Revendedor para ver se o cliente paga, eu nunca ví hacker suspender conta e tirar a senha root somente.

Por mais que fosse isso, caberia no mínimo um aviso informando o motivo da suspensão,  o que não foi relatado pelo OP. Talvez nem seja hacker(conforme já cogitado acima), mas não acredito que elimina a possibilidade de alguém ter feito isso maliciosamente.

O problema é que o cliente pode ter "esquecido" de pagar e está se fazendo de "bobo" ou é mesmo.

Esse servidor é um Dedicado ou VPS? Quais tipos de acesso você tem nele? Qual Data Center?

 

Abraços! :)

Cara, ja que o servidor foi hackeado e você não tem muito conhecimento, recomendo você a contratar uma empresa para prestar o gerenciamento no servidor. As vezes o hacker pode criar um usuário com privilégios de root...

Enviado de meu MZ616 usando Tapatalk

Melhor recomendação na minha opinião e contratar um profissional para fazer sua segurança!

Eu criei um script no dia 15 de Dezembro que me ajudou muitíssimo, já que no dia 31 estava viajando para a praia para curtir o réveillon, creio que você deveria seguir a dica de contratar alguém para gerenciar o problema, realmente seria um custo adicional, entretanto, você reaveria o servidor e as contas, diminuindo os danos, mas como efeito colateral, você teria de formatar realmente esse servidor, para evitar problemas.

 

Uma dica, tem um script que eleva a segurança do servidor em determinados períodos, como alteração da porta ssh, melhoria na senha de segurança, notificações de acessos e outros detalhes mais específicos, não custam mensalidades, mas que podem salvar sua empresa em casos como esses. 

 

Situações de crises vão sempre existir, agora temos de saber administrá-las, fiquei curioso com o caso, se puder nos dizer como ficou a situação, poderia servi para outros membros como exemplo.

 

Abraços!

Muito obrigado a todos pela contribuição!

Basicamente, o sujeito apenas alterou a senha do root :/

Por conta disso tivemos que subir uma nova vm e reconfigurar tudo do 0

Tinhamos backup de algumas contas, de outras não! Porém, nada foi excluído, deletado ou modificado!

Me parece que agora na última versão do cpanel há backup das contas \o/

 

O erro foi deixar um usuário com privilégio de ROOT, sendo o mesmo usuário gerador das contas por meio do whmcs no whm!

 

Amigos, agora gostaria de uma informação:

Como eu disse, algumas contas não haviam backup (eu sei que isso é o máximo do amadorismo kkk) porem, tenho a pasta public_html das referidas contas no diretório antigo onde estava o cpanel invadido... até aí tudo certo, porém não localizei o sql dessa conta! O que eu encontrei foi o diretório padrão da base de dados na sua forma bruna, em /var/lib/mysql. Nesse diretório estão todas as pastas de todas as contas, e dentro delas, arquivos .frm e .ibd. Há alguma meio de eu recuperar o mysql de alguma conta? Lembrado que o cpanl que foi invadido, está em outro diretório, inativo. Apenas deixamos temporariamente para recuperar os arquivos dos clientes!

 

Espero que compreendam o que eu escrevi a sima

 

Amigos, agora gostaria de uma informação:

Como eu disse, algumas contas não haviam backup (eu sei que isso é o máximo do amadorismo kkk) porem, tenho a pasta public_html das referidas contas no diretório antigo onde estava o cpanel invadido... até aí tudo certo, porém não localizei o sql dessa conta! O que eu encontrei foi o diretório padrão da base de dados na sua forma bruna, em /var/lib/mysql. Nesse diretório estão todas as pastas de todas as contas, e dentro delas, arquivos .frm e .ibd. Há alguma meio de eu recuperar o mysql de alguma conta? Lembrado que o cpanl que foi invadido, está em outro diretório, inativo. Apenas deixamos temporariamente para recuperar os arquivos dos clientes!

 

Espero que compreendam o que eu escrevi a sima

 

Olha acabei de fazer um teste aqui e deu certo

ex: eu crie um banco em um vps com centos atraves do phpmyadmin e crie tambem uma simples tabela só para teste, depois fui no diretório onde foi criado

o exemplo e baixei para fazer o teste local no windows 7 com phpmyadmin, movi para o diretório, funfou perfeitamente.

acho q no seu caso não haverá problema desde que o arquivo não esteja corrompido.

Estória mal contada, isso está com cara de servidor não pago e suspenso pelo provedor.

 

bom se fosse calote do cara para que motivo o mesmo iria vim pedir ajuda ?

Mas a suspensão do servidor geralmente não é feita com anulamento de rota para o mesmo? Suspensão de contas e alteração de senha até então nunca vi.

sim o cliente não paga  a empresa tira do ar e     .    não troca senha a não ser que o dono da empresa seja um besta quadrada de nao agir com as medidas padrão de um hoster 

 

O problema é que o cliente pode ter "esquecido" de pagar e está se fazendo de "bobo" ou é mesmo.

amigo nem vou falar nada para não lhe ofender se não tem nada melhor para falar fique quieto este fórum e para um ajudar o outro não acusar de calote se ao menos ele deve-se para você poderia afirmar algo fora isso me desculpe mas nem vou dizer nada para voce

Olha acabei de fazer um teste aqui e deu certo

ex: eu crie um banco em um vps com centos atraves do phpmyadmin e crie tambem uma simples tabela só para teste, depois fui no diretório onde foi criado

o exemplo e baixei para fazer o teste local no windows 7 com phpmyadmin, movi para o diretório, funfou perfeitamente.

acho q no seu caso não haverá problema desde que o arquivo não esteja corrompido.

 

Mais qual arquivo? voce exportou o banco de dados, ou pegou os arquivos dos dados frm e ibd?