У меня дома много лет работал сервачок под Ubuntu, на котором помимо файлового хранилища с фотками и различными документами крутилось ещё много чего полезного, привычного и любимого: интернет-радио со множеством каналов любимой музыки, разбитой по жанрам; фидошная нода; телефонный автоответчик и ещё куча всего, что собиралось, настраивалось и использовалось буквально годами.
Как-то вся эта красота стала недоступна. Полез выяснять, думал, что разделы перестали монтироваться. А оказалось, что все данные на них стёрты. В /home обнаружился файлик READ_ME.txt следующего содержания:
"We have secured and backed up your files and databases in a safe place!
To get your database back, you have to pay 1 Bitcoin within 24 hours. If not, we will leak your files and databases to the public.
Please pay to this Bitcoin address 3Q3YX3TnLJu3SuAn1JTuadQJG72ZcA3a7U.
After sending Bitcoin, please send the transaction ID and your server IP address to this email address johndonker666@protonmail.com
We will send link to get your files and databases to your email address."
Как я понимаю, злодей подобрал логин и не слишком простой пароль для ssh-сессии. Сколько же времени на это было потрачено?
И сумма выкупа ещё несколько смущает. Выходит, что это было сделано из любви к искусству 😊
по курсу
646 242 рублей вроде как.
Скорее всего не подбором паролей, а через уязвимость в ПО которое за это время сильно устарело, и не обновлялось. По портам опросили, нашли это ПО. Время думаю совсем мало (файлы скорее просто удалили, зачем им копия), попробуйте, восстановить диск загрузившись с другого носителя например с флешки или CD.
(напишите этому гаврику чтобы прислал вам какой то конкретный файлик 😊 убедиться что копия есть 😊 )
Может резервная копия была?
Теперь можно обновить железо 😊 и запустить всё тоже самое на виртуалке 😊 из любви к искусству 😊
Изначально написано Alexander_SAS:
1 биткоин просят 😊
по курсу
646 242 рублей вроде как.
Хрена се... Отстал я от жизни.
файлы скорее просто удалили, зачем им копия
Я тоже так думаю. Там почти терабайт данных был.
запустить всё тоже самое на виртуалке 😊 из любви к искусству 😊
Всё и было в контейнерах LXC. Тем удобнее было с ними расправиться - снёс каталоги, и всё 😊
Написать ему - это мысль. Попробую без матов.
Но платить не стал бы ни копейки в любом случае 😊
Изначально написано Shurale:
Но платить не стал бы ни копейки в любом случае 😊
А почему вы не хотите оплатить работу? Человек старался, находил уязвимости в вашей системе. Оплату попросил постфактум.
Alexander_SAS дело говорит, почти всё можно восстановить так или иначе.
Ну и бэкап нужен так или иначе. Он же был? 😀
Это кстати очередной случай, когда бэкап решает.
Ну и явно хакнули не day0, а просто мамкины хулкацкеры нашли стандартным скриптом старую уязвимость в вашей системе, т.к. никто её не обновлял и pen тестов не делал.
Изначально написано Henri:
Человек старался, находил уязвимости в вашей системе.
Так он же, зараза, не поделился со мной этой информацией 😊
Изначально написано Alexander_SAS:
Террористам нельзя платить, да и на фига 😊 99% всей инфы восполнима, или не нужна 😊
Согласен и с первым и со вторым. Сделаю и снова буду пользоваться. До следующего кулхацкера 😊
Изначально написано Egolf:
Ну и бэкап нужен так или иначе. Он же был? 😀
Почти терабайт данных бэкапить... Ну, в принципе, есть куда. Теперь будет.
Ну и явно хакнули не day0, а просто мамкины хулкацкеры нашли стандартным скриптом старую уязвимость в вашей системе, т.к. никто её не обновлял и pen тестов не делал.
Хост-систему обновлял регулярно. Вот в контейнерах не обновлял, да. Но как из изолированной среды можно на хосте похозяйничать? Для меня пока загадка.
Это если кому интересно, как свой линуксовый сервак защитить.
А если кто-то сомневается, что и его тоже пытаются ломануть, просто посмотрите логи:
sudo cat /var/log/auth.log | grep Failed
Вот где офуеть-не-встать.
Да. На сайтах постоянно логи пухнут - сканируют на наличие админок популярных CMS. Тяжело найти то, чего нет. 😀Originally posted by Shurale:А если кто-то сомневается, что и его тоже пытаются ломануть, просто посмотрите логи:
Да не сколько, не представляете сколько появляется уязвимостей если например не обновить файрвол. 😀Изначально написано Shurale:
Сколько же времени на это было потрачено?
К сожалению обновы всяких примочек происходит после череды взломов, как вышла новая заплатка вы потенциальная жертва взлома до обновы, это надо помнить постоянно. Ну и бэкапить от подобной чешуи. Да дорого, но ваши домашние фотографии и гиги доков дешевле?
Тоже владелец сервера. 😛
А длинна и заковыристость вашего пароля интересно только школоте.
в одной строительной конторе сервер грохнули, а там инфы на миллиард, заплатили биток тогда он меньше 1000 бакинских был
Изначально написано alex.kzn:
содержимое сервера их не волнует, хакают всё что могут, рассчитывая на авось важные данныев одной строительной конторе сервер грохнули, а там инфы на миллиард, заплатили биток тогда он меньше 1000 бакинских был
И что, вернули им данные?
Изначально написано Shurale:И что, вернули им данные?
да
Изначально написано alex.kzn:да
Потом нашли гадов?