случай: взлом сервера, предположения, советы
Posted: Fri Jun 24, 2016 11:14 am
Добрый день!
Произошел странный и пугающий случай.
Vesta core package Version:0.9.8 (x86_64) Release:15, CentOS 6.7, сервер на digitalocean.
Возникла необходимость зайти на сервер через консоль – не смог, пишет неверный пароль… Решил зайти в весту посмотреть что там – не смог, тоже пишет неверный пароль… Из доступных смог достучатся через ftp, но там много не сделаешь… В итоге сброс пароля через digitalocean и выключение сервера, смена паролей и все окей.
Сперва подумал, что какой-то глюк… Но потом посмотрел лог (var/log/vesta/auth.log) и увидел там странный и неизвестный вход. IP – анонимного прокси…
Стал смотреть vesta/system.log и тут жесть – кто-то в тот раз, когда кто-то вошел он и пароль сменил, и адрес почты (чтоб восстановить не смог) и что-то в кроне (что – не знаю, так вроде не видно)
Подчеркну особо – пароль 10 символьный вида «b<n_/Wcq6G» последний раз заходил на сервер месяца 4 до «взлома».
По хронологии так:
День 1:
22:07 System.log -> смена пароля vesta (admin)
23:26 secure -> вход ssh2 под admin (не под root!)
23:57 auth.log(vesta) -> login
День второй:
07:12 secure -> вход ssh2 под admin, смена пароля для admin и root
Дальше в основном входы по SSH…
Отсюда вопросы:
1) Все же, через что влезли в первый раз – через весту или через консоль? (очевидно весту, но мало ли есть другая точка зрения)
2) Можно ли поменять пароль для весты не заходя? (по логам – сперва смена пароля, затем вход)
3) Можно ли сменить пароль для root, вскрыв учетку admin?
Если есть какие-то советы, предположения – буду рад услышать, если нужны логи – говорите, может еще что посмотреть стоит…
С Уважением
Произошел странный и пугающий случай.
Vesta core package Version:0.9.8 (x86_64) Release:15, CentOS 6.7, сервер на digitalocean.
Возникла необходимость зайти на сервер через консоль – не смог, пишет неверный пароль… Решил зайти в весту посмотреть что там – не смог, тоже пишет неверный пароль… Из доступных смог достучатся через ftp, но там много не сделаешь… В итоге сброс пароля через digitalocean и выключение сервера, смена паролей и все окей.
Сперва подумал, что какой-то глюк… Но потом посмотрел лог (var/log/vesta/auth.log) и увидел там странный и неизвестный вход. IP – анонимного прокси…
Стал смотреть vesta/system.log и тут жесть – кто-то в тот раз, когда кто-то вошел он и пароль сменил, и адрес почты (чтоб восстановить не смог) и что-то в кроне (что – не знаю, так вроде не видно)
Подчеркну особо – пароль 10 символьный вида «b<n_/Wcq6G» последний раз заходил на сервер месяца 4 до «взлома».
По хронологии так:
День 1:
22:07 System.log -> смена пароля vesta (admin)
23:26 secure -> вход ssh2 под admin (не под root!)
23:57 auth.log(vesta) -> login
День второй:
07:12 secure -> вход ssh2 под admin, смена пароля для admin и root
Дальше в основном входы по SSH…
Отсюда вопросы:
1) Все же, через что влезли в первый раз – через весту или через консоль? (очевидно весту, но мало ли есть другая точка зрения)
2) Можно ли поменять пароль для весты не заходя? (по логам – сперва смена пароля, затем вход)
3) Можно ли сменить пароль для root, вскрыв учетку admin?
Если есть какие-то советы, предположения – буду рад услышать, если нужны логи – говорите, может еще что посмотреть стоит…
С Уважением