Senha Root Mudando Sozinha?!

[ramonflmr]

Olá, tenho atualmente um VPS na FDC Servers, lá eles utilizam o painel OnApp para administração dos servidores virtuais, e o meu problema é uma das coisas mais estranhas que já vi.

Meu servidor sempre funcionou muito bem lá por uns 3 meses até esta última semana. O que acontece é que perco o meu acesso root de tempos em tempos após resetar a senha root do servidor. Explicando: mudei a senha de root quando não estava conseguindo acessar o servidor uma vez, desde então sempre a senha acaba dando como errada ao tentar utilizá-la no servidor. Acabo resetando a senha várias vezes consecutivas, e consigo acesso de primeiro momento mas logo após ele cessa, me retornando o erro de como a senha estivesse errada (access denied). Já reformatei o VPS e nele só tenho instalado o Cpanel atualmente.

Peço a ajuda de vocês para tentar encontrar uma solução para este caso bizarro.

Edit: Não acredito ser possível que eu esteja sendo hackeado, pois além de mim não existem outras pessoas com acesso ao servidor, todos os computadores que já acessei o servidor mantém um ambiente bastante seguro.

[Jaime Silva]

Vou chutar: acho que se der um olhada em /var/log/messages ou /var/log/secure pode matar a charada.

[ramonflmr]

root@srv10 [~]# vi /var/log/secure

Oct 24 18:38:20 srv10 sshd[1762]: Server listening on :: port 22.

Oct 24 18:38:20 srv10 sshd[1762]: Server listening on 0.0.0.0 port 22.

Oct 24 18:40:20 srv10 sshd[2250]: reverse mapping checking getaddrinfo for 189-89-135-178.static.itsweb.com.br failed - POSSIBLE BREAK-IN ATTEMPT!

Oct 24 18:40:26 srv10 sshd[2250]: Accepted password for root from 189.89.135.178 port 65485 ssh2

Oct 24 18:40:26 srv10 sshd[2250]: pam_unix(sshd:session): session opened for user root by (uid=0)

Oct 24 18:40:40 srv10 sshd[2250]: pam_unix(sshd:session): session closed for user root

Oct 24 18:40:49 srv10 sshd[2332]: reverse mapping checking getaddrinfo for 189-89-135-178.static.itsweb.com.br failed - POSSIBLE BREAK-IN ATTEMPT!

Oct 24 18:40:52 srv10 sshd[2332]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=189.89.135.178 user=root

Oct 24 18:40:54 srv10 sshd[2332]: Failed password for root from 189.89.135.178 port 65515 ssh2

Oct 24 18:40:56 srv10 sshd[2332]: Accepted password for root from 189.89.135.178 port 65515 ssh2

Oct 24 18:40:56 srv10 sshd[2332]: pam_unix(sshd:session): session opened for user root by (uid=0)

Oct 24 18:41:01 srv10 sshd[2381]: Address 78.130.183.204 maps to clients-pools.pl.cooolbox.bg, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!

Não identifico nada que possa ter ocasionado isto, pode ajudar?

[Jesmarcelo]

cphulkd ?

Esse erro não é de senha errada e sim de acesso negado, hoje em dia isso é normal....

Instale o CSF e seja feliz :P

[ramonflmr]

Que estranho ele bloquear o acesso do usuário e não somente os IPs. De qualquer forma vou fazer umas modificações no firewall. Obrigado.

[Jesmarcelo]

Isso é normal, não é estranho, ele não bloqueia o usuário, bloqueia toda e qualquer tentativa de acesso.

[Dexter]

Que estranho ele bloquear o acesso do usuário e não somente os IPs. De qualquer forma vou fazer umas modificações no firewall. Obrigado.

Sim é exatamente isso eu adicionei meu ip a whitelist e mesmo assim continuava ai instalei o CSF e parou de acontecer, automagicamente.

[Jesmarcelo]

O CSF bloqueia o indivíduo antes que i servidor comece a rejeitar conexões.

[ramonflmr]

Ainda não instalei o CSF mas já mudei a porta do SSH e bloquei alguns ips que estavam tentando bruteforce e agora tudo funciona ok.