Clicky

Ir para conteúdo
DennisWillian

Trocaram o nome de usuario "root"

Posts Recomendados

Boa tarde amigos.
Estou passando por um problema aqui no meu servidor...

Acredito que ele foi invadido e trocaram o usuario padrão "root" pelo usuario "cloudy_root", e também a senha do root.

Consegui gerar um outra senha pelo GRUB.

Consigo logar normal pelo SSH através do vSPhere do VMWARE, usando o usuario cloudy_root, porem pelo PUTTY nao consigo e muito menos no WHM.

 

Queria saber como retorno esse usuario cloudy_root para o root padrão para eu resolver um problema no EXIM que surgiu após que aconteceu isso tudo.

 

 

 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Tire esse servidor do ar temporariamente, após isso logue via Single Mode e verifique o /etc/passwd

Geralmente esses ataques eles alteram os 2 primeiros usuários, sendo assim verifique que as 2 primeiras linhas estejam:

root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin

Após isso verifique também se o invasor não alterou o usuário/grupo do arquivo passwd.

-rw-r--r-- 1 root root 4.3K Jan 20 11:03 /etc/passwd

Se estiver diferente de root root dê um chown root. /etc/passwd para voltá-lo ao normal.

Lembre-se de procurar por mais coisas alteradas, certeza que usou alguma falha ou do Kernel ou através de script PHP de um cliente seu.

O recomendado seria você subir um novo servidor e migrar as contas e/ou formatar esse ai mesmo.

Compartilhar este post


Link para o post
Compartilhar em outros sites
55 minutos atrás, pride disse:

Tire esse servidor do ar temporariamente, após isso logue via Single Mode e verifique o /etc/passwd

Geralmente esses ataques eles alteram os 2 primeiros usuários, sendo assim verifique que as 2 primeiras linhas estejam:

root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin

Após isso verifique também se o invasor não alterou o usuário/grupo do arquivo passwd.

-rw-r--r-- 1 root root 4.3K Jan 20 11:03 /etc/passwd

Se estiver diferente de root root dê um chown root. /etc/passwd para voltá-lo ao normal.

Lembre-se de procurar por mais coisas alteradas, certeza que usou alguma falha ou do Kernel ou através de script PHP de um cliente seu.

O recomendado seria você subir um novo servidor e migrar as contas e/ou formatar esse ai mesmo.

Opa amigo, obrigado pela ajuda...

 

Realmente esta trocado o usuario veja: http://prntscr.com/e13ygh

Só não consegui encontrar o que você disse sobre: -rw-r--r-- 1 root root 4.3K Jan 20 11:03 /etc/passwd

Compartilhar este post


Link para o post
Compartilhar em outros sites
1 minuto atrás, DennisWillian disse:

Opa amigo, obrigado pela ajuda...

 

Realmente esta trocado o usuario veja: http://prntscr.com/e13ygh

Só não consegui encontrar o que você disse sobre: -rw-r--r-- 1 root root 4.3K Jan 20 11:03 /etc/passwd

Basta você rodar o comando ls -l /etc/passwd

 

Compartilhar este post


Link para o post
Compartilhar em outros sites
1 minuto atrás, DennisWillian disse:

Sim, la também esta com o nome do novo usuario: http://prntscr.com/e1403v

Bem, altere o /etc/passwd deixando-o de maneira correta: 

root:x:0:0:root:/root:/bin/bash

Após isso altere a senha de root executando um # passwd root (digite a senha nova 2x)
 

Feito isso execute# chown root. /etc/passwd (aperta enter).

Execute ls -l e veja se está correto root - root

Você foi ownado, isso é um saco mas "acontece".
 

Compartilhar este post


Link para o post
Compartilhar em outros sites

O cara pegou seu root, acredite, esse é o menor dos problemas que tem... faça um checkup geral, sobretudo atualização dos serviços... caso contrario o próprio terá novamente acesso root mas sem dar tanto na cara

infelizmente esse tipo de ataque não é com finalidade ativista!

Compartilhar este post


Link para o post
Compartilhar em outros sites
Agora, RobertSP disse:

O cara pegou seu root, acredite, esse é o menor dos problemas que tem... faça um checkup geral, sobretudo atualização dos serviços... caso contrario o próprio terá novamente acesso root mas sem dar tanto na cara

Exatamente! Em primeira instância refazer essa parte para poder prosseguir com o resto rs..
Após "voltar" o root, suba a interface de rede e manda um /scripts/upcp --force (para atualizar o whm).

Eu ainda acho valido tu migrar todos clientes para outro servidor e passar a régua.
 

Compartilhar este post


Link para o post
Compartilhar em outros sites
Agora, RobertSP disse:

O cara pegou seu root, acredite, esse é o menor dos problemas que tem... faça um checkup geral, sobretudo atualização dos serviços... caso contrario o próprio terá novamente acesso root mas sem dar tanto na cara

 

1 minuto atrás, pride disse:

Exatamente! Em primeira instância refazer essa parte para poder prosseguir com o resto rs..
Após "voltar" o root, suba a interface de rede e manda um /scripts/upcp --force (para atualizar o whm).

Eu ainda acho valido tu migrar todos clientes para outro servidor e passar a régua.
 

Certo, entendi amigos.

Ja estou providenciando sim a migração... a questão é que depois vou ter que verificar no novo servidor as contas. Pois só em 1 conta verifiquei 5 arquivos shell 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.

Visitante
Responder

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emojis são permitidos.

×   Seu link foi automaticamente incorporado.   Mostrar como link

×   Seu conteúdo anterior foi restaurado.   Limpar o editor

×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.


  • Quem Está Navegando   0 membros estão online

    Nenhum usuário registrado visualizando esta página.



O Portal do Host

Dicas para sua empresa de hospedagem. Artigos, notícias, tutoriais e os aspectos da indústria de hospedagem.

Limestone Networks

A LSN tem sido parceira e patrocinadora do PDH, fornecendo uma plataforma segura e confiável.

Cloud - Servidores decicados - Co-location
×
×
  • Criar Novo...