BrainyCP

andrey писал(а): ↑

Чт авг 20, 2020 3:05 pm

zulicheg писал(а): ↑

Чт авг 20, 2020 3:01 pm

andrey писал(а): ↑

Чт авг 20, 2020 2:58 pm

Выпустили обновление с исправлением 1.0815

Нашли дырку?

да

Класс!

andrey писал(а): ↑

Чт авг 20, 2020 2:58 pm

Выпустили обновление с исправлением 1.0815

Нашли дырку?

KyKyIIIKuH писал(а): ↑

Ср авг 19, 2020 6:32 pm

known_hosts на сервере или у тебя на ПК?
у меня known_hosts пустой на сервере

На сервере который еще не переставил

Еще не переставил сервак один, смотрю за ним, сегодня появились процессы
site.ru = мой второй сервак, видимо данные из known_hosts берут

еще обнаружил в /root/.ssh ключики и хосты странные.

sbury писал(а): ↑

Вт авг 18, 2020 8:40 am

А откуда проблема тогда? Если у всех панель и всех одинаково сломали. Все установлено из коробки, у меня взломали даже сервер который просто был заинстален и ничего на нем не было. чистый centos 7 и панель. все. явно проблема не в ос

Вы данные предоставите?

Вы вчера у меня на сервере смотрели.

Ни в панели , не в API проблем не обнаружено. Вы лучше показывайте выводы команд на которых обнаружен взлом uname -r rpm -qa | grep glibc rpm -qa | grep httpd А откуда проблема тогда? Если у всех панель и всех одинаково сломали. Все установлено из коробки, у меня взломали даже сервер который просто...

Толь что поймал засранца из Ирана законнектился на порт 3306 и начал заливать свою базу! И долго это будет продолжаться? Панель уже как решето? прикольно. вот по этому я сразу один сервер переставил, второй завтра буду переставлять, у чувака был рут доступ, мало ли чего там намудрил, да и хз что за...

даже если сейчас создам тикет, то толку не будет логов нету по факту только если только тикет для информации Да просто чтобы видели проблему. По их настрою, я так понял, что они или знают о проблеме и умалчивают или просто не могут понять как взломали. Я сервер переставлю специально оставлю все как...

Akrobs писал(а): ↑

Пн авг 17, 2020 4:13 pm

А какая версия панели у вас была, на момент взлома?

тоже 1.0813

Сделайте тикеты в суппорт, чтобы они видели проблему в цифрах, а то они так не внятно ответили, типа вроде взлом был, вроде как через API, но как и что будет с этими дырками дальше хз.

Поддержка уже полтора часа ковыряется на сервере, но пока внятных ответов нет. Сказали что через webshell взломали, но он не был установлен и включен. Копаются дальше. Если появится инфа отпишусь. UPD 16:10: Ответ ТС есть подозрение что пользователь создавался через api, и если использовалось sudo т...