Взломали. Как починить?

[braven]

Ситуация такова, поломали сервер стоящий в ДЦ.
Сменили владельца у кучи важных системных файлов и папок.
В связи с этим не могу через ssh сделать su, но владельцем файлов сделали юзера ftp:ftp

Суппорт упорно не поднимает трубку, так бы kvm подключили и все ок =\

Демоны почти все мертвые ибо /usr/local/rc.d тоже фтпшный, пашет только ssh и апач.
Была мысль взять где либо скомпиленый фтп сервер запустить и таким образом через фтп сменить владельца файлов, а там уже проще.

Может быть есть какие либо мысли по этому поводу?
Вопрос как можно заменить владельца на одном хотябы бинарнике /usr/bin/sh

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

крон пашет?
каиенить скррипты для крона сам писал? - которые от рута запускаются?
ищи их, может владелец ты и имеешь прпаво менять его. или ты владелец директории где он лежит - тогад его можно удалить и положить свой скрипт с тем же именем
тогда в него chmod лепи, или чё хошь, но аккуратно.

в общем - твоя задача найти файл запускающиийся от рута, который ты сможешь поменять, или в директории котрую ты можешь менять. неважно каким пользователем - лишь бы ты им мог зайти.
============
а чё su грит?
а про мысль с ftp я вообще не понял

[braven]

Вобщем пробился все же в суппорт ДЦ, дали KVM, зашел в сингл мод, сделал chown на /usr/bin/
Чуть позже, опишу как все же поломали, если интересно

А про ftp... Все важные файлы имели владельца ftp:ftp поэтому не стартовали rc.d скрипты, невозможно было сделать su и т.п.

[Dolphin_BSD]

Описывай, довольно интересно, почитать будет.

[Alex Keda]

расскажи. интересно.
особенно интересно - что ftp:ftp - наводит на размышления...

[braven]

Вобщем небыло особо много времени и желания разбираться как конкретно поломали, но с большой долей вероятности могу предположить что имели место кривые настройки PureFTP ( причем по ману Лиссяры делал ), хотя и сам успел там накрутить. Но как все же поднялись по директориям до корня и сменить всем файлам в системе владельца, до сих пор загадка, на лицо явное повышение привилегий, хорошо что ничего не успели посадить типа руткита

Кратко опишу проблему.
Захожу однажды на машину через ssh, пытаюсь сделать SU, в ответ получаю отлуп и надпись о том что не имею таких прав и служба не запущена.
Выясняется что все файлы в системе имели владельца ftp:ftp, поэтому система не могла повысить мои привилегии, т.к. сама грубо говоря была обычным юзером
Вылечил все просто, зашел через KVM в сингл моде, chowh root:wheel /usr/bin а дальше уже через путти, пересобрал мир, ядро, поставил schg где только можно и все ок.

[Alex Keda]

мдя...

[Toptyg]

хех если разговор идет про настройку фтп по мануалу и смену всем и вся прав на фтпешные...
хакеры отдыхают вообщем

ps руткитов под более-менее нестарые версии фряхи приличных нет, могли бы разве что шелл биндить и тп )