Так что я почти уверен, что мой домашний сервер Apache2 был взломан. Это виртуальная машина, работающая на моем сервере. Я использовал этот сервер в качестве https-прокси/обратного прокси-сервера для других моих приложений, которые я запускал дома.
Случилось так, что я создал слишком маленький диск, и он заполнился. Затем он заполнился, и мои автоматические обновления больше не запускались. Я застрял на апаче 2.4.38. Это полностью моя вина.
Что я заметил, так это то, что на одном из моих субдоменов я получил страницу, отображающую сообщение сервера InteractSH по умолчанию. Я никогда не устанавливал этот сервер взаимодействия. Итак, я приступил к работе и только что обнаружил, что рассматриваемый поддомен каким-то волшебным образом перенаправляется на вредоносный IP-адрес. (Он также помечен как вредоносный на maltiverse.com).
Я хочу знать несколько вещей:
- Где же происходит эта маршрутизация?
- Что, вероятно, было скомпрометировано?
- Как узнать, как долго я был скомпрометирован?
На первые вопросы я использую прямой IP-адрес для подключения сервера apache2 к моему резервному серверу. "Список IP-маршрутов" ничего не показывает. Мой файл hosts тоже ничего не показывает. Вот как выглядит мой конфиг:
<VirtualHost *:443>
ServerName subdomain.domain.com
DocumentRoot /var/www/html
ErrorLog ${APACHE_LOG_DIR}/subdomain.error.log
CustomLog ${APACHE_LOG_DIR}/subdomain.access.log combined
Header always set Strict-Transport-Security "max-age=1552000; includeSubDomains"
<Location />
ProxyPass http://192.168.my.local.ip/
ProxyPassReverse http://192.168.my.local.ip/
</Location>
Include /etc/letsencrypt/options-ssl-apache.conf
SSLCertificateFile /etc/path...
SSLCertificatKeyFile /etc/path...
</VirtualHost>
Что касается второго вопроса, я не знаю, что они могли сделать за последнее время. Теоретически они могли перехватить весь мой трафик, не так ли? Или мог украсть мои SSL-сертификаты.
Может ли кто-нибудь дать мне некоторые рекомендации или поддержку в том, что делать?
С уважением,
TTheCreator
