Из-за дыры в безопасности - китайские боты решили атаковать один из моих серверов и установили абсолютно iбучий и популярный вирус sutekh
(кстати, Сутех — это древнеегипетский бог хаоса и разрушения, создатели вирусов любят пафос)😐
👇Расшифрую что происходит на этом скриншоте:
Процессор (все 4 ядра) забит на 100%, а Load Average (очередь задач) составляет 46-39. Для 4-ядерного сервера нормальный Load Average — до 4...
Злоумышленники обожают папку /tmp. Она есть на любом Linux, и, как правило, в нее может записать файл любой пользователь (без root-прав).
62.113.110.125:8082 - это засветка моего сервера. Вирус работал прямо внутри и целенаправленно атаковал/эксплуатировал базу данных (API supabase), которая висит на порту 8082.
😐Как выяснилось позже - я просто в свое время забыл закрыть порт для всего интернета...
Вот они - недостатки зоопарка технологий на проекте и общей необразованности.
Если кто-то не понимает что это значит - я люблю такую метафору:
Представьте что вы свой любимый ноутбук поставили на турникете метро "Ленинский проспект", так что любой желающий может воткнуть свою грязную вонючую флешку в USB и со всеми вытекающими...
Это далеко не первая атака на мои ресурсы, но в этот раз всё хуже.
Cервер был скомпрометирован (взломан).
Цeли могут быть разные:
1️⃣ Поскольку в команде указан метод supabase и IP сервера, это специализированный скрипт, который пытался взломать локально развернутый Supabase (например, подобрать пароль к базе PostgreSQL или проэксплуатировать известную уязвимость). Он породил десятки процессов подключения (поэтому столько строк и 100% CPU), пытаясь вытащить данные или получить root-доступ к системе. (как правило мамкины хакеры ищут персональные данные или например ключи от криптокошельков)
2️⃣Иногда такие скрипты делают сервер частью огромного ботнета (сети зараженных машин), чтобы по команде атаковать чужие сайты (DDoS-атака).
3️⃣ Майнеры жрут 100% CPU (но они редко используют флаги --method supabase (поэтому я хз)
Какие могут быть последствия?
😐Отключение сервера провайдером ( Если он уже участвует в DDoS-атаке или сканирует другие сети, провайдер быстро заметит аномальный исходящий трафик и просто заблокирует сервер до выяснения обстоятельств.
😐Утечка данных (не требует пояснения...)
😲Падение проектов (вирус жрет 100% CPU и ОЗУ - выходит что все полезные процессы просто убиты (OOM Killer) или будут работать медленно.
НО что самое стремное - вирусы редко работают без так называемого механизма закрепления (persistence). Если хакер смог закинуть файл в /tmp и запустить его, значит в системе есть дыра. И скорее всего, скрипт уже оставил "бэкдор" (черный ход), чтобы скачаться заново пока я сплю.
Ну и конечно лучшей практикой такого кейса в Enterprise среде является полный снос сервера, переустановка с нуля и накатывание бэкапов. 🤔
Но для пет-проектов/тестовых серверов можно просто вычистить cron, сменить пароли и закрыть порты. Однако спасть спокойно больше не получится..😐
Вот и думай теперь..
🤔
