За последнее время встретилось несколько забавных инцидентов, которые достойны бы смеха, если бы их последствия не были столь плачевны. Инциденты можно разбить на две группы: игровые серверы и телевизоры. Да, покупая домой IP-телевизор, вы приносите средство для совершения преступлений вашими руками. Устанавливая сервер по инструкции, написанной преступником, вы отдаете его в преступные руки.
Рано или поздно начинается DoS или Brute-force атака с какого-нибудь ВПС, при поиске источника которой обнаруживается, что ВПС взломан, а им управляют откуда-то при помощи IRC. В корневом каталоге или в каталоге /root ВПС обнаруживается запускаемый файл, который порождает в памяти процесс, замаскированный под веб-сервер (httpd), или ssh-сервер, но запущенный из какого-то странного места. Эти сервисы прослушивают не совсем стандартные порты или протоколы (как то UDP port 80 для httpd или UDP port 22 для ssh, хотя всем известно, что эти две службы используют протокол TCP) и еще имеют исходящее соединение с сервером IRC, который им и подает “команды к действию”. Остается риторический вопрос – как “это” попало на ВПС?
Не менее интересны случаи, когда таким ВПС управляет пользователь, работающий в системе… с телевизора. При чем, способ попадания на ВПС предельно прост: в протоколах авторизации заметны следы перебора паролей…
Теперь главный вопрос: как это на ВПС все попадает и каким образом телевизор становится средством управления? Доступ злоумышленнику на ВПС дает его владелец! Как правило, пользователь беспечен – “да кому я нужен, что там у меня на том сервере брать”? Как выясняется, брать есть что.
ВПС может быть удобным инструментом в атаке на сервер банка или гос. службы. Но по беспечности пользователя остается короткий пароль, установленный на технике по умолчанию, или сложный пароль, установленный изначально на ВПС сменяется на простой пароль вида “vasya321”, потому что его проще запомнить. Но его же и проще подобрать! И вот, пароль на IP-телевизор уже подобран, и с телевизора осуществляются попытки подбора паролей к сторонним системам.
Ну и что? Эти попытки подбора пароля можно рассматривать как попытки взлома, которые осуществляет владелец ВПС, и это является преступлением согласно Уголовному кодексу Украины. А вот осуществляет их, если не слишком детально разбираться, владелец взломанного телевизора! Последствия для него можно живо себе представить.
А что же наши игровые сервера, ведь пароли меняют не все, а выдаваемые системой при начальной установке пароли к легко подбираемым не относятся. Но схожесть симптомов наводит на мысль, что все необходимое для взлома устанавливается владельцем ВПС. Установка игрового сервера сама по себе задача не всегда тривиальная. Игровые сервера распространяются в виде скомпилированного модуля, а системные требования описаны “по диагонали”. Соответственно, в Интернет есть масса инструкций по установке игрового сервера на ту или иную систему.
Зачастую при установке инструкции выполняются не вдаваясь в подробности, “скопировал- вставил”. И в этих инструкциях запросто может быть команда по загрузке ПО, обеспечивающего доступ злоумышленнику, а в скрипте для запуска игрового сервера – команда на запуск этого самого ПО и подключения его к каналу IRC… Результат, думаю, ясен.
Что делать? Если с ВПС уже совершаются атаки – то ее судьба – переустановка системы. Но при установке сервера заново нужно не допустить той же ошибки. Внимательно просматривайте, какие файлы загружаются и запускаются при установке игрового сервера. Каждая команда wget должна привлечь особое внимание! После запуска сервера посмотрите, какие процессы запущены (командой top), какие соединения установлены (netstat -nlp). Если есть что-то подозрительное – трижды проверьте, что это такое. И будьте бдительны. Иначе – удаленный ВПС, разочарование, а иногда и общение с органами внутренних дел вполне могут стать результатом беспечности.