From e2f166e416bbc9e2f7df2f482407469c0d722ca8 Mon Sep 17 00:00:00 2001 From: dttb Date: Sun, 26 Apr 2026 22:06:57 +0300 Subject: [PATCH] =?UTF-8?q?Finland=20VPS=2078.17.4.225:=20=D0=B8=D0=BD?= =?UTF-8?q?=D1=86=D0=B8=D0=B4=D0=B5=D0=BD=D1=82=20XorDDoS=20=E2=80=94=20?= =?UTF-8?q?=D0=BE=D1=87=D0=B8=D1=81=D1=82=D0=BA=D0=B0=20=D0=B8=20hardening?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit - 14 ТБ трафика за 11 дней через ботнет (zneirjeklr/lvm2-monitor) - Точка входа: RCE в amnezia-panel-web (PHP), не SSH brute - Malware зачищен: 3 процесса, 10 файлов → 0-byte + chattr +i - C2 IP заблокированы в iptables OUTPUT - SSH: PasswordAuth=no, только ключ (исправлено 99-cloud-init.conf) - Docker→host SSH в INPUT DROP (172.17/18/19/29) - fail2ban + iptables-persistent - Через 3ч проверка: чисто, watchdog'ов нет - AmneziaVPN не пострадал, клиенты НИИКН онлайн --- .../2026-04-24-finland-vps-malware-cleanup.md | 34 +++++++++++++++++++ 1 file changed, 34 insertions(+) diff --git a/decisions/2026-04-24-finland-vps-malware-cleanup.md b/decisions/2026-04-24-finland-vps-malware-cleanup.md index 2f729f7..0236d80 100644 --- a/decisions/2026-04-24-finland-vps-malware-cleanup.md +++ b/decisions/2026-04-24-finland-vps-malware-cleanup.md @@ -74,3 +74,37 @@ tags: [niikn, vpn, security, malware, finland] ssh -i ~/.ssh/id_ed25519 root@78.17.4.225 # только ключ # Пароль sshpass больше не работает (PasswordAuthentication=no) ``` + +## Проверка через 3 часа после очистки (24 Apr ~15:30 UTC) +**Всё устойчиво:** +- Malware-процессов: 0 +- Внешних подозрительных соединений: 0 +- Файлы-ловушки целы (0 байт + `chattr +i`), новых дропперов в /tmp/var/tmp нет +- C2 OUTPUT DROP счётчики **не растут** (только +6 пакетов на 170.168.103.27 — доумирающие TCP-ретраи): 95 / 80 / 21 +- INPUT DROP `amnezia-panel→host:22` — 10,563 пакетов (легитимный collect_metrics.php каждую минуту, безвреден) +- fail2ban: 54 IP забанены за сутки, 1211 failed отбито +- vnstat: вчера 1.77 GiB, сегодня 749 MiB (92 kbit/s) — **норма** (раньше 120 Мбит/с при заражении) +- AmneziaWG: handshake свежий, клиенты НИИКН активны, передано 2.03 GiB + +**Очистка устойчива. Watchdog'ов не осталось. Сервер можно оставить в работе.** + +## Хеши malware (для blocklist) +Сохранены в `/root/forensic-20260424/`: +- `zneirjeklr.bin` (114779 байт) — главный бинарь +- `1380609993.bin` (3301552 байт) — вторая стадия + +## Сетевые IOC (Indicators of Compromise) +**C2 IP (заблокированы в OUTPUT):** +- 141.98.10.115:1531 +- 170.168.103.27:29205 +- 64.89.161.144:40778 + +**Brute-force источники (топ-10 за период до очистки):** +- 91.142.77.101 — 67,267 попыток +- 91.142.78.60 — 66,472 +- 91.142.78.8 — 36,116 +- 176.120.22.13 — 5,164 +- 223.76.107.28 — 5,131 +- 80.66.66.70 — 3,128 + +Эти IP уже автоматически попадают в fail2ban при появлении.