!!!FreeBSD 7.0 пропали все настройки!!!

[pismenov]

Вобщем ситуация такая... Поставил FreeBSD 7.0 с ftp. Установил squid + sams, настроил ssh. Через пару дней захожу под root - пароля нет. Пропали пользователи mysql, www, слетел shell на стандартный. В логах тишина. Всё поправил и на проблему забил. Гугл не помог.
Через месяц в другом городе, на другом компьютере ставлю FreeBSD 7.0 с CD. Обновляю порты, настраиваю bind, apache22, mysql, exim, ssh. Все замечательно работает... Но через неделю опять все накрылось - shell, пароль, главное файл named.conf стал стандартным, как будто я его и не менял...
В чем может быть дело? P.S В FreeBSD новичёк.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[paradox]

пароли надо ставить
нормальные
и никому не раздавать и не допускать к серверу

[pismenov]

Я такие варианты да же не рассматриваю. Пароли везде разные никто их знать не может. Локально к машинам имею доступ только я.
Единственная похожая проблема, найденная в гугле - http://www.opennet.ru/openforum/vsluhfo ... 81485.html , но и там не помогли...

[paradox]

смотреть надо в логи итд
просто так ничего не пропадает
ну и как советуют юзать правильные утилиты
vipw для доступа к паролям
итд

возможно вас тупо похачили...

[pismenov]

а причем тут доступ к паролям то? В логах ничего подозрительного не нашел. Смысла хачить эти сервера нет никакого вообще... И какой смысл сбрасывать конф binda на дефолт, не удаляя из того же каталога мною сделанную копию. Я думаю, если бы хакер получил доступ к системе, он либо узнал бы что надо и тихо ушел, либо нападлячил бы посерьезнее или систему наглухо бы положил. Да и уголовщина это, как ни как. А оставлять поломанные настройки после себя...

[paradox]

Код: Выделить всё

ls -l

и внимательно изучайте
кто где когда почему
кроме вас врядли кто то сможет что то понять

[pismenov]

на создание named.conf не посмотрел... Запускать надо было срочно... Лог exima (mainlog) пустой и права на запись только для рута... А создавал его я. (по дате смотрю)

[serge]

Лог exima (mainlog) пустой и права на запись только для рута... А создавал его я. (по дате смотрю)

Вообще его должен сам exim создать

[pismenov]

Да ты прав... Не так объяснил. Дата и время последнего изменения стоит, когда exim во всю нормально работал... А владельцем mainlog является root??. сам лог кристально чист. При этом с соседним paniclog все гуд - Владелец mailnull. Лог не пустой

[serge]

А владельцем mainlog является root??.

mailnull по дефолту

[pismenov]

Это был не вопрос)) Это утверждение) Еще обнаружил, что в при последнем входе в систему под рутом в 12:04 (смотрю auth.log) изменились файлы /etc/master.passwd /etc/passwd /etc/pwd.db (смотрю ls -l /etc/passwd и др). Имею сейчас /etc/master.passwd как при заново установленной системе, нет пользователей добавленных при установке разных приложений.

[Electronik]

как давно вы скачивали свой дистрибутив?
Помницо месяца 4-5 назад в нете где-то видел похожую проблему что у рута пароль сбивался т.е его ставишь проходит неделя и пароля как нибывало,может у вас тоже что то такое. фря 7.0

[pismenov]

Дистрибу месяцев 8, но месяц назад я ставил фрю с ftp...

[Alex Keda]

сдаётся мне, что-то вы делали через анальное отверстие...
ибо за всё время эксплуатации у меня такого не было.

[Laa]

Я такие варианты да же не рассматриваю. Пароли везде разные никто их знать не может. Локально к машинам имею доступ только я.
Единственная похожая проблема, найденная в гугле - http://www.opennet.ru/openforum/vsluhfo ... 81485.html , но и там не помогли...

Пароли root123 и 321root тоже разные...

Еще, вы не могли сделать mergemaster случайно или не обдуманно?

[Alex Keda]

Еще, вы не могли сделать mergemaster случайно или не обдуманно?

там ещё ключик надо чтоб юзеров дропнул....
иначе не дропнет....

[pismenov]

Mergemaster не использовал никогда. На глаза попалось только одно - когда я зашел под рутом в систему последний раз, переписался файл master.passwd. Т.е время входа в систему = изменение файла master.passwd, а вдогонку и passwd, и pwd.db... spwd.db. Все левые юзеры: www, mysql, clamav пропали и рутовый пароль тоже. Время посл. изменения файла named.conf не посмотрел . На хак это всё не тянет. При установке самой системы и при дальнейшей установке на нее программ, к файлу masster.passwd и его собратьям не прикасался. Ни каких скриптов от рута в crone не висело. В логах ipfw ничего подозрительного не обнаружено. Железо разное. Что общего? FreeBSD 7.0, ну и я ... ) Возможно в силу моей неопытности я что-то где-то...
или порчу навели... А за помощь всем спасибо!

[manefesto]

вообщем вышеописанное тянет на мистику.
В церковь сходите

[Laa]

Mergemaster не использовал никогда. На глаза попалось только одно - когда я зашел под рутом в систему последний раз, переписался файл master.passwd. Т.е время входа в систему = изменение файла master.passwd, а вдогонку и passwd, и pwd.db... spwd.db. Все левые юзеры: www, mysql, clamav пропали и рутовый пароль тоже. Время посл. изменения файла named.conf не посмотрел . На хак это всё не тянет. При установке самой системы и при дальнейшей установке на нее программ, к файлу masster.passwd и его собратьям не прикасался. Ни каких скриптов от рута в crone не висело. В логах ipfw ничего подозрительного не обнаружено. Железо разное. Что общего? FreeBSD 7.0, ну и я ... ) Возможно в силу моей неопытности я что-то где-то...
или порчу навели... А за помощь всем спасибо!

Если изменения вступили в силу в момент входа в систему, то надо смотреть /root/.profile, /root/.cshrc и тд, и смотреть внимательно.

[zingel]

Код: Выделить всё

rkhunter -c
chkrootkit