Finland VPS 78.17.4.225: инцидент XorDDoS — очистка и hardening
- 14 ТБ трафика за 11 дней через ботнет (zneirjeklr/lvm2-monitor) - Точка входа: RCE в amnezia-panel-web (PHP), не SSH brute - Malware зачищен: 3 процесса, 10 файлов → 0-byte + chattr +i - C2 IP заблокированы в iptables OUTPUT - SSH: PasswordAuth=no, только ключ (исправлено 99-cloud-init.conf) - Docker→host SSH в INPUT DROP (172.17/18/19/29) - fail2ban + iptables-persistent - Через 3ч проверка: чисто, watchdog'ов нет - AmneziaVPN не пострадал, клиенты НИИКН онлайн
This commit is contained in:
dttb
@@ -74,3 +74,37 @@ tags: [niikn, vpn, security, malware, finland]
|
|||||||
ssh -i ~/.ssh/id_ed25519 root@78.17.4.225 # только ключ
|
ssh -i ~/.ssh/id_ed25519 root@78.17.4.225 # только ключ
|
||||||
# Пароль sshpass больше не работает (PasswordAuthentication=no)
|
# Пароль sshpass больше не работает (PasswordAuthentication=no)
|
||||||
```
|
```
|
||||||
|
|
||||||
|
## Проверка через 3 часа после очистки (24 Apr ~15:30 UTC)
|
||||||
|
**Всё устойчиво:**
|
||||||
|
- Malware-процессов: 0
|
||||||
|
- Внешних подозрительных соединений: 0
|
||||||
|
- Файлы-ловушки целы (0 байт + `chattr +i`), новых дропперов в /tmp/var/tmp нет
|
||||||
|
- C2 OUTPUT DROP счётчики **не растут** (только +6 пакетов на 170.168.103.27 — доумирающие TCP-ретраи): 95 / 80 / 21
|
||||||
|
- INPUT DROP `amnezia-panel→host:22` — 10,563 пакетов (легитимный collect_metrics.php каждую минуту, безвреден)
|
||||||
|
- fail2ban: 54 IP забанены за сутки, 1211 failed отбито
|
||||||
|
- vnstat: вчера 1.77 GiB, сегодня 749 MiB (92 kbit/s) — **норма** (раньше 120 Мбит/с при заражении)
|
||||||
|
- AmneziaWG: handshake свежий, клиенты НИИКН активны, передано 2.03 GiB
|
||||||
|
|
||||||
|
**Очистка устойчива. Watchdog'ов не осталось. Сервер можно оставить в работе.**
|
||||||
|
|
||||||
|
## Хеши malware (для blocklist)
|
||||||
|
Сохранены в `/root/forensic-20260424/`:
|
||||||
|
- `zneirjeklr.bin` (114779 байт) — главный бинарь
|
||||||
|
- `1380609993.bin` (3301552 байт) — вторая стадия
|
||||||
|
|
||||||
|
## Сетевые IOC (Indicators of Compromise)
|
||||||
|
**C2 IP (заблокированы в OUTPUT):**
|
||||||
|
- 141.98.10.115:1531
|
||||||
|
- 170.168.103.27:29205
|
||||||
|
- 64.89.161.144:40778
|
||||||
|
|
||||||
|
**Brute-force источники (топ-10 за период до очистки):**
|
||||||
|
- 91.142.77.101 — 67,267 попыток
|
||||||
|
- 91.142.78.60 — 66,472
|
||||||
|
- 91.142.78.8 — 36,116
|
||||||
|
- 176.120.22.13 — 5,164
|
||||||
|
- 223.76.107.28 — 5,131
|
||||||
|
- 80.66.66.70 — 3,128
|
||||||
|
|
||||||
|
Эти IP уже автоматически попадают в fail2ban при появлении.
|
||||||
|
|||||||
Reference in New Issue
Block a user