который там все превратилось? Все закончится отказом в возбуждении и потерянным временем. Причем и вашим, и того следака, который сейчас живет сутками на работе, выезжает и на бытовуху, и на угоны авто и на поножовщину, и настоящих бандитов брать и заодно занимается заявлениями по украденным деньгами с сотовых телефонов.

Answer 4

[Александр Карабанов]

В конфиге SSH лучше отключить возможность логинться по паролю.

PasswordAuthentication no

Comments

[mrAndersen7]

Безусловно это было сделано, но если говорить конкретно про данный случай, то злоумшленник имел пароль от ЛК - и таким образом мог бы залогинится через ЛК через VNC, и даже отсутсвие сервиса sshd на виртуалке не помешало бы ему это сделать.

[Александр Карабанов]

Надо было поменять пароль ‍♂️