Взломали сервер. Как выяснить урон?

лог команд можно потереть

ну я просто озвучил способы, а там уже что после себя оставили, то и оставили, если взлом был профессиональный, то и можно не понять что происходило и какой урон нанесён

я абсолютный в этом новичок
Вот что в истории командной строки хранится
sudo apt-get -h
sudo apt-get autoremove
sudo apt-get clean
wget -q -O - https://dl-ssl.google.com/linux/linux_signing_key.pub | sudo apt-key add -
sudo sh -c 'echo "deb [arch=amd64] dl.google.com/linux/chrome/deb stable main" >> /etc/apt/sources.list.d/google-chr$
sudo apt-get update
sudo apt-get install google-chrome-stable
exit
sudo apt-get update
sudo apt-get upgrade
google-chrome
exit
ls -l -a
cd .ssh
ls -l -a
nano authorized_keys
ls -l -a
ls -l
ls -l -a
cd ssh
cd .ssh
ls -l -a
exit
sudo find / id_rsa.pub
sudo find / id_rsa.pub print
sudo find -name id_rsa.pub
sudo find . -name id_rsa.pub
clear
sudo find / -name "*.pub"
cd /etc/ssh/
ls -l
nano ssh_import_id
nano ssh_config
exit
sudo apt-get update
sudo apt-get upgrade
sudo apt autoremove
free -h
clear

Что вы можете подсказать на основании этого лога?

Кто-то настраивал ssh до Вас. Возможно ваш сервер интересовал как дёдик для кардинга или подобных тому вещей, возможно как файловое хранилище. Трудно сказать на 100%

я настраивал с самого начала доступ по публичному ключу. И он есть в папке .ssh
Я захожу без пароля, просто по ssh

Ну тогда по вашему вышлопу из истории команд нечего сказать

Присоединяюсь к авторам ниже, пересоберите всё заново

bychok300: мне интересно как залезли на сервер, если Амазоне вход по *.pem-файлу и я настроил ssh?

Unknown Person: а залезли рутом или нет?

Unknown Person: счас угадаю. с винды сидите, небось? ищите троянца

Евгений: не знаю. Я пробовал зайти из под рута root@dsti.ml но мне это с самого начала не удалось

roswell: нет, с Линукса

roswell: эм, а может быть мой комп взломан?

Unknown Person: значит, спалился ваш pem где-то. думайте, каким образом.

roswell: он у меня в домашней папке на рабочем ноуте лежит. Вроде больше никуда не сливал его. У меня на компе стоит очень слабый пароль - 4 цифры. Может быть взломали мой комп, а потом по цепочке?

Unknown Person: всёу что угодно может быть

roswell: переустанавливать систему, шифровать и ставить сложный пароль я не могу, у меня ноут настроен под разработку и горят дедлайны :( Как вычислить взломан ли мой комп?

Unknown Person: ps aux | less и смотреть, нет ли чего ненормального. А заодно глянуть в ~/.ssh/authorized_keys и прошерстить кроновские задачи.

roswell: authorized_keys у меня нет, а первая команда выдала столько, что незнающему там делать нечего :(

А как её найти можете подсказать?

Я не знаю зачем, но поднял я его после кика китайца. Постфикс был настроен, то есть поставленные задачи выполнял (использовал для создания имейлов по имени сайта на котором регистрировался. По сути так ни разу и не заюзал). Всё, что вы написали далее мне почти не понятно - я полный нубас пока в этом :( Может есть статья как это сделать?

Unknown Person: проверьте по mail.log за проблемные дни сколько писем было отправлено через ваш сервер. Если речь идет о десятках и более тысяч писем - смотрите по записям в логах как и от кого они были приняты.

Владимир Дубровин: подобных записей
Mar 2 04:53:43 ip-172-31-25-122 postfix/smtpd[7506]: connect from wsip-98-179-145-10.ks.ks.cox.net[98.179.145.10]
Mar 2 04:53:43 ip-172-31-25-122 postfix/smtpd[7506]: disconnect from wsip-98-179-145-10.ks.ks.cox.net[98.179.145.10] helo=1 auth=0/1 quit=1 commands=2/3
Mar 2 04:57:03 ip-172-31-25-122 postfix/anvil[7508]: statistics: max connection rate 1/60s for (smtp:98.179.145.10) at Mar 2 04:53:43
Mar 2 04:57:03 ip-172-31-25-122 postfix/anvil[7508]: statistics: max connection count 1 for (smtp:98.179.145.10) at Mar 2 04:53:43
Mar 2 04:57:03 ip-172-31-25-122 postfix/anvil[7508]: statistics: max cache size 1 at Mar 2 04:53:43
Mar 2 05:01:56 ip-172-31-25-122 postfix/smtpd[7510]: warning: hostname static-210.62.93.111-tataidc.co.in does not resolve to address 111.93.62.210: Name or service not known
Mar 2 05:01:56 ip-172-31-25-122 postfix/smtpd[7510]: connect from unknown[111.93.62.210]
Mar 2 05:01:57 ip-172-31-25-122 postfix/smtpd[7510]: lost connection after CONNECT from unknown[111.93.62.210]
Mar 2 05:01:57 ip-172-31-25-122 postfix/smtpd[7510]: disconnect from unknown[111.93.62.210] commands=0/0
Mar 2 05:05:17 ip-172-31-25-122 postfix/anvil[7512]: statistics: max connection rate 1/60s for (smtp:111.93.62.210) at Mar 2 05:01:56
Mar 2 05:05:17 ip-172-31-25-122 postfix/anvil[7512]: statistics: max connection count 1 for (smtp:111.93.62.210) at Mar 2 05:01:56
Mar 2 05:05:17 ip-172-31-25-122 postfix/anvil[7512]: statistics: max cache size 1 at Mar 2 05:01:56
Mar 2 05:09:25 ip-172-31-25-122 postfix/smtpd[7521]: connect from rrcs-208-105-155-18.nys.biz.rr.com[208.105.155.18]
Mar 2 05:09:25 ip-172-31-25-122 postfix/smtpd[7521]: disconnect from rrcs-208-105-155-18.nys.biz.rr.com[208.105.155.18] helo=1 auth=0/1 quit=1 commands=2/3
Mar 2 05:12:46 ip-172-31-25-122 postfix/anvil[7523]: statistics: max connection rate 1/60s for (smtp:208.105.155.18) at Mar 2 05:09:25
Mar 2 05:12:46 ip-172-31-25-122 postfix/anvil[7523]: statistics: max connection count 1 for (smtp:208.105.155.18) at Mar 2 05:09:25
Mar 2 05:12:46 ip-172-31-25-122 postfix/anvil[7523]: statistics: max cache size 1 at Mar 2 05:09:25
на более чем 3000 строк

Unknown Person: нет, это просто спамеры.
Если в mail.log 3000 строк, то скорей всего проблем нет. И по вашим описаниям, никаких подозрений на взлом тоже нет. Какой "коннект из Китая" к какой службе и как вы убили?

Владимир Дубровин: вот так sudo iptables -A INPUT -s 183.164.139.154 -j DROP

Unknown Person: К каком порту он был подключен-то? К 25му?

Владимир Дубровин: без понятия :( я запустил netstat, увидел два коннекта: я и он. Ну и загуглил как кикнуть

Unknown Person: у вас почтовый сервер, у вас в практически в любой момент есть коннект от кого-нибудь. В mail.log этот адрес есть?

Владимир Дубровин: нет

Unknown Person: а как именно "падал" постфикс и что значит "подняли"?

Unknown Person: и что в mail.log/mail.warn/mail.err в этот период?

Владимир Дубровин: он не запускался. А после кика запустился без проблем. А по поводу Хрома - каюсь, я сам его и поставил :(
mail.err.1:
Feb 17 19:01:54 ip-172-31-25-122 postfix/postfix-script[14924]: fatal: Postfix integrity check failed!
Feb 18 19:03:39 ip-172-31-25-122 postfix/postalias[20236]: fatal: open /etc/aliases.db: Permission denied
Feb 18 19:56:02 ip-172-31-25-122 postfix/postfix-script[20627]: fatal: cannot execute /usr/sbin/postconf!
сегодня было то же. Наверное это был крайний раз, когда я заходил на сервер. А може и ещё раньше. Между этой датой и сегодня записей нет
Иногда попадаются подобные записи:
Feb 18 16:17:04 ip-172-31-25-122 postfix/smtpd[19548]: NOQUEUE: reject: RCPT from unknown[191.96.249.117]: 454 4.7.1 : Relay access denied; from= to= proto=ESMTP helo=<[127.0.0.1]>

Unknown Person: подозреваю, вы просто пытались запустить постфикс без sudo

это уже само собой. С отсутствием знаний что как и к чему проще заново всё переустановить и на этот раз защитить