Здравствуйте! У меня взломали панель, разместили скрипт, который подбирает пароли к ссш друих серверов. Что делать?
Висит 6 000 подключений к ссш разных серверов
взломали панель
Re: взломали панель
просто интересно, откуда уверенность что взломали именно панель, а не сервер?
Re: взломали панель
владелец файлов скриптов - brainy, запущены скрипты от имени brainy ))
положили в каталог /dev/ - удалил. второй раз в каталог /tmp/ - без нормальных прав такого не сделать...
Так как на сервер ничего стороннего не устанавливалось и все обновляется всегда, то сервер тоже можно считать панелью. Но в данном случае точно взломана именно панель.
P.S. Хоть бы кто-то из разработчиков поинтересовался за весь день. Как взломали, что взломали, может помощь нужна, может мы зайдем посмотрим, заодно найдем причину и устраним в следующем обновлении?????
положили в каталог /dev/ - удалил. второй раз в каталог /tmp/ - без нормальных прав такого не сделать...
Так как на сервер ничего стороннего не устанавливалось и все обновляется всегда, то сервер тоже можно считать панелью. Но в данном случае точно взломана именно панель.
P.S. Хоть бы кто-то из разработчиков поинтересовался за весь день. Как взломали, что взломали, может помощь нужна, может мы зайдем посмотрим, заодно найдем причину и устраним в следующем обновлении?????
Re: взломали панель
у меня Скайп почему-то не работает... Я удалил его пару лет назад и с тех пор как-то даже не возникало в нем никакой надобности. Скайп уже прошлый век - кто им сейчас пользуется? ))) Сейачс Telegram, WhatsApp, Viber. Могли бы перейти на Telegram - было бы намного удобнее..
Да и было бы желание заниматься поддержкой, не отключали бы чат. Раньше через чат обращался при проблемах.
Да и было бы желание заниматься поддержкой, не отключали бы чат. Раньше через чат обращался при проблемах.
Re: взломали панель
мне просто интересно, у кого еще есть пользователь brainy в панеле?
а так же версию вашей панели
и покажите скрипшот, какими именно задачами управляет пользователь brainy на вашем сервере
а вы уважаемый Sergey.F покажите мне выводвладелец файлов скриптов - brainy, запущены скрипты от имени brainy ))
Код: Выделить всё
getent passwd brainyи покажите скрипшот, какими именно задачами управляет пользователь brainy на вашем сервере
Re: взломали панель
Вот вывод /etc/passwd
http://prntscr.com/1q9t0vb
Пользователь brainy в первых рядах (с возможностью залогиниться) еще до создания мной пользователей, тоесть был создан при установке панели. Был выполнен вход на сервер пользователем brainy и размещены вредоносные скрипты. Скрипты так же были запущены от пользователя brainy и овнер файлов так же был brainy. Почему этот пользователь присутствует и какой у него пароль я не в курсе. Скриты удалил, на пользователе поменял пароль - все прекратилось... Панель очень старая, всегда все оперативно обновляю, версия самая свежая - 1.0927.20210708
Я так думаю раньше Вами использовался пользователь brainy для каких-то сервисных целей и, возможно, в первых версиях, чтоб можно было подключаться к серверам пользователей что-то исправлять. Потом возможно Вы от него отказались, но прописать в обновлениях его удаление забыли... (что довольно часто сам замечаю, от чего-то отказываетесь, но при обновлении не чистите ненужные остатки, сечас полно мусора в панели). Так как произошла утечка пароля к пользователю brainy - к Вам вопрос.
Сейчас от пользователя brainy запускается kswapd, который стабильно раз в неделю зависает и грузит процессор на 100%
http://prntscr.com/1q9trwc
http://prntscr.com/1q9t0vb
Пользователь brainy в первых рядах (с возможностью залогиниться) еще до создания мной пользователей, тоесть был создан при установке панели. Был выполнен вход на сервер пользователем brainy и размещены вредоносные скрипты. Скрипты так же были запущены от пользователя brainy и овнер файлов так же был brainy. Почему этот пользователь присутствует и какой у него пароль я не в курсе. Скриты удалил, на пользователе поменял пароль - все прекратилось... Панель очень старая, всегда все оперативно обновляю, версия самая свежая - 1.0927.20210708
Я так думаю раньше Вами использовался пользователь brainy для каких-то сервисных целей и, возможно, в первых версиях, чтоб можно было подключаться к серверам пользователей что-то исправлять. Потом возможно Вы от него отказались, но прописать в обновлениях его удаление забыли... (что довольно часто сам замечаю, от чего-то отказываетесь, но при обновлении не чистите ненужные остатки, сечас полно мусора в панели). Так как произошла утечка пароля к пользователю brainy - к Вам вопрос.
Сейчас от пользователя brainy запускается kswapd, который стабильно раз в неделю зависает и грузит процессор на 100%
http://prntscr.com/1q9trwc
Re: взломали панель
не несите чушь. При установке панели такого пользователя в панеле и системе нет! Ни на центосе 7, ни на 8
Re: взломали панель
Вот еще скрин его домашней директории: http://prntscr.com/1q9ubps
Устанавливалась панель ориентировочно в мае 2018 (в апреле даже получается) на сентос 7
Не понарисовывал же я эти скрины ))))
И что такое тогда kswapd, который запущен пользователем brainy?
Устанавливалась панель ориентировочно в мае 2018 (в апреле даже получается) на сентос 7
Не понарисовывал же я эти скрины ))))
И что такое тогда kswapd, который запущен пользователем brainy?
Последний раз редактировалось Sergey.F Ср авг 18, 2021 7:52 am, всего редактировалось 2 раза.
Re: взломали панель
еще раз! панель такого пользователя по умолчанию не создает.