Clicky

Hospedado por Limestone Networks

Jump to content
  • Sign Up

Sign in to follow this  
DennisWillian

Trocaram o nome de usuario "root"

Recommended Posts

Boa tarde amigos.
Estou passando por um problema aqui no meu servidor...

Acredito que ele foi invadido e trocaram o usuario padrão "root" pelo usuario "cloudy_root", e também a senha do root.

Consegui gerar um outra senha pelo GRUB.

Consigo logar normal pelo SSH através do vSPhere do VMWARE, usando o usuario cloudy_root, porem pelo PUTTY nao consigo e muito menos no WHM.

 

Queria saber como retorno esse usuario cloudy_root para o root padrão para eu resolver um problema no EXIM que surgiu após que aconteceu isso tudo.

 

 

 


Revenda de Hospedagem e Streaming, Hospedagem de Sites, Web Rádio Completa, Aplicativo Android e IOS www.setehosting.com - atendimento@setehosting.com

Share this post


Link to post
Share on other sites

Tire esse servidor do ar temporariamente, após isso logue via Single Mode e verifique o /etc/passwd

Geralmente esses ataques eles alteram os 2 primeiros usuários, sendo assim verifique que as 2 primeiras linhas estejam:

root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin

Após isso verifique também se o invasor não alterou o usuário/grupo do arquivo passwd.

-rw-r--r-- 1 root root 4.3K Jan 20 11:03 /etc/passwd

Se estiver diferente de root root dê um chown root. /etc/passwd para voltá-lo ao normal.

Lembre-se de procurar por mais coisas alteradas, certeza que usou alguma falha ou do Kernel ou através de script PHP de um cliente seu.

O recomendado seria você subir um novo servidor e migrar as contas e/ou formatar esse ai mesmo.


OwnServer | Soluções Corporativas & Gerenciamento de Servidores | www.ownserver.com.br

Share this post


Link to post
Share on other sites
55 minutos atrás, pride disse:

Tire esse servidor do ar temporariamente, após isso logue via Single Mode e verifique o /etc/passwd

Geralmente esses ataques eles alteram os 2 primeiros usuários, sendo assim verifique que as 2 primeiras linhas estejam:

root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin

Após isso verifique também se o invasor não alterou o usuário/grupo do arquivo passwd.

-rw-r--r-- 1 root root 4.3K Jan 20 11:03 /etc/passwd

Se estiver diferente de root root dê um chown root. /etc/passwd para voltá-lo ao normal.

Lembre-se de procurar por mais coisas alteradas, certeza que usou alguma falha ou do Kernel ou através de script PHP de um cliente seu.

O recomendado seria você subir um novo servidor e migrar as contas e/ou formatar esse ai mesmo.

Opa amigo, obrigado pela ajuda...

 

Realmente esta trocado o usuario veja: http://prntscr.com/e13ygh

Só não consegui encontrar o que você disse sobre: -rw-r--r-- 1 root root 4.3K Jan 20 11:03 /etc/passwd


Revenda de Hospedagem e Streaming, Hospedagem de Sites, Web Rádio Completa, Aplicativo Android e IOS www.setehosting.com - atendimento@setehosting.com

Share this post


Link to post
Share on other sites
1 minuto atrás, DennisWillian disse:

Opa amigo, obrigado pela ajuda...

 

Realmente esta trocado o usuario veja: http://prntscr.com/e13ygh

Só não consegui encontrar o que você disse sobre: -rw-r--r-- 1 root root 4.3K Jan 20 11:03 /etc/passwd

Basta você rodar o comando ls -l /etc/passwd

 


OwnServer | Soluções Corporativas & Gerenciamento de Servidores | www.ownserver.com.br

Share this post


Link to post
Share on other sites
1 minuto atrás, DennisWillian disse:

Sim, la também esta com o nome do novo usuario: http://prntscr.com/e1403v

Bem, altere o /etc/passwd deixando-o de maneira correta: 

root:x:0:0:root:/root:/bin/bash

Após isso altere a senha de root executando um # passwd root (digite a senha nova 2x)
 

Feito isso execute# chown root. /etc/passwd (aperta enter).

Execute ls -l e veja se está correto root - root

Você foi ownado, isso é um saco mas "acontece".
 


OwnServer | Soluções Corporativas & Gerenciamento de Servidores | www.ownserver.com.br

Share this post


Link to post
Share on other sites

O cara pegou seu root, acredite, esse é o menor dos problemas que tem... faça um checkup geral, sobretudo atualização dos serviços... caso contrario o próprio terá novamente acesso root mas sem dar tanto na cara

infelizmente esse tipo de ataque não é com finalidade ativista!

Share this post


Link to post
Share on other sites
Agora, RobertSP disse:

O cara pegou seu root, acredite, esse é o menor dos problemas que tem... faça um checkup geral, sobretudo atualização dos serviços... caso contrario o próprio terá novamente acesso root mas sem dar tanto na cara

Exatamente! Em primeira instância refazer essa parte para poder prosseguir com o resto rs..
Após "voltar" o root, suba a interface de rede e manda um /scripts/upcp --force (para atualizar o whm).

Eu ainda acho valido tu migrar todos clientes para outro servidor e passar a régua.
 


OwnServer | Soluções Corporativas & Gerenciamento de Servidores | www.ownserver.com.br

Share this post


Link to post
Share on other sites
Agora, RobertSP disse:

O cara pegou seu root, acredite, esse é o menor dos problemas que tem... faça um checkup geral, sobretudo atualização dos serviços... caso contrario o próprio terá novamente acesso root mas sem dar tanto na cara

 

1 minuto atrás, pride disse:

Exatamente! Em primeira instância refazer essa parte para poder prosseguir com o resto rs..
Após "voltar" o root, suba a interface de rede e manda um /scripts/upcp --force (para atualizar o whm).

Eu ainda acho valido tu migrar todos clientes para outro servidor e passar a régua.
 

Certo, entendi amigos.

Ja estou providenciando sim a migração... a questão é que depois vou ter que verificar no novo servidor as contas. Pois só em 1 conta verifiquei 5 arquivos shell 


Revenda de Hospedagem e Streaming, Hospedagem de Sites, Web Rádio Completa, Aplicativo Android e IOS www.setehosting.com - atendimento@setehosting.com

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.



×
×
  • Create New...