BrainyCP

vikont писал(а): ↑

Вс авг 16, 2020 11:46 pm

Давайте сверим: У кого какой провайдер
У меня bitweb.

да дата-центр тут не причем, ломают именно через панель. в логах путь /etc/brainycp/api. не могут в одночасье сломать сервера у разных людей где связующее звено панель.

P.S. Суппорт пока молчит.

vikont писал(а): ↑

Вс авг 16, 2020 10:31 pm

У себя тоже нашел весь набор!
Подключился вчера 15.08.2020 ночью.
Лог за эту дату удален.

Не терпится услышать комментарии разрабов.

KyKyIIIKuH писал(а): ↑

Вс авг 16, 2020 7:05 pm

я не настолько ламер))
все проверил, там только за те дни которые написаны на скрине

а, мелкий скриншот не обратил внимание на даты. Ничего не менял в ротации логов? У меня логи с 19 июля

KyKyIIIKuH писал(а): ↑

Вс авг 16, 2020 6:58 pm

я понимаю, но их там нету за июль

Это архивы понедельные, смотри их. в mc F3 сразу смотрит нормально.

KyKyIIIKuH писал(а): ↑

Вс авг 16, 2020 6:35 pm

логи только за 12 августа и выше
то что было в июле загадка...

Так там архивы лежат secure-........gz

P.S. Интересная фигня, на втором сервере поменял порт панели, теперь не могу на него с первого сервера трансфер делать, говорит что на 2-м панель не установлена.

Еще ищи в /etc/systemd/system/multi-user.target.wants/ файлик sshd_extra.service этого нету, уже радует Смотри лог /var/log/secure, у меня юзер появился 25.07, а скрипт и сервис 15.08, так что видимо еще не дошла до тебя очередь. Если он еще по ssh не заходил то пол проблемы, у меня уже побывал и м...

Еще ищи в /etc/systemd/system/multi-user.target.wants/ файлик sshd_extra.service

никак не решал этот вопрос. логи смотрел = пусто, вот это странно Ну значит скоро повесят. Я на одном сервере откатился до исходного состояния, сменил порт панели, ограничил доступ в панель со своих адресов, заблокировал ssh-доступ. Не знаю насколько это поможет, буду смотреть. А вот как быть с сер...

KyKyIIIKuH писал(а): ↑

Вс авг 16, 2020 5:07 am

25 июля тоже появился пользователь sysroot, хорошо скриптов не было

У меня тоже не было, до вчерашнего дня. Видимо или отлеживались логины или собирались чтобы потом сразу навешать скриптов. Как решил вопрос? Ведь если ломают через панель это серьезно.

Привет комрады! Надеюсь обратить внимание разрабов на возможную проблему. Сегодня смотрю пригружен проц, посмотрел процессы, смотрю видит sshd какой-то левый и коннектится на пул майнинга монеро. В общем взломано, создан юзер sysroot, туда залит майнер и какой-то сервис, следов правда не смог найти ...