Взломали панель и повесили майнер

Защита сервера от взлома, антивирус, файрвол, SSL-сертификаты и прочие вопросы, связанные с безопасностью данных.
zulicheg
Сообщения: 103
Зарегистрирован: Пн июн 15, 2020 1:48 pm

Re: Взломали панель и повесили майнер

Сообщение zulicheg » Вс авг 16, 2020 12:19 pm

Еще ищи в /etc/systemd/system/multi-user.target.wants/ файлик sshd_extra.service

Аватара пользователя
KyKyIIIKuH
Сообщения: 268
Зарегистрирован: Ср мар 14, 2018 11:04 am

Re: Взломали панель и повесили майнер

Сообщение KyKyIIIKuH » Вс авг 16, 2020 12:20 pm

zulicheg писал(а):
Вс авг 16, 2020 12:19 pm
Еще ищи в /etc/systemd/system/multi-user.target.wants/ файлик sshd_extra.service
этого нету, уже радует
Alma Linux 8 - KVM
Текущая версия: 1.0941.20220818
Linux 4.18.0-348.20.1.el8_5.x86_64

Аватара пользователя
ordex
Сообщения: 347
Зарегистрирован: Вт ноя 20, 2018 2:47 pm

Re: Взломали панель и повесили майнер

Сообщение ordex » Вс авг 16, 2020 12:22 pm

zulicheg писал(а):
Вс авг 16, 2020 12:19 pm
Еще ищи в /etc/systemd/system/multi-user.target.wants/ файлик sshd_extra.service
нету, никаких левых сервисов нет, всё ок.

zulicheg
Сообщения: 103
Зарегистрирован: Пн июн 15, 2020 1:48 pm

Re: Взломали панель и повесили майнер

Сообщение zulicheg » Вс авг 16, 2020 12:30 pm

KyKyIIIKuH писал(а):
Вс авг 16, 2020 12:20 pm
zulicheg писал(а):
Вс авг 16, 2020 12:19 pm
Еще ищи в /etc/systemd/system/multi-user.target.wants/ файлик sshd_extra.service
этого нету, уже радует
Смотри лог /var/log/secure, у меня юзер появился 25.07, а скрипт и сервис 15.08, так что видимо еще не дошла до тебя очередь. Если он еще по ssh не заходил то пол проблемы, у меня уже побывал и майнер повесил. сайты вроде не тронуты, но уже боязно, мало ли что повесил. Придется все перебивать, но хотелось бы сначала услышать разрабов и возможно дать им доступ, чтобы они могли проверить все и пофиксить проблему в панели.

Аватара пользователя
KyKyIIIKuH
Сообщения: 268
Зарегистрирован: Ср мар 14, 2018 11:04 am

Re: Взломали панель и повесили майнер

Сообщение KyKyIIIKuH » Вс авг 16, 2020 6:35 pm

zulicheg писал(а):
Вс авг 16, 2020 12:30 pm
KyKyIIIKuH писал(а):
Вс авг 16, 2020 12:20 pm
zulicheg писал(а):
Вс авг 16, 2020 12:19 pm
Еще ищи в /etc/systemd/system/multi-user.target.wants/ файлик sshd_extra.service
этого нету, уже радует
Смотри лог /var/log/secure, у меня юзер появился 25.07, а скрипт и сервис 15.08, так что видимо еще не дошла до тебя очередь. Если он еще по ssh не заходил то пол проблемы, у меня уже побывал и майнер повесил. сайты вроде не тронуты, но уже боязно, мало ли что повесил. Придется все перебивать, но хотелось бы сначала услышать разрабов и возможно дать им доступ, чтобы они могли проверить все и пофиксить проблему в панели.
логи только за 12 августа и выше
то что было в июле загадка...
Alma Linux 8 - KVM
Текущая версия: 1.0941.20220818
Linux 4.18.0-348.20.1.el8_5.x86_64

zulicheg
Сообщения: 103
Зарегистрирован: Пн июн 15, 2020 1:48 pm

Re: Взломали панель и повесили майнер

Сообщение zulicheg » Вс авг 16, 2020 6:52 pm

KyKyIIIKuH писал(а):
Вс авг 16, 2020 6:35 pm
логи только за 12 августа и выше
то что было в июле загадка...
Так там архивы лежат secure-........gz

P.S. Интересная фигня, на втором сервере поменял порт панели, теперь не могу на него с первого сервера трансфер делать, говорит что на 2-м панель не установлена.

Аватара пользователя
KyKyIIIKuH
Сообщения: 268
Зарегистрирован: Ср мар 14, 2018 11:04 am

Re: Взломали панель и повесили майнер

Сообщение KyKyIIIKuH » Вс авг 16, 2020 6:58 pm

zulicheg писал(а):
Вс авг 16, 2020 6:52 pm
KyKyIIIKuH писал(а):
Вс авг 16, 2020 6:35 pm
логи только за 12 августа и выше
то что было в июле загадка...
Так там архивы лежат secure-........gz
я понимаю, но их там нету за июль
Screenshot_20200816_215729.png
Screenshot_20200816_215729.png (33.84 КБ) 6350 просмотров
Alma Linux 8 - KVM
Текущая версия: 1.0941.20220818
Linux 4.18.0-348.20.1.el8_5.x86_64

zulicheg
Сообщения: 103
Зарегистрирован: Пн июн 15, 2020 1:48 pm

Re: Взломали панель и повесили майнер

Сообщение zulicheg » Вс авг 16, 2020 7:03 pm

KyKyIIIKuH писал(а):
Вс авг 16, 2020 6:58 pm
я понимаю, но их там нету за июль
Это архивы понедельные, смотри их. в mc F3 сразу смотрит нормально.

Аватара пользователя
KyKyIIIKuH
Сообщения: 268
Зарегистрирован: Ср мар 14, 2018 11:04 am

Re: Взломали панель и повесили майнер

Сообщение KyKyIIIKuH » Вс авг 16, 2020 7:05 pm

zulicheg писал(а):
Вс авг 16, 2020 7:03 pm
KyKyIIIKuH писал(а):
Вс авг 16, 2020 6:58 pm
я понимаю, но их там нету за июль
Это архивы понедельные, смотри их. в mc F3 сразу смотрит нормально.
я не настолько ламер))
все проверил, там только за те дни которые написаны на скрине
Alma Linux 8 - KVM
Текущая версия: 1.0941.20220818
Linux 4.18.0-348.20.1.el8_5.x86_64

zulicheg
Сообщения: 103
Зарегистрирован: Пн июн 15, 2020 1:48 pm

Re: Взломали панель и повесили майнер

Сообщение zulicheg » Вс авг 16, 2020 7:12 pm

KyKyIIIKuH писал(а):
Вс авг 16, 2020 7:05 pm
я не настолько ламер))
все проверил, там только за те дни которые написаны на скрине
а, мелкий скриншот не обратил внимание на даты. Ничего не менял в ротации логов? У меня логи с 19 июля

Ответить