Backstory
I miei siti e VPS sono stati rubati da me. La società di hosting e io eravamo bloccati e impossibilitati ad accedervi. Non sono stati in grado di creare una password temporanea per l'accesso perché l'autore dell'attacco lo ha bloccato.
L'ultima volta che ho effettuato l'accesso a WHM, è stato effettuato il controllo root e tutti gli HDD non erano più avviabili. Credo che la stessa persona abbia usato un worm per monitorare il mio desktop da remoto. 5 pezzi e 5 dispositivi mobili, bricking my ddwrt r7000 router con PIA VPN killswitched. Una dozzina di vmi di zecca / ubuntu sono stati rilevati. Molte unità USB sono state create per essere scritte in modo indipendente. Era implacabile.
Ho smesso di cercare di capire cosa stava succedendo e ho riformattato tutti i dispositivi.
Ora sto aspettando l'immagine del server e un'istantanea della memoria, oltre a una copia rsync. In caso di transazione, ottieni un'immagine di server nuova ... sicuramente di un IP diverso, a meno che non siano convinti.
Ecco l'email che ho ricevuto oggi:
Blockquote This ticket was just assigned to me. I have made a backup of the account >out of the way of the backup processes here.
[2018-03-25] pkgacct completato
Stavo leggendo alcune conversazioni e vorrei semplicemente assicurarmi di essere sulla stessa pagina.
Non possiamo dd (bit per bit copy) lo stato corrente perché l'account non ha un supporto di memorizzazione in grado di gestirlo. Se vuoi aggiungere chiavi che possiamo rsync su ssh a una destinazione remota, dacci solo la destinazione del file di output e saremo lieti di aiutarti.
Normalmente non manteniamo i sistemi operativi compromessi a meno che non vi sia un interesse specifico. Quello che trovo interessante è il software openVPN:
uperior.hosting.com [home] # ifconfig as0t0 Link encap: Ethernet HWaddr inet6 addr: Ambito: collegamento UP BROADCAST RUNNING PROMISC MULTICAST MTU: 1500 Metrica: 1 Pacchetti RX: 0 errori: 0 interrotto: 0 superamenti: 0 fotogramma: 0 Pacchetti TX: 436367538 errori: 0 interrotto: 504 superamenti: 0 operatore: 0 collisioni: 0 txqueuelen: 200 Byte RX: 0 (0,0 b) TX byte: 26310498062 (24,5 GiB)
asbr0 Link encap: Ethernet HWaddr in aggiunta: Bcast: Maschera: inet6 addr: Ambito: collegamento UP BROADCAST MULTICAST MTU: 1500 Metrica: 1 Pacchetti RX: 431222324 errori: 0 interrotti: 0 superamenti: 0 frame: 0 Pacchetti TX: errori 1492069: 0 interrotti: 0 superamenti: 0 operatore: 0 collisioni: 0 txqueuelen: 0 Byte RX: 20595591150 (19,1 GiB) TX byte: 634373123 (604,9 MiB)
Se si utilizza questo server come server Web di produzione, si consiglia di utilizzare CentOS 7 e installare qualcosa come "Cockpit" invece di utilizzare una VPN attraverso un server cPanel su CentOS 6.
Qual è lo scopo del nostro supporto è quello di assicurarti di avere un percorso da e verso il server mentre recuperi i dati barebone. Concluderò con alcune opzioni e domande. (Le seguenti sono le mie risposte)
-
Una richiesta sull'attivit di openvpn
-
Facendoli sapere, ancora una volta, voglio una copia dell'immagine del server, un'istantanea della memoria e tutti i registri disponibili
-
Nuova installazione di cPanel / WHM
-
Nuovi indirizzi IP per siti e VPS
-
Informazioni SFTP
Blockquote
Is having a VPN, IDS, firewall, honeypot enough? Have I left anything out?
VPS è un Bluehost che esegue CentOS 7 con qualsiasi alternativa a WordPress ...