DennisWillian Posted January 27, 2017 Share Posted January 27, 2017 Boa tarde amigos. Estou passando por um problema aqui no meu servidor... Acredito que ele foi invadido e trocaram o usuario padrão "root" pelo usuario "cloudy_root", e também a senha do root. Consegui gerar um outra senha pelo GRUB. Consigo logar normal pelo SSH através do vSPhere do VMWARE, usando o usuario cloudy_root, porem pelo PUTTY nao consigo e muito menos no WHM. Queria saber como retorno esse usuario cloudy_root para o root padrão para eu resolver um problema no EXIM que surgiu após que aconteceu isso tudo. 0 Quote Link to comment Share on other sites More sharing options...
owsbr Posted January 27, 2017 Share Posted January 27, 2017 Tire esse servidor do ar temporariamente, após isso logue via Single Mode e verifique o /etc/passwd Geralmente esses ataques eles alteram os 2 primeiros usuários, sendo assim verifique que as 2 primeiras linhas estejam: root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin Após isso verifique também se o invasor não alterou o usuário/grupo do arquivo passwd. -rw-r--r-- 1 root root 4.3K Jan 20 11:03 /etc/passwd Se estiver diferente de root root dê um chown root. /etc/passwd para voltá-lo ao normal. Lembre-se de procurar por mais coisas alteradas, certeza que usou alguma falha ou do Kernel ou através de script PHP de um cliente seu. O recomendado seria você subir um novo servidor e migrar as contas e/ou formatar esse ai mesmo. 0 Quote Link to comment Share on other sites More sharing options...
DennisWillian Posted January 27, 2017 Author Share Posted January 27, 2017 55 minutos atrás, pride disse: Tire esse servidor do ar temporariamente, após isso logue via Single Mode e verifique o /etc/passwd Geralmente esses ataques eles alteram os 2 primeiros usuários, sendo assim verifique que as 2 primeiras linhas estejam: root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin Após isso verifique também se o invasor não alterou o usuário/grupo do arquivo passwd. -rw-r--r-- 1 root root 4.3K Jan 20 11:03 /etc/passwd Se estiver diferente de root root dê um chown root. /etc/passwd para voltá-lo ao normal. Lembre-se de procurar por mais coisas alteradas, certeza que usou alguma falha ou do Kernel ou através de script PHP de um cliente seu. O recomendado seria você subir um novo servidor e migrar as contas e/ou formatar esse ai mesmo. Opa amigo, obrigado pela ajuda... Realmente esta trocado o usuario veja: http://prntscr.com/e13ygh Só não consegui encontrar o que você disse sobre: -rw-r--r-- 1 root root 4.3K Jan 20 11:03 /etc/passwd 0 Quote Link to comment Share on other sites More sharing options...
owsbr Posted January 27, 2017 Share Posted January 27, 2017 1 minuto atrás, DennisWillian disse: Opa amigo, obrigado pela ajuda... Realmente esta trocado o usuario veja: http://prntscr.com/e13ygh Só não consegui encontrar o que você disse sobre: -rw-r--r-- 1 root root 4.3K Jan 20 11:03 /etc/passwd Basta você rodar o comando ls -l /etc/passwd 0 Quote Link to comment Share on other sites More sharing options...
DennisWillian Posted January 27, 2017 Author Share Posted January 27, 2017 Agora, pride disse: Basta você rodar o comando ls -l /etc/passwd Sim, la também esta com o nome do novo usuario: http://prntscr.com/e1403v 0 Quote Link to comment Share on other sites More sharing options...
owsbr Posted January 27, 2017 Share Posted January 27, 2017 1 minuto atrás, DennisWillian disse: Sim, la também esta com o nome do novo usuario: http://prntscr.com/e1403v Bem, altere o /etc/passwd deixando-o de maneira correta: root:x:0:0:root:/root:/bin/bash Após isso altere a senha de root executando um # passwd root (digite a senha nova 2x) Feito isso execute# chown root. /etc/passwd (aperta enter). Execute ls -l e veja se está correto root - root Você foi ownado, isso é um saco mas "acontece". 0 Quote Link to comment Share on other sites More sharing options...
RobertSP Posted January 27, 2017 Share Posted January 27, 2017 O cara pegou seu root, acredite, esse é o menor dos problemas que tem... faça um checkup geral, sobretudo atualização dos serviços... caso contrario o próprio terá novamente acesso root mas sem dar tanto na cara infelizmente esse tipo de ataque não é com finalidade ativista! 0 Quote Link to comment Share on other sites More sharing options...
owsbr Posted January 27, 2017 Share Posted January 27, 2017 Agora, RobertSP disse: O cara pegou seu root, acredite, esse é o menor dos problemas que tem... faça um checkup geral, sobretudo atualização dos serviços... caso contrario o próprio terá novamente acesso root mas sem dar tanto na cara Exatamente! Em primeira instância refazer essa parte para poder prosseguir com o resto rs.. Após "voltar" o root, suba a interface de rede e manda um /scripts/upcp --force (para atualizar o whm). Eu ainda acho valido tu migrar todos clientes para outro servidor e passar a régua. 0 Quote Link to comment Share on other sites More sharing options...
DennisWillian Posted January 27, 2017 Author Share Posted January 27, 2017 Agora, RobertSP disse: O cara pegou seu root, acredite, esse é o menor dos problemas que tem... faça um checkup geral, sobretudo atualização dos serviços... caso contrario o próprio terá novamente acesso root mas sem dar tanto na cara 1 minuto atrás, pride disse: Exatamente! Em primeira instância refazer essa parte para poder prosseguir com o resto rs.. Após "voltar" o root, suba a interface de rede e manda um /scripts/upcp --force (para atualizar o whm). Eu ainda acho valido tu migrar todos clientes para outro servidor e passar a régua. Certo, entendi amigos. Ja estou providenciando sim a migração... a questão é que depois vou ter que verificar no novo servidor as contas. Pois só em 1 conta verifiquei 5 arquivos shell 0 Quote Link to comment Share on other sites More sharing options...
RobertSP Posted January 27, 2017 Share Posted January 27, 2017 recomendo usar o https://configserver.com/cp/cxs.html 0 Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.