ramonflmr Posted October 25, 2012 Share Posted October 25, 2012 Olá, tenho atualmente um VPS na FDC Servers, lá eles utilizam o painel OnApp para administração dos servidores virtuais, e o meu problema é uma das coisas mais estranhas que já vi. Meu servidor sempre funcionou muito bem lá por uns 3 meses até esta última semana. O que acontece é que perco o meu acesso root de tempos em tempos após resetar a senha root do servidor. Explicando: mudei a senha de root quando não estava conseguindo acessar o servidor uma vez, desde então sempre a senha acaba dando como errada ao tentar utilizá-la no servidor. Acabo resetando a senha várias vezes consecutivas, e consigo acesso de primeiro momento mas logo após ele cessa, me retornando o erro de como a senha estivesse errada (access denied). Já reformatei o VPS e nele só tenho instalado o Cpanel atualmente. Peço a ajuda de vocês para tentar encontrar uma solução para este caso bizarro. Edit: Não acredito ser possível que eu esteja sendo hackeado, pois além de mim não existem outras pessoas com acesso ao servidor, todos os computadores que já acessei o servidor mantém um ambiente bastante seguro. Link to comment Share on other sites More sharing options...
Jaime Silva Posted October 25, 2012 Share Posted October 25, 2012 Vou chutar: acho que se der um olhada em /var/log/messages ou /var/log/secure pode matar a charada. Não há bem nem mal que dure para sempre. Um dia tudo acaba. Link to comment Share on other sites More sharing options...
ramonflmr Posted October 25, 2012 Author Share Posted October 25, 2012 root@srv10 [~]# vi /var/log/secure Oct 24 18:38:20 srv10 sshd[1762]: Server listening on :: port 22. Oct 24 18:38:20 srv10 sshd[1762]: Server listening on 0.0.0.0 port 22. Oct 24 18:40:20 srv10 sshd[2250]: reverse mapping checking getaddrinfo for 189-89-135-178.static.itsweb.com.br failed - POSSIBLE BREAK-IN ATTEMPT! Oct 24 18:40:26 srv10 sshd[2250]: Accepted password for root from 189.89.135.178 port 65485 ssh2 Oct 24 18:40:26 srv10 sshd[2250]: pam_unix(sshd:session): session opened for user root by (uid=0) Oct 24 18:40:40 srv10 sshd[2250]: pam_unix(sshd:session): session closed for user root Oct 24 18:40:49 srv10 sshd[2332]: reverse mapping checking getaddrinfo for 189-89-135-178.static.itsweb.com.br failed - POSSIBLE BREAK-IN ATTEMPT! Oct 24 18:40:52 srv10 sshd[2332]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=189.89.135.178 user=root Oct 24 18:40:54 srv10 sshd[2332]: Failed password for root from 189.89.135.178 port 65515 ssh2 Oct 24 18:40:56 srv10 sshd[2332]: Accepted password for root from 189.89.135.178 port 65515 ssh2 Oct 24 18:40:56 srv10 sshd[2332]: pam_unix(sshd:session): session opened for user root by (uid=0) Oct 24 18:41:01 srv10 sshd[2381]: Address 78.130.183.204 maps to clients-pools.pl.cooolbox.bg, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT! Não identifico nada que possa ter ocasionado isto, pode ajudar? Link to comment Share on other sites More sharing options...
Jesmarcelo Posted October 25, 2012 Share Posted October 25, 2012 cphulkd ? Esse erro não é de senha errada e sim de acesso negado, hoje em dia isso é normal.... Instale o CSF e seja feliz :P Link to comment Share on other sites More sharing options...
ramonflmr Posted October 25, 2012 Author Share Posted October 25, 2012 Que estranho ele bloquear o acesso do usuário e não somente os IPs. De qualquer forma vou fazer umas modificações no firewall. Obrigado. Link to comment Share on other sites More sharing options...
Jesmarcelo Posted October 25, 2012 Share Posted October 25, 2012 Isso é normal, não é estranho, ele não bloqueia o usuário, bloqueia toda e qualquer tentativa de acesso. Link to comment Share on other sites More sharing options...
Dexter Posted October 25, 2012 Share Posted October 25, 2012 Que estranho ele bloquear o acesso do usuário e não somente os IPs. De qualquer forma vou fazer umas modificações no firewall. Obrigado. Sim é exatamente isso eu adicionei meu ip a whitelist e mesmo assim continuava ai instalei o CSF e parou de acontecer, automagicamente. Link to comment Share on other sites More sharing options...
Jesmarcelo Posted October 25, 2012 Share Posted October 25, 2012 O CSF bloqueia o indivíduo antes que i servidor comece a rejeitar conexões. Link to comment Share on other sites More sharing options...
ramonflmr Posted October 25, 2012 Author Share Posted October 25, 2012 Ainda não instalei o CSF mas já mudei a porta do SSH e bloquei alguns ips que estavam tentando bruteforce e agora tudo funciona ok. Link to comment Share on other sites More sharing options...
Recommended Posts