кто то взломл серер и удалил root пользвоателя

[michaxxl]

привет всем, пытаюсь овладеть наукой администрирвоания и веду на работе сервер freebsdс веб сервером под управлением

Сегодня обратил внимание что немогу зайти под root

на сервере стояло ограничение что логиниться по ssh может отдельный пользовтаель и тот без прав root.

Захожу под ним и вижу
su -su: user root does not exist

нахожу в файлике passwd что кто то изменил root на firefart и файл изменен 16 января.

firefart:dfg7wefnf8.:0:0:pwned:/root:/bin/bash

пытаюсь залогиниться под ним и под пароелем " dfg7wefnf8. "без успешно. под старым root паролем так же...

Что можно сделать в моем случае ?

Загрузиться в однопльзовательском режиме single user - опасаюсь так как у меня рабоатет виртуальный raid который мне помогал настроить товарищ и я честно не знаю как он настроен и как его не сломать при этом.

Что можно сделать в моем случае ?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[guest]

"Дохтур, у мине эта..."

Вернуть root можно, вопрос что делать дальше со взломом?
Вопрос что и как взломали:
- подобрали пароль?
- взломали web-сервер?

Чтобы что-то посоветовать, нужно знать:

# uname -a
# freebsd-version
# kldstat
# camcontrol devlist
# gpart show
- какой raid?

[michaxxl]

- подобрали пароль?

врядли пароль 20 символов сгенерированная абракодабра

взломали web-сервер?

сайты работают, возможно взломали isp manager

-bash-4.1$ uname -a

Linux CentOS-67-64-minimal 2.6.32-573.7.1.el6.x86_64 #1 SMP Tue Sep 22 22:00:00 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

все остальные команды не найдены

gpart show

тоже команды не надйено

вот есть такое:

-bash-4.1$ df -h
Filesystem Size Used Avail Use% Mounted on
/dev/md2 676G 108G 534G 17% /
tmpfs 12G 0 12G 0% /dev/shm
/dev/md1 496M 72M 399M 16% /boot

[michaxxl]

паралельно нагуглил про свой raid

Код: Выделить всё

-bash-4.1$ lsblk
NAME    MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sdb       8:16   0 698.7G  0 disk
├─sdb1    8:17   0    12G  0 part
│ └─md0   9:0    0    12G  0 raid1 [SWAP]
├─sdb2    8:18   0   512M  0 part
│ └─md1   9:1    0   512M  0 raid1 /boot
└─sdb3    8:19   0 686.1G  0 part
  └─md2   9:2    0 686.1G  0 raid1 /
sda       8:0    0 698.7G  0 disk
├─sda1    8:1    0    12G  0 part
│ └─md0   9:0    0    12G  0 raid1 [SWAP]
├─sda2    8:2    0   512M  0 part
│ └─md1   9:1    0   512M  0 raid1 /boot
└─sda3    8:3    0 686.1G  0 part
  └─md2   9:2    0 686.1G  0 raid1 /




-bash-4.1$ cat /proc/mdstat
Personalities : [raid1]
md0 : active raid1 sda1[0] sdb1[1]
      12582784 blocks super 1.0 [2/2] [UU]

md1 : active raid1 sda2[0] sdb2[1]
      524224 blocks super 1.0 [2/2] [UU]

md2 : active raid1 sda3[0] sdb3[1]
      719463104 blocks super 1.0 [2/2] [UU]

[guest]

1. Вы немного ошиблись форумом, Вам в Linux
2. У Вас Linux CentOS 6.7 + ISPManager и наверняка старый, и уж если
его ломанули, то вероятно через mod_php, а может через сервисы, если
они старых версий.

root'а можно восстановить загрузившись с установочного CD в rescue-mode,
далее подгрузить mdadm, установить lvm2 если используется, затем
chroot и исправить passwd и shadow, инструкицю легко найти в Internet

А вот далее, взлом и дырки остались, нужно выполнить:
- чистую установку CentOS, лучше 7'ой
- настроить raid (mdadm)
- установить свежий ISPManager
- восстановить пользователей и сайты из бекапов

[michaxxl]

решено:

собственно настраивать виртуальный рейд никак не понадобилось, я просто поменял пароль в single - режиме. и вернул управление сервером. Ну а далее firefart переименовал в root и все заработало.

Новые вопросы:

Понятное дело, что после взлома, систему лучше переустановить с нуля и на 7 версии и на новом isp manager

но основная проблема именно нем, начальство не хочет покупать новую версию, так как купили с свое время "старую" я пожизненной лицензией, которая такой по факту не оказалась.

Резюме - переставлять систему, париться с восстановлением из бекапов и потом поставить снова старую isp - не лучший вариант.

Соответственно вопрос - можно ли понять, какую именно дыру оставили хакеры в системе и ее залатать ?
А так же как-то точечно чинить места через которые атаковали, не переустанавливая isp ?

[guest]

Новые вопросы:

Понятное дело, что после взлома, систему лучше переустановить с нуля и на 7 версии и на новом isp manager

но основная проблема именно нем, начальство не хочет покупать новую версию, так как купили с свое время "старую" я пожизненной лицензией, которая такой по факту не оказалась.

Резюме - переставлять систему, париться с восстановлением из бекапов и потом поставить снова старую isp - не лучший вариант.

адьтернативы нет, ниже будет ПОЧЕМУ.

Соответственно вопрос - можно ли понять, какую именно дыру оставили хакеры в системе и ее залатать ?
А так же как-то точечно чинить места через которые атаковали, не переустанавливая isp ?

- изучать как следить за безопаснотью ОС и сервисов
- регулярный апгрейд ОС и сервисов
- быть подписанным на разные списки security
- следить за security PHP и всех CMS которые Вы или Ваши пользователи-клиенты
используют в панели: регулярный апгрейд PHP и CMS
- регулярные бекапы пользователей и БД
- использование malicous софта для обнаружения взломов и удаления (тут без бекапов никак)
и тд и тп

Отсюда - чтобы точечно что-то чинить, нужно достаточно знаний по безопасности ОС, сервисов:
MTA, POP3/IMAP, DNS, WWW+PHP+CMS...

Выбирайте от чего "париться", на что уйдет больше затрат.

В ISPManager 5 есть "антивирусная" поддержка для обнаружения, а для чистки - требуется
оплата.

Чаще всего ломают CMS, бывает явно тухлый и несекурный код PHP, используйте
suexec вместо mod_php, взломают виртуальный сайт но не сервер.

Это общая беда хостинга: клиенту наемный испольнитель лобает сайт на коленке или
используя CMS, сделал - деньги за работу получил и отвалил, наши люди ну очень
жадные и им плевать на поддержку и регулярное обновление, проходит время -
в CMS регулярно находят дыры и регулярно ломают, а клиентам по барабану - наемник
давно свалил, платить ему за поддержку поделия никто не хочет, рано или подздно
- результат на лице, тьфу на хостинге.

А да, аналогично и спам с хостинга, ибо регулярно долбают POP3/IMAP с перебором
паролей по словарю, многие сами засвечивают в разных proxy-аддонах браузеров
для обхода блокировок, как результат - спам через хостинг.

[Alex Keda]

закройте доступ к панели снаружи, всем кроме вашего IP
лучше файрволлом
--
ну или вообще веб-интерфейс вырубите, и включайте чтобы что-то сделать - это в реальности на персональном сервере не так часто требуется

тему в линукс выпиливаю