Clicky

Hospedado por Limestone Networks

Jump to content
  • Sign Up

Sign in to follow this  
Followers 0
DennisWillian

Trocaram o nome de usuario "root"

By DennisWillian, in VPS & Cloud Computing

Recommended Posts

DennisWillian   

DennisWillian
Posted

Boa tarde amigos.
Estou passando por um problema aqui no meu servidor...

Acredito que ele foi invadido e trocaram o usuario padrão "root" pelo usuario "cloudy_root", e também a senha do root.

Consegui gerar um outra senha pelo GRUB.

Consigo logar normal pelo SSH através do vSPhere do VMWARE, usando o usuario cloudy_root, porem pelo PUTTY nao consigo e muito menos no WHM.

 

Queria saber como retorno esse usuario cloudy_root para o root padrão para eu resolver um problema no EXIM que surgiu após que aconteceu isso tudo.

 

 

 

Revenda de Hospedagem e Streaming, Hospedagem de Sites, Web Rádio Completa, Aplicativo Android e IOS www.setehosting.com - atendimento@setehosting.com

Share this post

Link to post
Share on other sites

owsbr   

owsbr
Posted

Tire esse servidor do ar temporariamente, após isso logue via Single Mode e verifique o /etc/passwd

Geralmente esses ataques eles alteram os 2 primeiros usuários, sendo assim verifique que as 2 primeiras linhas estejam:

root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin

Após isso verifique também se o invasor não alterou o usuário/grupo do arquivo passwd.

-rw-r--r-- 1 root root 4.3K Jan 20 11:03 /etc/passwd

Se estiver diferente de root root dê um chown root. /etc/passwd para voltá-lo ao normal.

Lembre-se de procurar por mais coisas alteradas, certeza que usou alguma falha ou do Kernel ou através de script PHP de um cliente seu.

O recomendado seria você subir um novo servidor e migrar as contas e/ou formatar esse ai mesmo.

OwnServer | Soluções Corporativas & Gerenciamento de Servidores | www.ownserver.com.br

Share this post

Link to post
Share on other sites

DennisWillian
  • Autor do tópico
    •   

    DennisWillian
    Posted
    55 minutos atrás, pride disse:

    Tire esse servidor do ar temporariamente, após isso logue via Single Mode e verifique o /etc/passwd

    Geralmente esses ataques eles alteram os 2 primeiros usuários, sendo assim verifique que as 2 primeiras linhas estejam:

    root:x:0:0:root:/root:/bin/bash
    bin:x:1:1:bin:/bin:/sbin/nologin

    Após isso verifique também se o invasor não alterou o usuário/grupo do arquivo passwd.

    -rw-r--r-- 1 root root 4.3K Jan 20 11:03 /etc/passwd

    Se estiver diferente de root root dê um chown root. /etc/passwd para voltá-lo ao normal.

    Lembre-se de procurar por mais coisas alteradas, certeza que usou alguma falha ou do Kernel ou através de script PHP de um cliente seu.

    O recomendado seria você subir um novo servidor e migrar as contas e/ou formatar esse ai mesmo.

    Opa amigo, obrigado pela ajuda...

     

    Realmente esta trocado o usuario veja: http://prntscr.com/e13ygh

    Só não consegui encontrar o que você disse sobre: -rw-r--r-- 1 root root 4.3K Jan 20 11:03 /etc/passwd

    Revenda de Hospedagem e Streaming, Hospedagem de Sites, Web Rádio Completa, Aplicativo Android e IOS www.setehosting.com - atendimento@setehosting.com

    Share this post

    Link to post
    Share on other sites

    owsbr   

    owsbr
    Posted
    1 minuto atrás, DennisWillian disse:

    Opa amigo, obrigado pela ajuda...

     

    Realmente esta trocado o usuario veja: http://prntscr.com/e13ygh

    Só não consegui encontrar o que você disse sobre: -rw-r--r-- 1 root root 4.3K Jan 20 11:03 /etc/passwd

    Basta você rodar o comando ls -l /etc/passwd

     

    OwnServer | Soluções Corporativas & Gerenciamento de Servidores | www.ownserver.com.br

    Share this post

    Link to post
    Share on other sites

    owsbr   

    owsbr
    Posted
    1 minuto atrás, DennisWillian disse:

    Sim, la também esta com o nome do novo usuario: http://prntscr.com/e1403v

    Bem, altere o /etc/passwd deixando-o de maneira correta: 

    root:x:0:0:root:/root:/bin/bash

    Após isso altere a senha de root executando um # passwd root (digite a senha nova 2x)
     

    Feito isso execute# chown root. /etc/passwd (aperta enter).

    Execute ls -l e veja se está correto root - root

    Você foi ownado, isso é um saco mas "acontece".
     

    OwnServer | Soluções Corporativas & Gerenciamento de Servidores | www.ownserver.com.br

    Share this post

    Link to post
    Share on other sites

    RobertSP   

    RobertSP
    Posted

    O cara pegou seu root, acredite, esse é o menor dos problemas que tem... faça um checkup geral, sobretudo atualização dos serviços... caso contrario o próprio terá novamente acesso root mas sem dar tanto na cara

    infelizmente esse tipo de ataque não é com finalidade ativista!

    Share this post

    Link to post
    Share on other sites

    owsbr   

    owsbr
    Posted
    Agora, RobertSP disse:

    O cara pegou seu root, acredite, esse é o menor dos problemas que tem... faça um checkup geral, sobretudo atualização dos serviços... caso contrario o próprio terá novamente acesso root mas sem dar tanto na cara

    Exatamente! Em primeira instância refazer essa parte para poder prosseguir com o resto rs..
    Após "voltar" o root, suba a interface de rede e manda um /scripts/upcp --force (para atualizar o whm).

    Eu ainda acho valido tu migrar todos clientes para outro servidor e passar a régua.
     

    OwnServer | Soluções Corporativas & Gerenciamento de Servidores | www.ownserver.com.br

    Share this post

    Link to post
    Share on other sites

    DennisWillian
  • Autor do tópico
    •   

    DennisWillian
    Posted
    Agora, RobertSP disse:

    O cara pegou seu root, acredite, esse é o menor dos problemas que tem... faça um checkup geral, sobretudo atualização dos serviços... caso contrario o próprio terá novamente acesso root mas sem dar tanto na cara

     

    1 minuto atrás, pride disse:

    Exatamente! Em primeira instância refazer essa parte para poder prosseguir com o resto rs..
    Após "voltar" o root, suba a interface de rede e manda um /scripts/upcp --force (para atualizar o whm).

    Eu ainda acho valido tu migrar todos clientes para outro servidor e passar a régua.
     

    Certo, entendi amigos.

    Ja estou providenciando sim a migração... a questão é que depois vou ter que verificar no novo servidor as contas. Pois só em 1 conta verifiquei 5 arquivos shell 

    Revenda de Hospedagem e Streaming, Hospedagem de Sites, Web Rádio Completa, Aplicativo Android e IOS www.setehosting.com - atendimento@setehosting.com

    Share this post

    Link to post
    Share on other sites

    Join the conversation

    You can post now and register later. If you have an account, sign in now to post with your account.

    Guest
    Reply to this topic...

    ×   Pasted as rich text.   Paste as plain text instead

      Only 75 emoji are allowed.

    ×   Your link has been automatically embedded.   Display as a link instead

    ×   Your previous content has been restored.   Clear editor

    ×   You cannot paste images directly. Upload or insert images from URL.

    ×
    Sign in to follow this  
    Followers 0
    Go To Topic Listing

    • Recently Browsing   0 members

      No registered users viewing this page.



    ×
    ×
    • Create New...