server WHM compromesso, accesso root perso [chiuso]

0

Ho un grosso problema. In un guscio di noce, 2 giorni fa ho notato uno strano processo in corso con httpd, qualcosa che non ho mai visto prima. Questo mi ha portato a cercarlo su google, e OVH è venuto in cima con "Esempi di server hackerato". Così ho dato di matto, ma non ho fatto nulla visto che il resto dei forum del cpanel diceva che non era legato agli hack.

Ed eccoci qui, non riesco ad accedere a root, come se il mio passaggio fosse cambiato. Ho degli account utente standard che non hanno accesso alla root ma hanno accesso SSH. Il server esegue CentOS 6.2.

Ok, ho avviato la modalità utente singolo e sono riuscito a reimpostare la mia password da lì. Ora ho l'accesso root di nuovo, ma solo per 5-10 minuti in quanto viene cambiato di nuovo subito dopo l'avvio. Ho scansionato per i rootkit e non ho trovato nulla, e sto facendo una scansione di clamav che non fa nemmeno molto. Fortunatamente mi sono collegato al terminale SSH di root subito prima che venisse modificato, quindi non ho accesso a WHM ma ho accesso root SSH fino alla disconnessione.

Sto postando qui chiedendo aiuto e consigli su cosa dovrei fare qui. Grazie, Kris

    
posta Kris 10.10.2012 - 22:10
fonte

3 risposte

4

Non sarai mai più in grado di acquisire la massima sicurezza sul tuo server, dovrai ricostruire o ripristinare dai backup. Se ci sono file critici di cui non hai eseguito il backup, avvia la modalità utente singolo, ottieni i tuoi dati, quindi wiperola. Non ci sono strumenti, scanner o metodologie che ti consentano di essere sicuro di essere libero da hacker. Inoltre, potresti dedicare molto più tempo a cercare di risolverlo piuttosto che semplicemente ricostruire.

    
risposta data 10.10.2012 - 22:28
fonte
0

Se esegui ssh come un altro utente e su per l'account root, la password per root funziona? se succede qualcosa allora è httpd ..restart?

Qualche file di registro che puoi guardare?

    
risposta data 11.10.2012 - 03:52
fonte
0

Sei la prima persona che ricordo di aver detto questo qui: sembra che tu stia bene.

/usr/local/apache/bin/httpd

Processo Apache normale, installato senza utilizzare un gestore di pacchetti.

-k start

Comando normale per avviare il processo.

-DSSL

Utilizzo di SSL.

Ho cercato la stessa stringa in Google e ho trovato la stessa prima pagina ... e fatta eccezione per il fatto che entrambi esegui Apache, non c'è niente di speciale. Le varie cose che sono segnali di compromesso in quell'esempio sono processi come x0x , c , psybnc , ecc. Si noti inoltre che Google gestisce un segno negativo all'inizio di un mondo come "escludere". Torna a quella prima pagina e nota che "DSSL" non viene visualizzato da nessuna parte.

A meno che non succeda qualcos'altro ... si vedono due set di Apache in esecuzione, l'ascolto su porte dispari, ecc., quindi non vedo nulla che mi abbia indicato che non sei stato compromesso. Non posso dire che sei al sicuro, ma non ho motivo di sospettare da quello che hai postato che è successo qualcosa di insolito.

    
risposta data 11.10.2012 - 04:30
fonte

Leggi altre domande sui tag