Deci sunt destul de sigur că serverul meu Apache2 de acasă a fost spart. Acesta este într-o VM care rulează pe serverul meu. Folosisem acest server ca https proxy/reverse-proxy pentru celelalte aplicații pe care le rulez acasă.
Ce s-a întâmplat a fost că am creat un disc prea mic și s-a plin. Apoi, s-a plin și upgrade-urile mele nesupravegheate nu mai rulau. Am fost blocat la apache 2.4.38. E complet vina mea.
Ceea ce am observat a fost că pe unul dintre subdomeniile mele am primit o pagină care afișează un mesaj implicit de server InteractSH. Nu am instalat niciodată acest server interactSH. Așa că m-am apucat de treabă și tocmai am aflat că subdomeniul în cauză este direcționat într-un fel magic către un IP rău intenționat. (De asemenea, este marcat ca rău intenționat la maltiverse.com).
vreau sa stiu cateva lucruri:
- Unde naiba are loc această rutare?
- Ce a fost probabil compromis?
- Cum aflu de cât timp am fost compromis?
La primele întrebări, folosesc o adresă IP directă pentru a conecta serverul apache2 la serverul meu susținut. „lista rute ip” nu arată nimic. Nici fișierul meu hosts nu arată nimic. Iată cum arată configurația mea:
<VirtualHost *:443>
ServerName subdomain.domain.com
DocumentRoot /var/www/html
ErrorLog ${APACHE_LOG_DIR}/subdomain.error.log
CustomLog ${APACHE_LOG_DIR}/subdomain.access.log combined
Header always set Strict-Transport-Security "max-age=1552000; includeSubDomains"
<Location />
ProxyPass http://192.168.my.local.ip/
ProxyPassReverse http://192.168.my.local.ip/
</Location>
Include /etc/letsencrypt/options-ssl-apache.conf
SSLCertificateFile /etc/path...
SSLCertificatKeyFile /etc/path...
</VirtualHost>
La a doua întrebare, nu știu ce ar fi putut face în ultimul timp. În teorie, ei ar fi putut să-mi caute tot traficul, nu-i așa? Sau mi-ar fi putut fura certificatele SSL.
Poate cineva să-mi dea niște indicii sau sprijin cu privire la ce să fac?
Salutari,
TTheCreator
