BrainyCP

zulicheg писал(а): ↑

Вс авг 16, 2020 7:12 pm

KyKyIIIKuH писал(а): ↑

Вс авг 16, 2020 7:05 pm

я не настолько ламер))
все проверил, там только за те дни которые написаны на скрине

а, мелкий скриншот не обратил внимание на даты. Ничего не менял в ротации логов? У меня логи с 19 июля

ну в ротации было "Хранить количество старых логов: 4"
сейчас поменял на 60

но уже поздно

У себя тоже нашел весь набор!
Подключился вчера 15.08.2020 ночью.
Лог за эту дату удален.

vikont писал(а): ↑

Вс авг 16, 2020 10:31 pm

У себя тоже нашел весь набор!
Подключился вчера 15.08.2020 ночью.
Лог за эту дату удален.

Не терпится услышать комментарии разрабов.

Давайте сверим: У кого какой провайдер
У меня bitweb.

Зачем? А я вдруг обнаружил, что мой FTP сервер ломится ко мне на 21 порт! Заметте, не я к нему а он ко мне! При том не имея к моему серверу доступа! Не давал и нет у него такой функции.
Техподдержка мне пишет, что не дурите голову, мол мой FTP сервер не может причинить мне вреда! А зачем он тогда вообще ломится нс сервер? В ответ тишина.
Проблема в том, что система безопасности блокирует IP FTP сервера, ведь ломится без всяких прав, как взломщик, и потом при бекапировании на заблокированный адрес полностью ложится сервер.
Пока техподдержа хранит молчание.

vikont писал(а): ↑

Вс авг 16, 2020 11:46 pm

Давайте сверим: У кого какой провайдер
У меня bitweb.

hetzner

в /tmp/test.sh еще файл был, там были команды для создания пользователя

vikont писал(а): ↑

Вс авг 16, 2020 11:46 pm

Давайте сверим: У кого какой провайдер
У меня bitweb.

да дата-центр тут не причем, ломают именно через панель. в логах путь /etc/brainycp/api. не могут в одночасье сломать сервера у разных людей где связующее звено панель.

P.S. Суппорт пока молчит.

Поддержка уже полтора часа ковыряется на сервере, но пока внятных ответов нет. Сказали что через webshell взломали, но он не был установлен и включен. Копаются дальше. Если появится инфа отпишусь.

UPD 16:10: Ответ ТС

есть подозрение что пользователь создавался через api, и если использовалось sudo то он явно прошел авторизацию.
подключите группу к юзерам, закройте все им включая API. если он вам не нужен то можете вообще удалить весь каталог API оставьте только один файл api_send.php

Короче все непонятно и загадочно. Сказали еще проверят работу API.

zulicheg писал(а): ↑

Пн авг 17, 2020 12:07 pm

Поддержка уже полтора часа ковыряется на сервере, но пока внятных ответов нет. Сказали что через webshell взломали, но он не был установлен и включен. Копаются дальше. Если появится инфа отпишусь.

А какая версия панели у вас была, на момент взлома?

Akrobs писал(а): ↑

Пн авг 17, 2020 4:13 pm

zulicheg писал(а): ↑

Пн авг 17, 2020 12:07 pm

Поддержка уже полтора часа ковыряется на сервере, но пока внятных ответов нет. Сказали что через webshell взломали, но он не был установлен и включен. Копаются дальше. Если появится инфа отпишусь.

А какая версия панели у вас была, на момент взлома?

у меня 1.0813