Статью прочти!

"И здесь, в управлении настройками Защитника отключаем все его модули защиты. Отключаем проактивную защиту, т.е. защиту в режиме реального времени, отключаем облачную защиту."

"Отключаем автоматическую отправку образцов. И обязательно отключаем защиту от подделки."

Ну и че там

СЮДА

Вы же сами сказали зайди я зашел

Тщщ, не взрывайся

Хочешь жабу?

каак иронично, что я мусульманин и слышу такое

Ну, я не знал

🚬🗿

Так ты жабу хочешь или нет?

да лан, я прикалываюсь

кидай , без жабы тут никак

1. Есть дев-сервер, на нем стоит гитлаб, на нем я собираю проекты и тд
2. К нему подключен мониторинг, то есть я вижу, что возрастает нагрузка и тд
3. Последнюю неделю нагрузка часто возрастает. Раньше это была какая-то чушь: простой скрипт, который себя копирует и запускает что-то. Запуск скрипта был по крону, т.е. если кильнуть его, перезапускается.
4. Все скрипты запускались от имени пользователя git, созданным гитлабом при установке.
5. После борьбы со скриптом, который что-то запускает, появились другие, которые рассылают спам, пингуют сервера и тд.

Что я сделал:
1. Закрыл доступ к крону для пользователя git
2. Поудалял все файлы, созданные им из /tmp и /var/tmp
3. Кильнул все процессы, очистил кроны

Это все не помогло, через какое-то время чел находит другие способы и продолжает суету наводить.  

Как защищён сервер:
1. Порт для ссх изменён с 22
2. Удален логин для рута
3. Авторизация только для кастомного юзера и по ключу (без паролей)
4. Поднят ufw, разрешающий только 80, 443, ссх порты

Из подозрительного: нашел в auth.log записи об установки соединения юзера git. И, что слегка пугает, какие-то действия от рута без записи о вызвавшем рут пользователе.