После покупки VPS  обнаруживается что хостер предусмотрительно модернизировал систему для себя любимого.
Будем очень признательны если каждый кто в теме ниже под этим постом опишет свой личный опыт поиска и обезвреживания, разной заразы.
Также тем кто даст ссылки на толковые статьи на эту тему. Всем спасибо, за просмотр и за помощь, отдельно.
p.s. Просьба указывать базовую версию ОС, так как сами знаете они бываю разные.

• VPS - найти закладки, руководство по поиску.,Ананий, 15:05 , 15-Ноя-23
• VPS - найти закладки, руководство по поиску.,КриоМух, 07:31 , 14-Дек-23
  • VPS - найти закладки, руководство по поиску.,arachnid, 13:10 , 14-Дек-23
    • VPS - найти закладки, руководство по поиску.,КриоМух, 20:44 , 14-Дек-23
    • VPS - найти закладки, руководство по поиску.,КриоМух, 20:51 , 14-Дек-23
      • VPS - найти закладки, руководство по поиску.,arachnid, 13:50 , 15-Дек-23
        • VPS - найти закладки, руководство по поиску.,КриоМух, 08:44 , 16-Дек-23
          • VPS - найти закладки, руководство по поиску.,arachnid, 13:19 , 18-Дек-23
            • VPS - найти закладки, руководство по поиску.,КриоМух, 11:08 , 20-Дек-23
  • VPS - найти закладки, руководство по поиску.,Ананий, 09:37 , 21-Дек-23
    • VPS - найти закладки, руководство по поиску.,КриоМух, 18:03 , 21-Дек-23
      • VPS - найти закладки, руководство по поиску.,Ананий, 09:41 , 22-Дек-23
        • VPS - найти закладки, руководство по поиску.,КриоМух, 15:04 , 26-Дек-23
• VPS - найти закладки, руководство по поиску.,Аноним, 11:27 , 22-Дек-23

> После покупки VPS

что мешает поставить все свое, любимое?
всегда так делаю на VDS/VPS

Добрый день!

Да, я брал VPS на FreeBSD. Так вот там из модификаций, по крайней мере которые я заметил невооружённым глазом:
- PermitRootLogin no
- И добавлен ключик для тех.поддержки хостера в /root/.ssh/authorized_keys

Это поубирал, ssh перезапустил, весь мир пересобрал и всё. Когда возникли вопросы к хостеру (обрубили исходящие SMTP мне), тех.поддержка настойчиво говорила чтобы я предоставил им доступ на этот сервер. Я им также настойчиво объяснял, что доступ туда им дан не будет т.к. он им не нужен :)

Повысили заявку на их руководителя, я с ним спокойно, адекватно поговорил - и всё ок.

У меня там никакого GELI нет, так что я прекрасно понимаю, при необходимости получения моих супер-пупер секретных сайтиков - берут диск копируют, да и монтируют куда угодно и исследуют что угодно. Но уж онлайн доступ извне - это увольте господа.

> Да, я брал VPS на FreeBSD. Так вот там из модификаций, по
> крайней мере которые я заметил невооружённым глазом:
> - PermitRootLogin no
> - И добавлен ключик для тех.поддержки хостера в /root/.ssh/authorized_keys

точно "no"? а то он давно так выключен по умолчанию.

кстати, 25 порт намертво выключен у DO, но им и так уже давно не оплатить... а это кто такой еще альтернативный?

Да я скопировал со своей машины строку конфига. На VPS'ке конечно было выставлено хостером в yes. А во фре изкаробки насколько я помню всегда было no

> кстати, 25 порт намертво выключен у DO, но им и так уже
> давно не оплатить... а это кто такой еще альтернативный?

Не знаю альтернативный или нет, но этот провайдер: https://ispserver.ru
25 порт у них не закрыт, но после полугода работы сайта, который рассылает почту клиентам (рассылает легально, т.е. не абы кому, а тем кто с конторой стал работать и им эти письма нужны) - так вот через полгода такой работы заблочили 25 порт, после моего обращения в тех.поддержку сказали что подозрительная активность, и мне пришлось ввести всякие таблицы для хранения сессий согласившихся на рассылку писем клиентов, добавить ссылки в письма на отписку и прочее. Я таких тонкостей не знал, хостеру спасибо - научили.
В итоге всё, что им надо было сделал - и разблочили.

> Не знаю альтернативный или нет, но этот провайдер: https://ispserver.ru
> 25 порт у них не закрыт, но после полугода работы сайта, который
> рассылает почту клиентам (рассылает легально, т.е. не абы кому, а тем
> кто с конторой стал работать и им эти письма нужны) -
> так вот через полгода такой работы заблочили 25 порт, после моего
> обращения в тех.поддержку сказали что подозрительная активность, и мне пришлось ввести
> всякие таблицы для хранения сессий согласившихся на рассылку писем клиентов, добавить
> ссылки в письма на отписку и прочее. Я таких тонкостей не
> знал, хостеру спасибо - научили.
> В итоге всё, что им надо было сделал - и разблочили.

если не секрет, это в каком количестве вы рассылали письма, что провайдер возбудился? и кстати, вы рассылки делали с МХ или так?

> если не секрет, это в каком количестве вы рассылали письма, что провайдер
> возбудился? и кстати, вы рассылки делали с МХ или так?

Рассылал не много. Рассылка делалась раз в 2-3 недели, количество адресатов в одной рассылке - порядка 300. Не космические и не промышленные объёмы. Письма правда с pdf-ками внутри, т.е. относительно большие по размеру, но не более 10Мб каждое.

Рассылал и рассылается до сих пор, через законный mx.

да, соглашусь, что не много. странное поведение провайдера. спасибо за предупреждение!

>> если не секрет, это в каком количестве вы рассылали письма, что провайдер
>> возбудился? и кстати, вы рассылки делали с МХ или так?
> Рассылал не много. Рассылка делалась раз в 2-3 недели, количество адресатов в
> одной рассылке - порядка 300. Не космические и не промышленные объёмы.
> Письма правда с pdf-ками внутри, т.е. относительно большие по размеру, но
> не более 10Мб каждое.
> Рассылал и рассылается до сих пор, через законный mx.

> да, соглашусь, что не много. странное поведение провайдера. спасибо за предупреждение!

На всякий случай, для исключения двусмысленности. Тут везде, где я писал "провайдер", имелось в виду "хостер" у которого арендована VPS.

> Добрый день!
> Да, я брал VPS на FreeBSD. Так вот там из модификаций, по
> крайней мере которые я заметил невооружённым глазом:
> - PermitRootLogin no
> - И добавлен ключик для тех.поддержки хостера в /root/.ssh/authorized_keys

при первой же пересобрке мира мергемастер покажет все изменения
ну а ставят себе доступы (в случае моего они ставили), т.к. за хочтингом к ним обращаются зачастую малознакомые с freebsd/linux люди и иногда бешплатно, а зачастую именно за доп. плату они могут что-то настроить. А не потому, что КрУгОм_ВрАгИ_за_МноЙ_СЛИдят.

PermitRootLogin yes ставят, чтобы сразу после накатки стандартного шаблона ты смог бы зайти по ссш в выданнымим тебе параметрами. А как ты еще зайдешь, если у тебя нет ни одного юзера, лол? Создавать его за тебя? Так ты тут на субстанцию изойдешься в поиске большого брата.

> при первой же пересобрке мира мергемастер покажет все изменения
> ну а ставят себе доступы (в случае моего они ставили), т.к. за
> хочтингом к ним обращаются зачастую малознакомые с freebsd/linux люди и иногда
> бешплатно, а зачастую именно за доп. плату они могут что-то настроить.
> А не потому, что КрУгОм_ВрАгИ_за_МноЙ_СЛИдят.

Это конечно же понятно. Я нигде и не говорил, что кругом враги. Прекрасно понимаю, что чтобы оперативней помогать клиенту, для того и и сделан удалённый доступ. Но вопрос топикстартера был именно о том, какие чёрные ходы для себя оставляет хостер, кто знает. И я поделился своей историей.

> PermitRootLogin yes ставят, чтобы сразу после накатки стандартного шаблона ты смог бы
> зайти по ссш в выданнымим тебе параметрами. А как ты еще
> зайдешь, если у тебя нет ни одного юзера, лол? Создавать его
> за тебя? Так ты тут на субстанцию изойдешься в поиске большого
> брата.

Уважаемый, мы же тут про VPS говорим, если ты с ними имел дело, то должен понимать, а точнее знать должон, что хостер к VPS всегда даёт доступ через web vnc. Т.е. условно к физической консоли, на которой ты и можешь спокойно зайти рутом, хоть с PermitRootLogin, хоть без, ибо это не через ssh.

>VPS всегда даёт доступ через web vnc

Дает, сейчас. Раньше такой роскоши могло и не быть. Для VDS так вообще извольте-с потрахаться с явой.
Web VNC ему всегда дают.

Ну и сути не меняет. Хостер назначает, или в своем биллинге дает задать рутовый пароль. Поэтому никакого криминала с PermitRootLogin yes нету. Коли сам себе одмин ты все равно должен будешь проверить что ты там назапускал, и что там тебе напредоставляли. А еще лучше записать себе куда-нибудь сетевые параметры, все вот эти ваши ойпи с масками, статическими маршрутами, и прочими прелестями и накатить все с нуля.
И все вопросы с закладками от хостера решатся сами собой.

>>VPS всегда даёт доступ через web vnc
> Дает, сейчас. Раньше такой роскоши могло и не быть. Для VDS так
> вообще извольте-с потрахаться с явой.
> Web VNC ему всегда дают.

Да, моя выборка конечно ни на что не претендует, но 1 Российский хостер и 1 нидерландский (или какой он там, hostzealot) дают стандартно vnc. Я по этому параметру не искал, но вроде как VPS именно это и предполагает, иначе это гемор и для тех.поддержки каждый чих от угробившего свою vps'ку клиента отдавать на тех.поддержку, и для самого клиента получается несоответствие: Купил виртуалку, а доступа к ней нет, только в ОС внутри неё. Мало чем от shared hosting тогда отличается.

В общем случае можно рутфс закатывать из своего тарболла. Но это полумеры. Через гипервизор можно получить все что угодно.
Железка (в идеале собственная, опечатанная) и мониторить перезагрузки, подключения USB, сериал. Что-то из этого замечено - считать систему потенциально скомпрометированной и тут же сравнивать данные с последней копией.