@rudepython
Alexey12.10.2017
11:27:58
11:27:58
Свежий пустой инстанс дебиана последнего, там ничего, в нём lxc контейнер с убунтов лтс 16 последней обновлённой, туда пакетом gitlab.
Результат — через сутки убунта протроянена, от рута пересобрано всякого говна, в кроне биткоин майнеры и сканеры ссш.
Вот лолки иголки.
Andrei12.10.2017
11:31:11
11:31:11
рут пароль был "root"?
GoogleAlexey12.10.2017
11:31:40
11:31:40
Рут пароля не было.
https://ru.minergate.com/altminers/yam
Вот эта хуйнюшка во все ядра молотила.
Igor12.10.2017
11:32:54
11:32:54
пиздец
Alexey12.10.2017
11:33:10
11:33:10
И два варианта, либо гитлаб кривой, либо убунта пиздец.
Andrei12.10.2017
11:33:22
11:33:22
а как пробралось, не знаешь точно?
Alexey12.10.2017
11:34:49
11:34:49
Сегодня по утру начался скан ссш оттуда, не ранее вчера 11 часов система была уже протроянена, не ранее вчера 5 утра в систему уже дичь ходила с рутом по ссш.
Andrei12.10.2017
11:37:03
11:37:03
в сети еще за начало лета много вопросов на эту тему, но там вроде через самбу просачивалось
Alexey12.10.2017
11:37:18
11:37:18
Нет никакой самбы у меня на серверах прости господи.
Andrei12.10.2017
11:40:01
11:40:01
а сам дистрибутив мог быть похачен? hash совпал?
Alexey12.10.2017
11:40:30
11:40:30
Ясен хуй.
Andrei12.10.2017
11:44:29
11:44:29
3 недели назад: https://gitlab.com/gnachman/iterm2/issues/6050
гитлаб в списке подозреваемых
GoogleAlexey12.10.2017
11:47:59
11:47:59
Ну не убунта же. Как бы я её не хуесосил, но на ней полмира крутится сейчас.
Andrei12.10.2017
11:48:45
11:48:45
?
Alexey12.10.2017
12:06:56
12:06:56
Много друзяшек. :3
Посонтре, оно сорсы высосало и пересобрало!
Блядь, черви для убунты уже умнее её среднего пользователя!
Eugine12.10.2017
12:10:12
12:10:12
-mnative для работы не хватало :D
Alexey12.10.2017
12:10:47
12:10:47
Продолжаю наблюдение. Жду, что скоро оно доведёт убунту до ума, подкрутит конфиг постгри и отрефачит рельсовый код гитлаба.
Alexey12.10.2017
12:11:56
12:11:56
Ясен хуй.
Igor12.10.2017
12:11:56
12:11:56
в благодарность за хостинг, так сказать
Alexey12.10.2017
12:12:06
12:12:06
Я майнилку уже придавил на ядрышко. :3
Igor12.10.2017
12:12:22
12:12:22
а скок ядер?
Alexey12.10.2017
12:12:26
12:12:26
8 вроде
GoogleAlexey12.10.2017
12:12:45
12:12:45
Ща ещё исходящий скан заверну в соседний контейнер и буду изображать Большой Серьёзный Сервер, который Он Как Бы Взломал.
Vladimir
b0g3r12.10.2017
12:13:10
12:13:10
Я тоже иногда плесневелый хлеб не выбрасываю
Alexey12.10.2017
12:13:16
12:13:16
Вооооот.
Eugine12.10.2017
12:13:44
12:13:44
уже
Andrei12.10.2017
12:20:20
12:20:20
какая странная кодировка
Agent12.10.2017
12:22:03
12:22:03
https://threatpost.com/google-warns-of-dos-and-rce-bugs-in-dnsmasq/128238/ еще отсюда могут лезть
Agent12.10.2017
12:22:38
12:22:38
может через DNS и залезли
Eugine12.10.2017
12:26:35
12:26:35
ты вчитывался?
Agent12.10.2017
12:27:00
12:27:00
в вашу переписку?
Eugine12.10.2017
12:27:13
12:27:13
В ссылку
Agent12.10.2017
12:29:13
12:29:13
в принципе да. Что там не так.
Andrei12.10.2017
12:31:34
12:31:34
гитлаб на рельсах что ли?
GoogleAgent12.10.2017
12:32:54
12:32:54
не знаю на чем гитлаб никогда его не запускал если честно
Alexey12.10.2017
12:33:02
12:33:02
Держи в курсе.
Andrei12.10.2017
12:33:37
12:33:37
а рельсы многоядерность уже поддерживают? или это шутка была про 1 ядро?..
да, вроде как есть prod-ready
Unfortunately, only two of these 11 Ruby Implementations are actually production-ready: MRI and JRuby. (Stack Overflow)
Bogdan (SirEdvin)12.10.2017
14:32:46
14:32:46
а рельсы многоядерность уже поддерживают? или это шутка была про 1 ядро?..
Звучит так, как будто python никогда и не был production ready ...AdminERROR: S client not available
Eugine12.10.2017
14:46:26
14:46:26
лол
подожди
если его использует в проде
то оно автоматически становится продакшн реди?
Andrei12.10.2017
14:52:49
14:52:49
та нее, вон Uber использует MySQL в проде...
Eugine12.10.2017
14:53:18
14:53:18
толсти, да незатолстайся
Andrei12.10.2017
14:54:34
14:54:34
ну на самом деле про одноядерность Руби - это не шутка. а при чем тут питон - не знаю
Alexey12.10.2017
14:54:39
14:54:39
Бехехе, хецнер погасил тот сервер.
Alexey12.10.2017
14:56:10
14:56:10
Так контейнер уже давно выключен лол.
Сейчас, внимание, эти пэрцы предлагают для разблокировки и запуска сервера — предоставить логи с этого сервера где написано, что угрозы и сканирований больше нет.
GoogleAndrei12.10.2017
14:57:42
14:57:42
студенты, небось, балуются
Roman12.10.2017
14:58:57
14:58:57
мне не доплачивают за продвижение =)
Alexey12.10.2017
15:02:58
15:02:58
Не, там же эта пиздатория начала сегодня в 11:55 UTC битки майнить, а в ≈13 UTC сканить во весь канал и брутить ссш.
Eugine12.10.2017
15:03:09
15:03:09
вот беда
Alexey12.10.2017
15:03:23
15:03:23
Первое похуй, на второе прилетела абюзка, зашёл глянуть чо за хуйня на пустом сервере, а там ёёёёбаный почеши да как так-то ржака.
Теперь хоть понятно, что вся эта хуйня с контейнерами имела смысл.
@cadmi @zartsoft братаны, спасибо, кстати, ещё раз, за lxc.
Dmitry12.10.2017
15:04:54
15:04:54
lxd! :)
Alexey12.10.2017
15:05:12
15:05:12
У меня хостом доебан. ;) Убунту ставил первый раз в жизни в контейнер и её сразу же снесли. 8D
Фряшная привычка всё говно изолировать по одиночке в джейлы и не выпускать.
Dmitry12.10.2017
15:08:24
15:08:24
or transgender
мне блокировали один раз (тоже виртуалка была со старым легаси php сайтом, и старинной centos), я в ответ написал просто "круто, я почистил" и они включили обратно без всяких логов
на самом деле я просто удалил это старое говно совсем
Alexey12.10.2017
15:11:58
15:11:58
Так я так же делаю. Нашёл говно, ёбнул его, отписался, всё ок.
А здесь вон чо. Идиоты-с. :)
Открыть в Telegram