Cообщение от Telegram-канал suharik71
Добавлено: 05 апр 2025, 12:32
это будет крайний вариант, и руки рядом кривые
Русский форум Asterisk сообщества
https://forum.asterisk.ru/
кто знает какую нить приблуду по перебору паролей ssh?
сменили пароль от рута и забыли его? знаем только +/- что там было
Для обычного сисадмина это действительно оказалось всё сложно. Но tcpdump снимался уже для анализа деталей в wireshark, содержимого запросов.
Всё началось с того, что были массовые отображения запросов в sngrep, который как я понимаю показывает запросы после firewall и он показывал их при полном запрете на весь трафик на всех уровнях, кроме админского с конкретного единственного IP. В погоне за баном злоумышленника уже под 4 утра я забанил все входящие на локальную машину и потерял доступ вообще к VPS ?. Вот с утра восстановил через прямую админ консоль.
Чуть отдохну, (спал 4 часа) и пойду разбираться дальше. Но всё равно спасибо, замечание по ответам Астер - верное, нужно будет ещё раз посмотреть, но он отвечал на некоторые. Злоумышленник очень разнообразно проксируется, меняет идентификаторы sip-клиентов, которые всё больше похожи на реальные реги реальных софтфонов, используемых нами, меняет внешние и локальные IP, макадреса. Все - разные.
это будет крайний вариант, и руки рядом кривые
у вас руту разрешено логиниться по ssh? 0_о
шо ж ты бывалый а ключ не создал? эххх
зато бакап сделал?
а проверял? хотябы архив на целостность? ?