Trocaram o nome de usuario "root"

[DennisWillian]

Boa tarde amigos.
Estou passando por um problema aqui no meu servidor...

Acredito que ele foi invadido e trocaram o usuario padrão "root" pelo usuario "cloudy_root", e também a senha do root.

Consegui gerar um outra senha pelo GRUB.

Consigo logar normal pelo SSH através do vSPhere do VMWARE, usando o usuario cloudy_root, porem pelo PUTTY nao consigo e muito menos no WHM.

 

Queria saber como retorno esse usuario cloudy_root para o root padrão para eu resolver um problema no EXIM que surgiu após que aconteceu isso tudo.

 

 

 

[NullRoute]

Tire esse servidor do ar temporariamente, após isso logue via Single Mode e verifique o /etc/passwd

Geralmente esses ataques eles alteram os 2 primeiros usuários, sendo assim verifique que as 2 primeiras linhas estejam:

root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin

Após isso verifique também se o invasor não alterou o usuário/grupo do arquivo passwd.

-rw-r--r-- 1 root root 4.3K Jan 20 11:03 /etc/passwd

Se estiver diferente de root root dê um chown root. /etc/passwd para voltá-lo ao normal.

Lembre-se de procurar por mais coisas alteradas, certeza que usou alguma falha ou do Kernel ou através de script PHP de um cliente seu.

O recomendado seria você subir um novo servidor e migrar as contas e/ou formatar esse ai mesmo.

[DennisWillian]

55 minutos atrás, pride disse:

Tire esse servidor do ar temporariamente, após isso logue via Single Mode e verifique o /etc/passwd

Geralmente esses ataques eles alteram os 2 primeiros usuários, sendo assim verifique que as 2 primeiras linhas estejam:

root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin

Após isso verifique também se o invasor não alterou o usuário/grupo do arquivo passwd.

-rw-r--r-- 1 root root 4.3K Jan 20 11:03 /etc/passwd

Se estiver diferente de root root dê um chown root. /etc/passwd para voltá-lo ao normal.

Lembre-se de procurar por mais coisas alteradas, certeza que usou alguma falha ou do Kernel ou através de script PHP de um cliente seu.

O recomendado seria você subir um novo servidor e migrar as contas e/ou formatar esse ai mesmo.

Opa amigo, obrigado pela ajuda...

 

Realmente esta trocado o usuario veja: http://prntscr.com/e13ygh

Só não consegui encontrar o que você disse sobre: -rw-r--r-- 1 root root 4.3K Jan 20 11:03 /etc/passwd

[NullRoute]

1 minuto atrás, DennisWillian disse:

Opa amigo, obrigado pela ajuda...

 

Realmente esta trocado o usuario veja: http://prntscr.com/e13ygh

Só não consegui encontrar o que você disse sobre: -rw-r--r-- 1 root root 4.3K Jan 20 11:03 /etc/passwd

Basta você rodar o comando ls -l /etc/passwd

 

[DennisWillian]

Agora, pride disse:

Basta você rodar o comando ls -l /etc/passwd

 

Sim, la também esta com o nome do novo usuario: http://prntscr.com/e1403v

[NullRoute]

1 minuto atrás, DennisWillian disse:

Sim, la também esta com o nome do novo usuario: http://prntscr.com/e1403v

Bem, altere o /etc/passwd deixando-o de maneira correta: 

root:x:0:0:root:/root:/bin/bash

Após isso altere a senha de root executando um # passwd root (digite a senha nova 2x)
 

Feito isso execute# chown root. /etc/passwd (aperta enter).

Execute ls -l e veja se está correto root - root

Você foi ownado, isso é um saco mas "acontece".
 

[RobertSP]

O cara pegou seu root, acredite, esse é o menor dos problemas que tem... faça um checkup geral, sobretudo atualização dos serviços... caso contrario o próprio terá novamente acesso root mas sem dar tanto na cara

infelizmente esse tipo de ataque não é com finalidade ativista!

[NullRoute]

Agora, RobertSP disse:

O cara pegou seu root, acredite, esse é o menor dos problemas que tem... faça um checkup geral, sobretudo atualização dos serviços... caso contrario o próprio terá novamente acesso root mas sem dar tanto na cara

Exatamente! Em primeira instância refazer essa parte para poder prosseguir com o resto rs..
Após "voltar" o root, suba a interface de rede e manda um /scripts/upcp --force (para atualizar o whm).

Eu ainda acho valido tu migrar todos clientes para outro servidor e passar a régua.
 

[DennisWillian]

Agora, RobertSP disse:

O cara pegou seu root, acredite, esse é o menor dos problemas que tem... faça um checkup geral, sobretudo atualização dos serviços... caso contrario o próprio terá novamente acesso root mas sem dar tanto na cara

 

1 minuto atrás, pride disse:

Exatamente! Em primeira instância refazer essa parte para poder prosseguir com o resto rs..
Após "voltar" o root, suba a interface de rede e manda um /scripts/upcp --force (para atualizar o whm).

Eu ainda acho valido tu migrar todos clientes para outro servidor e passar a régua.
 

Certo, entendi amigos.

Ja estou providenciando sim a migração... a questão é que depois vou ter que verificar no novo servidor as contas. Pois só em 1 conta verifiquei 5 arquivos shell 

[RobertSP]

recomendo usar o https://configserver.com/cp/cxs.html