Рейтинг:0

Мой сервер Apache2 был взломан, нужна помощь в раскрытии последствий

флаг lv

Так что я почти уверен, что мой домашний сервер Apache2 был взломан. Это виртуальная машина, работающая на моем сервере. Я использовал этот сервер в качестве https-прокси/обратного прокси-сервера для других моих приложений, которые я запускал дома.

Случилось так, что я создал слишком маленький диск, и он заполнился. Затем он заполнился, и мои автоматические обновления больше не запускались. Я застрял на апаче 2.4.38. Это полностью моя вина.

Что я заметил, так это то, что на одном из моих субдоменов я получил страницу, отображающую сообщение сервера InteractSH по умолчанию. Я никогда не устанавливал этот сервер взаимодействия. Итак, я приступил к работе и только что обнаружил, что рассматриваемый поддомен каким-то волшебным образом перенаправляется на вредоносный IP-адрес. (Он также помечен как вредоносный на maltiverse.com).

Я хочу знать несколько вещей:

  • Где же происходит эта маршрутизация?
  • Что, вероятно, было скомпрометировано?
  • Как узнать, как долго я был скомпрометирован?

На первые вопросы я использую прямой IP-адрес для подключения сервера apache2 к моему резервному серверу. "Список IP-маршрутов" ничего не показывает. Мой файл hosts тоже ничего не показывает. Вот как выглядит мой конфиг:

<VirtualHost *:443>
ServerName subdomain.domain.com

DocumentRoot /var/www/html

ErrorLog ${APACHE_LOG_DIR}/subdomain.error.log
CustomLog ${APACHE_LOG_DIR}/subdomain.access.log combined

Header always set Strict-Transport-Security "max-age=1552000; includeSubDomains"

<Location />
ProxyPass http://192.168.my.local.ip/
ProxyPassReverse http://192.168.my.local.ip/
</Location>

Include /etc/letsencrypt/options-ssl-apache.conf

SSLCertificateFile /etc/path...
SSLCertificatKeyFile /etc/path...

</VirtualHost>

Что касается второго вопроса, я не знаю, что они могли сделать за последнее время. Теоретически они могли перехватить весь мой трафик, не так ли? Или мог украсть мои SSL-сертификаты.

Может ли кто-нибудь дать мне некоторые рекомендации или поддержку в том, что делать?

С уважением, TTheCreator

флаг ng
«рассматриваемый поддомен каким-то волшебным образом перенаправляется на вредоносный IP-адрес»: ваш сервер Apache перенаправляет трафик с заголовком HTTP Location или IP-адрес поддомена был изменен? В последнем случае проблема вашего взлома заключается в вашем управлении DNS. Кстати, устаревший Apache 2.4 не *настолько* уязвим, что сразу приводит к удаленному выполнению кода. Вероятно, происходит что-то еще.
Tthecreator avatar
флаг lv
Привет @Halfgaar, мои настройки DNS не повреждены. Я обновлю свой исходный пост примером того, как выглядит моя конфигурация apache. Похоже, что веб-сайт действительно исходит из моего субдомена, но каким-то образом перенаправляется.
Tthecreator avatar
флаг lv
@GeraldSchneider Да, это очень помогает. Я могу получить много общей информации из этого. Однако в моем конкретном случае мне бы хотелось узнать, как мои данные были перенаправлены. Таким образом, я могу узнать, какие данные были перенаправлены. Мне нужно знать, прослушивались ли мои данные, и если да, то как долго.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.