Vinstrok
@Vinstrok
Веб разработчик

Кто сталкивался с биткоин вымогателями бд?

В общем вчера с утра мне постучали со дна затерев базы данных на сервере, и оставив вместо старых баз записку:
INSERT INTO `WARNING` VALUES (1,'To recover your lost data : Send 0.05 BTC to our BitCoin Address and Contact us by eMail with your server IP Address or Domain Name and a Proof of Payment. Any eMail without your server IP Address or Domain Name and a Proof of Payment together will be ignored. Your File and DataBase is downloaded and backed up on our servers. Backups that we have right now: biysk,blawknox,belgorod,albajar,alaskadiesel,ashok,avia,barber-green,auwaerter,blog,bernard,buffalospringfield,armavir,belarus,caterpillar,balakovo,baycityshovel,bova,balashiha,adams,austinhealy,benford,bolens,bautz,bentley,berdsk,bluebirdbody,autodiesel,bantam,benfra,abg,bryansk,ausa,aveling-barford,agriful,agrale,belaz,casagrande,acura,bray,angarsk,ag-chem,bandit,carrier,bristol,astrahan,abakan,bell,bharatearth,american-motors,buick,bw-lathrop,ceccato,bataysk,austin-western,benati,blagoveshhensk,barnaul,braud,arzamas,ahlmann,brunogenerator,ankai,bmw,autokraz,astra,bedford,bitelli,allis-chalmers,akerman,ayyedekparca,achinsk,almetevsk,albaret,berezniki,cbt,audi,bratsk,blount,atlasweyhausen,carraro,arhangelsk,cadillac,bussing,camc,catalog,bks,athey,asiamotorwork,aksa,bmc-trucks,agco,baudouin,avant,allison,ayerbe,beibentruck,best-winner,artem,ammann . If we dont receive your payment,we will delete your databases.','1HXnLWN8Bi8nKAhTg1YqtGWZ2KttHhiDZF','admin@hello-database.xyz');

При этом начав разбираться я увидел у пользователя root привилегию GRANT PROXY которую так же создали эти содомиты, слава богу у меня делаются каждый день резервные копии, я их восстановил, отрубил полностью доступ из внешки, удалил у рута наличие грат прокси, поменял пароли на всех учетках, все было хорошо ровно день, сегодня мне постучали второй раз затерев уже 100 баз данных, на просторах гугла абузрепортов масса на эту тему, но решений по устранению корня зла нигде нет, вопрос может кто сталкивался с такой проблемой?

Включение general_log в mysql по большому счёту дают мало информации
  • Вопрос задан
  • 2268 просмотров
Решения вопроса 1
sim3x
@sim3x
Вас взломали и у вас нет квалификации в расследовании взлома?
Делаем образ выключенной системы снаружи и бекапим его себе (зачем? Возможно найдете того кто сможет расследовать)
Берем список софта и убираем из него все, что не требуется для работы сервиса
- пхпмайадмин, фтп, как раз примеры такого софта

Сносим ОС (считайте что скомпроментирован рут и все тулзы ОС)
И ставим по хорошему мануалу с изрядной долей паранои (чаще всего одна статья не поможет - делайте свои заметки при установке)
Максимально изолируем все от всего
Наружу смотрит только вебсервер
ссш по портпиннингу (оно делается в полпинка, как на стороне клиента так и на стороне сервера)
Ваши цмс и скрипты должны обновляться регулярно
Следите за логами - часто взлом происходит в течении нескольких дней и простой греп по логам покажет, кого вам нужно забанить по ип и где поставить капчу

То что у вас есть бекапы делает вашу ситуацию в разы лучше
Ответ написан
Пригласить эксперта
Ответы на вопрос 5
Rsa97
@Rsa97
Для правильного вопроса надо знать половину ответа
Закрывать весь доступ к базе извне. MySQL должен слушать только локальные адреса.
Доступ к серверу должен быть только по ssh с ключом, а не паролем.
Убирать PHPMyAdmin, настроить SQLWorkbench с доступом через ssh-туннель.
Ответ написан
serginhold
@serginhold
Вообще ноль информации в посте, но смотрю есть тег phpmyadmin, может дело в нем? стоит какая-нибудь дырявая версия. При этом я вообще не понимаю нафига им пользоваться)
Ответ написан
CityCat4
@CityCat4
Кошки не похожи на людей, кошки - это кошки!
Значит дыра не в паролях, а скорее всего ломают через CMS или еще каким-нибудь образом получая привилегии рута.
Отсоединить сервер от тырнета. От слова совсем, оставить только консоль.
Образ системы слить для дальнейшего изучения.
Если хост с рейдом - разобрать рейд и собрать с другим порядком дисков, создать заново с форматированием рейда.
Систему поставить заново, из бэкапов брать только текстовые конфиги и то после того, как они просмотрены. Дистриб сливать с оригинального сервера с перепроверкой контрольных сумм.
(Все это нужно для того, чтобы гарантировать чистую машину для установки и чистый дистриб)
Как можно меньше сервисов наружу, все сервисы на нестандартные порты, все, что авторизуется по ключам или сертификатам - нужно использовать только с ключами/сертификатами
Постоянно глядеть логи - наверняка будут еще попытки.

Да, некоторые пункты отдают паранойей :) Но лучше здоровая паранойя...
Ответ написан
@pfg21
ex-турист
хосподи этих криптовымогателей в тырнете до лампочки.

наверное надо настроить систему безопасности ??
чтобы левых недопускать туда куда не нужно.
или нет ??
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
09 дек. 2019, в 12:29
150000 руб./за проект
09 дек. 2019, в 12:20
3000 руб./за проект