Jump to content

Trocaram o nome de usuario "root"


DennisWillian
 Share

Recommended Posts

Boa tarde amigos.
Estou passando por um problema aqui no meu servidor...

Acredito que ele foi invadido e trocaram o usuario padrão "root" pelo usuario "cloudy_root", e também a senha do root.

Consegui gerar um outra senha pelo GRUB.

Consigo logar normal pelo SSH através do vSPhere do VMWARE, usando o usuario cloudy_root, porem pelo PUTTY nao consigo e muito menos no WHM.

 

Queria saber como retorno esse usuario cloudy_root para o root padrão para eu resolver um problema no EXIM que surgiu após que aconteceu isso tudo.

 

 

 

Link to comment
Share on other sites

Tire esse servidor do ar temporariamente, após isso logue via Single Mode e verifique o /etc/passwd

Geralmente esses ataques eles alteram os 2 primeiros usuários, sendo assim verifique que as 2 primeiras linhas estejam:

root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin

Após isso verifique também se o invasor não alterou o usuário/grupo do arquivo passwd.

-rw-r--r-- 1 root root 4.3K Jan 20 11:03 /etc/passwd

Se estiver diferente de root root dê um chown root. /etc/passwd para voltá-lo ao normal.

Lembre-se de procurar por mais coisas alteradas, certeza que usou alguma falha ou do Kernel ou através de script PHP de um cliente seu.

O recomendado seria você subir um novo servidor e migrar as contas e/ou formatar esse ai mesmo.

Link to comment
Share on other sites

55 minutos atrás, pride disse:

Tire esse servidor do ar temporariamente, após isso logue via Single Mode e verifique o /etc/passwd

Geralmente esses ataques eles alteram os 2 primeiros usuários, sendo assim verifique que as 2 primeiras linhas estejam:

root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin

Após isso verifique também se o invasor não alterou o usuário/grupo do arquivo passwd.

-rw-r--r-- 1 root root 4.3K Jan 20 11:03 /etc/passwd

Se estiver diferente de root root dê um chown root. /etc/passwd para voltá-lo ao normal.

Lembre-se de procurar por mais coisas alteradas, certeza que usou alguma falha ou do Kernel ou através de script PHP de um cliente seu.

O recomendado seria você subir um novo servidor e migrar as contas e/ou formatar esse ai mesmo.

Opa amigo, obrigado pela ajuda...

 

Realmente esta trocado o usuario veja: http://prntscr.com/e13ygh

Só não consegui encontrar o que você disse sobre: -rw-r--r-- 1 root root 4.3K Jan 20 11:03 /etc/passwd

Link to comment
Share on other sites

1 minuto atrás, DennisWillian disse:

Sim, la também esta com o nome do novo usuario: http://prntscr.com/e1403v

Bem, altere o /etc/passwd deixando-o de maneira correta: 

root:x:0:0:root:/root:/bin/bash

Após isso altere a senha de root executando um # passwd root (digite a senha nova 2x)
 

Feito isso execute# chown root. /etc/passwd (aperta enter).

Execute ls -l e veja se está correto root - root

Você foi ownado, isso é um saco mas "acontece".
 

Link to comment
Share on other sites

O cara pegou seu root, acredite, esse é o menor dos problemas que tem... faça um checkup geral, sobretudo atualização dos serviços... caso contrario o próprio terá novamente acesso root mas sem dar tanto na cara

infelizmente esse tipo de ataque não é com finalidade ativista!

Link to comment
Share on other sites

Agora, RobertSP disse:

O cara pegou seu root, acredite, esse é o menor dos problemas que tem... faça um checkup geral, sobretudo atualização dos serviços... caso contrario o próprio terá novamente acesso root mas sem dar tanto na cara

Exatamente! Em primeira instância refazer essa parte para poder prosseguir com o resto rs..
Após "voltar" o root, suba a interface de rede e manda um /scripts/upcp --force (para atualizar o whm).

Eu ainda acho valido tu migrar todos clientes para outro servidor e passar a régua.
 

Link to comment
Share on other sites

Agora, RobertSP disse:

O cara pegou seu root, acredite, esse é o menor dos problemas que tem... faça um checkup geral, sobretudo atualização dos serviços... caso contrario o próprio terá novamente acesso root mas sem dar tanto na cara

 

1 minuto atrás, pride disse:

Exatamente! Em primeira instância refazer essa parte para poder prosseguir com o resto rs..
Após "voltar" o root, suba a interface de rede e manda um /scripts/upcp --force (para atualizar o whm).

Eu ainda acho valido tu migrar todos clientes para outro servidor e passar a régua.
 

Certo, entendi amigos.

Ja estou providenciando sim a migração... a questão é que depois vou ter que verificar no novo servidor as contas. Pois só em 1 conta verifiquei 5 arquivos shell 

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...