younghacker

ip_forward включили?

# cat /proc/sys/net/ipv4/ip_forward

iptables/nft forward цепочки смотрели?

Как я понимаю целевой сервер не ваш.

Пинганите одновременно
- внешний IP WireGuard сервера
- и IP гейта на другом конце туннеля (полагаю тот что вы пинговали)

Сравните разницу.
Если есть значительная разница есть (пинг снаружи быстрее и не пропадает) и сервер не ваш - выберите другой сервер. Этот просто не справляется. Хотя возможен и вариант DPI пакостей от провайдера.
Если разницы почти нет, и пинги пропадают даже снаружи то поменяйте целевой сервер и/или провайдера.
Или сделайте "сервер проставку" между вами и целевым сервером.

Запросы небольшие?
Что делает другой сервер при этом?
Проверьте использование памяти (свап), диска, нагрузку сети и процессора как на гипервизор так и на виртуалки.
Просмотрите логи виртуалки нет ли там ошибок от что виртуалка замирает.
Попробуйте отправлять ежесекундно мелкие udp/tcp запросы в обе стороны и пишите их в файл. Отправляемые данные пронумеруйте и затем посмотрите не выпадает ли что-то. Поснифьте tcpdump-ом трафик который отправляете/принимаете с обеих сторон.
Проверить драйвера сетевых карт.
Посмотреть настройки и статистику файрвола.

Можно оставить и обычную самбу или ftp
Только поставить крон задачу которая пробегает по каталогам бэкапа и выполняет одну команду
chattr +i *
После этой команды все файлы становятся readonly для всех, даже для рута.
И шифровальщик не сможет ничего сделать.

[root@localhost ~]# lsattr test-file.txt
-------------e-- test-file.txt
[root@localhost ~]# chattr +i test-file.txt
[root@localhost ~]# lsattr test-file.txt
----i--------e-- test-file.txt
[root@localhost ~]# rm test-file.txt
rm: remove regular file ‘test-file.txt’? y
rm: cannot remove ‘test-file.txt’: Operation not permitted

Аналогично можно передвигать файлы в другой каталог который readonly либо который клиентам вообще не доступен.

Чистить каталоги с бэкапом нужно противоположной командой.

chattr -i test-file.txt
rm test-file.txt

Но BareOS и другие специализированные продукты как советовали выше никто не отменял. :)

Во-первых:
Как поменять пароль зависит от того какой у вас FTP сервер и как он авторизует пользователей.
PureFTP, VsFTPD и т д.

Во-вторых:
Люди которые Вам делали сайт могут навредить и без доступа к FTP, просто через свой php скрипт который является составной частью CMS. Вы же не знаете есть ли там возможность или нет. Ну и ещё один путь - стандартный вход в админку сайта. Если файлы в каталогах сайта можно заблокировать от изменения на уровне файловой системы, то чёрный вход в панель нужно найти и обезвредить. Так имея вход в админку вредитель может менять содержимое базы данных, так как сайту к базе обычно предоставляется полный доступ. Блокирование доступа в админку по IP тоже не даёт 100% защиты так как чёрный вход может использовать обходной путь через php который является обёрткой для админки но лежит где-то в другом каталоге и доступен публично.

Что будет если добавить -z для sed ?

`-z'
`--null-data'
`--zero-terminated'
     Treat the input as a set of lines, each terminated by a zero byte
     (the ASCII `NUL' character) instead of a newline.  This option can
     be used with commands like `sort -z' and `find -print0' to process
     arbitrary file names.

Нужно передать DNS со стороны сервера на клиента , и на клиенте как уже сказали выше рубануть исходящий и входящий трафик на 53 порту везде кроме tun интерфейса.
Разумеется в этом случае адрес VPN сервера должен быть указал в цифровом виде. Не доменный.
iptables на клиенте будет выглядить как-то так:

-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o tun+ -j ACCEPT
-A OUTPUT -o eth0 -d adresservera -p udp -dport vpnport -j ACCEPT
-A OUTPUT -j DROP

кусочек конфига openvpn сервера:

push "dhcp-option DNS 10.1.10.1"
push "redirect-gateway"

Разумеется DNS должен быть проксирован или проброшен снаружи через туннель
Если всё ещё актуально, постучитесь в скайп - поясню/помогу.

Если находит по имени но не находит по адресу значит дело в том что адрес и имя ресолвятся не туда или используется другой протокол. Я бы посмотрел что там с IPv4 и IPv6.
Для вашего случая туннель я бы поднял несколько иначе:

ssh -4 -L 9999:127.0.0.1:9999 -N root@111.111.111.111

Утилита tcpdump поможет узнать больше о сетевом трафике с вашей стороны и со стороны сервера. Для Windows есть wireshark и wincap.

Что касается iptables - то он содержит правила которые никогда не сработают.

-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -d 111.222.333.444/32 -o eth0 -p udp -m udp --dport 1194 -j ACCEPT

Первое сработает, второе никогда. Одно из этих правил лишнее. Скорее второе.
Потому что если убрать первое то ssh будет заблокирован в eth0 либо должен будет бежать через tun.

В выходных цепочках у вас определён интерфейс wlan0

-A OUTPUT -d 111.222.333.444/32 -o wlan0 -p udp -m udp --dport 1194 -j ACCEPT

А во входных про него забыли.
Хотя непонятно чей это iptables. :) Клиента или сервера?

Покажите свои конфиги и как Вы запускаете certbot
Похоже что в конфиге нарушена кодировка либо отсутствуют опции типа аутентификатора:

2017-03-30 09:34:26,065:DEBUG:certbot.main:Discovered plugins: 
PluginsRegistry(
PluginEntryPoint#standalone,
PluginEntryPoint#manual,
PluginEntryPoint#nginx,
PluginEntryPoint#webroot,
PluginEntryPoint#apache,
PluginEntryPoint#null)
2017-03-30 09:34:26,065:DEBUG:certbot.plugins.selection:
Requested authenticator None and installer None
2017-03-30 09:34:26,756:DEBUG:certbot.main:Exiting abnormally:

Как искать спамера - рассказали. Теперь один из вариантов как сработать на опережение - предотвратить спам в результате взлома.

В iptables запрещаем исходящее TCP соединение на любой внешний 25 порт с эккаунтов кроме postfix, root, mail.
В результате этого web сервер не может отправить почту напрямую.
Всех нарушителей перед reject-ом пишем в лог. За логом непрерывно следим. Появление массы записей свидетельствует о попытке установить внешние соединения на порт 25.

-A OUTPUT -o br0 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -o br0 -m state --state NEW -p tcp -m tcp --dport 25 -j SMTPOUT
-A SMTPOUT -d 127.0.0.1 -j ACCEPT
-A SMTPOUT -m owner --gid-owner mail -j ACCEPT
-A SMTPOUT -m owner --uid-owner root -j ACCEPT
-A SMTPOUT -m owner --uid-owner smfs -j ACCEPT
-A SMTPOUT -j LOG --log-uid --log-prefix "Reject outgoing SMTP "  # Houston, we have a problem
-A SMTPOUT -j REJECT --reject-with icmp-admin-prohibited

А в почтовике разрешаем отправку почты только с аутентификацией.
Большинство взломов не смогут разослать спам.
Более продвинутые взломы вынуждены будут найти аутентификацию и отправлять с ней.
В постфиксе включаем smtpd_sasl_authenticated_header = yes (Postfix версии 2.3 и выше)
В результате в чего в заголовке каждого отправленного письма появится имя аутентифицировавшегося пользователя.
По этому имени получив абузу от спамхауса вы тутже видите кто провинился.
Мониторим очередь отправки. Бурный рост очереди - чаще всего - результат взлома и попытки рассылки спама.
Мониторим dnsbl листы.

Ну и напоследок, что сделать чтобы минимизировать риск взлома?
Блокировать модификацию и создание файлов из php. Да, автообновление вордпресс провалится. Но если мы запрещаем бесконтрольную модификацию сайта, то запрещаем всем. Можно даже руту запретить.

chattr +i -R * /var/www/hosts/site.domain/public_html/

У каталогов куда необходимо разрешить запись файлов (например upload) отключите хендлер обработки php файлов интерпретатором php. Пусть веб сервер его отобразит но не выполнит. Файл .htaccess который это блокирует также защищаем от записи. Основное правило - запретить произвольную бесконтрольную модификацию кода оставив возможность записывать данные но при этом запретить возможожность выполнения данных. :)
Понятно что не каждая CMS сможет нормально работать в таком режиме.
В таком режиме много лет у нас работает сайт одного клиента на joomla 1.5 :) Дыра - дырой. И если снять ридонди и его взламывают в течении пары дней.

И заключительный совет: Не размещайте сайты на хосте который является также и почтовым сервером. Или как минимум разнесите IP адреса с которого отправляется почта от адреса с которого работает вебсервер. Чтобы это хоть снаружи выглядело как разные хосты. Тогда взлом сайта и рассылка спама не приведёт к блокировке IP почтовика в разных dnsbl от которого порой отмыться очень сложно и/или долго.

cURL error 7: Failed to connect to foods-service.com.ua port 443: Connection refused (see http://curl.haxx.se/libcurl/c/libcurl-errors.html)

Ваш хост
1)забанили
2) у вас криво настроен firewall
3) с хоста запрещены исходяшие соединения.

Например у меня всё в порядке

$ nmap -p80,443 foods-service.com.ua

Starting Nmap 7.12 ( https://nmap.org ) at 2017-02-05 22:24 CET
Nmap scan report for foods-service.com.ua (37.139.15.228)
Host is up (0.036s latency).
PORT    STATE SERVICE
80/tcp  open  http
443/tcp open  https

У каждого пула и задания есть параметр Volume Retention который задаёт время по истечении которого файлы попавшие в этот том бакула считает удалёнными. Если установлена опция AutoPrune = yes то bacula удалит записи из каталога (SQL). А если установлена опция ActionOnPurge = Truncate то урежет размер файла до нуля.

Нужно для себя уяснить одну вещь: bacula/bareos заточена под ленты и воспринимает файлы как ленты. И ведёт себя соответственно, использует их повторно если не установлен параметр Maximum Volume Jobs = 1. Проблема заключается в том что у меня объём бэкапов растёт и сложно понять сколько нужно хранить. И часто случалось что какой-то том раздувался и заполнял диск. Мы ведь в большинстве своём используем диски, а не ленты. Удалять такие тома дело сложное особенно когда задание "размазано" по нескольким файлам-лентам.
Поэтому для себя я решил так что задания будут иметь определённый формат напрямую связанный с именем сервера, типом бэкапа и датой. В этом случае очередь на удаление очевидна. Кроме этого не возникает больших проблем при восстановлении из одного лишь файла бэкапа (без SQL каталога, несколько раз приходилось это делать) так как всё задание целиком в одном файле.

За основу можете взять скрипт отсюда исправить его под свою задачу и добавить в cron. Помните что этот скрипт для ручного запуска. Он интерактивный и удаляет файлы по датам и невзирая на то сколько файлов осталось. Другими словами если бэкап не будет создаваться этот скрипт, выполняясь, будет удалять файлы. И в конце концов удалит все бэкапы. Кстати, скрипт вместо крона можно вставить в обработчик например каталога. Поставить бэкап SQL каталога в конец очереди и в него добавить задание "RunScript after/Run After Job"

Подключите регистратор к роутеру (который позволяет перехватывать трафик) и на роутере посмотрите трафик. Возможно ждать активности придётся долго.
А имя странное это где? каким образом вы его получили?
Домен ресолвится на cloudflare.net а за ним пусто "DNS points to prohibited IP"

на сервере:
# netstat -nlp | grep ':21'
должен показать процесс ftpd или что там у Вас, и адреса которые он слушает. должно быть 0.0.0.0:21 или ваш ip к которому соединяетесь ftp клиентом.

на сервере же запустить ftp клиент и соединиться тем адресом который точно случает ftp демон. Самый простой вариант поставить midnight commander запустить его и в нём ввести команду (предположим что сервер слушает 0.0.0.0, а значит и 127.0.0.1):
cd ftp://имяфтппользователя:пароль@127.0.0.1
в случае успеха увидите каталог ftp сервера.

# iptables -nvL INPUT
должно показать правила из которых следует что 21 порт принимается на нужном интерфейсе с нужного IP клиента. Если прописано правило для 21 порта (лучше прописать) то увидите счётчик пакетов. Если от момента рестарта iptables Вы пробовали с клиента соединиться счётчик должен быть ненулевой.

# cat /etc/sysconfig/iptables-config | grep 'IPTABLES_MODULES='

добавить модуль ip_nat_ftp и рестартануть IPTABLES

смотрим что там с AppArmor он тоже может блокировать доступ.
# aa-status

обычно на убунте по умолчанию не используют SELinux но проверить стоит.
# getenforce
Если активировано - временно можно отключить и попробовать соединиться снова.

Логи, любимое админское чтиво:

# cat /var/log/имя лога ftp сервера | grep -i 'ftp'
# cat /var/log/kern.log

Сначала нужно добиться соединения с локального ftp клиента, затем пробовать с удалённого.

PS извиняюсь но Ваши настройки смотреть не стал после того как увидел сколько JS скриптов с разных сайтов хочет подсунуть этот ...сайт ради картинки...

dd ?

dd if=/dev/disk1 of=/dev/disk2 bs=4M conv=notrunc,noerror

noerror continue after read errors

Можно dd вызвать и из find -type f и копировать пофайлово.

Ошибка означает то что невозможно открыть ppp устройство. Скорее всего его нет.

Но что это за недо-VDS? OpenVZ? OpenVZ не подходит для целей VPN. Поменяйте на нормальный VDS где Вы сам себе админ. На нормальный гипервизор KVM, XEN, Vmware, Hyper-V.

Потому что nmap не сканирует UDP по умолчанию
добавьте опцию -sU

-sU (UDP scans) .
           While most popular services on the Internet run over the TCP protocol, UDP[6] services are widely deployed. DNS, SNMP, and DHCP (registered
           ports 53, 161/162, and 67/68) are three of the most common. Because UDP scanning is generally slower and more difficult than TCP, some security
           auditors ignore these ports. This is a mistake, as exploitable UDP services are quite common and attackers certainly don't ignore the whole
           protocol. Fortunately, Nmap can help inventory UDP ports.

С другой стороны на стороне сервера запустите
netstat -nlp | grep openvpn
и увидите что именно слушает openvpn сервис.
Ну и последнее загляните в
iptables -nvL