Есть ли смысл обращаться в Полицию после взлома трех серверов одного и того же провайдера?

Понятно, что вопрос достаточно наивный, и может быть даже глупый, но с подобной ситуацией сталкиваюсь впервые за 12 лет работы в сфере разработки. Сразу хочу оговориться, что я не сис. админ, и скорее всего моих скилов в области администрирования *nix систем может не хватать, но уж точно достаточно для понимания базовых вещей.

Началось с того что из саппорта "Провайдера А" мне написали с комментарием в стиле "Уважаемый, если вы с вашего сервера Х не перестаните сканить весь интернет - то мы вынуждены будем вас забанить, так как на вас поступила жалоба".

Далее идет ссылка и текст от магистрального провайдера Нидерландов (Провайдера А имеет там серверы, в том числе мой находится там, наряду с этим у них есть сервера и в Москве), в которой сказано буквально следующее что с моего сервера идет лютый скан портов 5555. Ок подумал я.

Залогинившись на сервер по публичному ключу, я обнаруживаю тонну процессов zmap, которые как раз и сканят данный порт в диапазоне 0.0.0.0 - 255.255.255.255, после их убийства я начинаю анализировать ситуацию. По auth.log выясняется что 18 сентября, 26 сентября и 30 сентября (день написание данного поста) были логины с ip адресов вида 94.231.132.***, которые судя по беглому поиску принадлежат Самарскому провайдеру домашнего интернета https://telenettv.ru/.

Дальнейшее изучение логов показало, что логинились с первой попытки по паролю, логин по паролю в sshd, включен, я никогда по паролю не логинился, сразу после покупки сервера я добавил свой публичный ключ. Никогда никому пароль из ЛК Провейдера А, который хранится там в открытом виде, я не говорил и ни в каких переписках никогда не скидывал.

На сервере стоит fail2ban, и брутфорсинг пароля крайне маловероятен + длина пароля составляет 12 символов верхнего и нижнего регистра + спец-символы, что в совокупности делает подбор почти невозможным.

В наличии у Провайдера А - три сервера, на всех трех серверах прямые логины по паролям с адресов, вида тех которые я привел выше. На одних серверах кроме логинов никаких действий не было (судя по .bash_history, который безусловно, можно почистить, но судя по двум другим серверам этого не делалось), на других же была масса действий, начиная от установки zmap и модификации файла настроек для скана, и до упаковки исходников моих проектов и отправки на 0x0.st.

В одном из питон файлов, который служил для отправки логов zmap идет пост запрос этих самых логов на 185.231.155.175:5000/lol.

В связи с этим два вопроса
1) Каким еще образом кроме чтения auth.log, lastb, .bash_history можно понять активность пользователя?
2) Стоит ли писать в полицию, ясно что ip адреса могут быть - прокси/VPN, но судя по тому что это провайдер домашнего интернета, надежда все таки есть.

UPD 3) И самый главный вопрос, каким образом кроме прямой утечки паролей Провайдера А, человек мог залогиниться на сервер. Я допускаю что возможно (что и крайне маловероятно) мои приложения, которые работают на сервере могли бы содержать уязвимости, но при эксплутации уязвимостей явно не появляются записи в ssh логах
  • Вопрос задан
  • 1875 просмотров
Решения вопроса 1
Keffer
@Keffer
Delenn Test Group
Отсюда мораль 1 - никогда не ставьте один и тот же пароль на разные сервисы. Утечет один - лишитесь всего. И мораль 2 - меняйте ВСЕ пароли на ВСЕХ сервисах раз в короткий промежуток времени.
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
@mrAndersen7 Автор вопроса
none7, Так точно, был взломан ЛК "Провайдера А", лог айпи показывает как раз те самые "Самарские адреса", что касаемо защиты, безусловно я это уже предпринял. Про ЛК провайдера сразу не подумал конечно, в голову почему-то не пришло. Что касается того как это было сделано - лет 8 назад в интернет утек пароль от одного из моих почтовых ящиков, который как раз и стоял у "Провайдера А", поэтому тут у меня удивления как раз нет. В общем всё оказалось куда проще
Ответ написан
Jump
@Jump Куратор тега Системное администрирование
Системный администратор со стажем.
Есть ли смысл обращаться в Полицию
Нет.
Серьезного ущерба нет - какой смысл полиции заниматься этим делом? Они вам посоветуют дурью не маяться, а настраивать безопасность на серверах нормально.
Заявление конечно примут, если будете настаивать, но толку от этого никакого не будет.

Никогда никому пароль из ЛК Провейдера А, который хранится там в открытом виде, я не говорил и ни в каких переписках никогда не скидывал
Пароль не может хранится в ЛК провайдера в открытом виде!
Так делают только при регистрации сервиса - вам скидывают адреса доступа и пароль и напоминают что его нужно обязательно поменять.
Вы этот пароль должны моментально поменять на свой, который нигде не будет храниться. Если вы этого не сделали - ну ловите проблемы.
Ответ написан
karabanov
@karabanov
Администрирую сети
В конфиге SSH лучше отключить возможность логинться по паролю.

PasswordAuthentication no
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы