Page 1 of 1
Попытка взлома
Posted: Thu Apr 13, 2017 3:05 am
by midex
Всем привет.
Взломали и удалили клиентский сайт, вместо него оставили популярный шел. Гадости эти мы удалили.
Далее, начинаем восстанавливать бекап и видим:
Code: Select all
/usr/local/vesta/bin/v-restore-user: line 405: [: Binary file /etc/passwd matches: integer expression expected
-- USER FILES --
2017-04-12 22:57:37 .profile
/usr/local/vesta/bin/v-restore-user: line 716: [: Binary file /etc/passwd matches: integer expression expected
2017-04-12 22:57:37 .bashrc
/usr/local/vesta/bin/v-restore-user: line 716: [: Binary file /etc/passwd matches: integer expression expected
2017-04-12 22:57:37 tmp
/usr/local/vesta/bin/v-restore-user: line 716: [: Binary file /etc/passwd matches: integer expression expected
2017-04-12 22:57:37 .bash_logout
/usr/local/vesta/bin/v-restore-user: line 716: [: Binary file /etc/passwd matches: integer expression expected
В панели вместо имени admin (например) - надпись - Binary file /etc/passwd matches и нет возможности редактировать пользователей...
Как починить Весту? Или только переустановка?
Re: Попытка взлома
Posted: Thu Apr 13, 2017 4:31 am
by midex
надпись - Binary file /etc/passwd matches только у админа вместо имени. Другие пользователи не показываются, но зайти под логином и паролем другим пользователям получается, там с отображением имени все в норме.
Re: Попытка взлома
Posted: Fri Apr 14, 2017 6:46 am
by midex
Re: Попытка взлома
Posted: Mon Apr 17, 2017 6:26 am
by midex
Народ хелп.... как починить?..
Re: Попытка взлома
Posted: Mon Apr 17, 2017 6:52 am
by Светозар
midex wrote:Народ хелп.... как починить?..
Если сервер скомпрометирован, то его нужно пересоздать, дальше заново все отстроить.
Re: Попытка взлома
Posted: Tue Apr 18, 2017 7:28 am
by skurudo
Печальное известие :(
midex wrote:В панели вместо имени admin (например) - надпись - Binary file /etc/passwd matches и нет возможности редактировать пользователей...
Все ли в порядке с /etc/passwd ?
Не покопались ли там?
midex wrote:Как починить Весту? Или только переустановка?
В случае, когда скомпромитирован admin / root предпочтительнее переустановка
Re: Попытка взлома
Posted: Wed Apr 19, 2017 7:44 am
by midex
Проблема решена, сейчас опишу решение. Скомпроментирован был пользователь без ssh доступа... данные нарушения в системе сделаны через шел..
После закрытия putty и попытки подключиться заново под рутом ничего не получилось... смена пароля в панели хостера(isp) не помогла.. значит дело в /etc/passwd, спасибо skurudo.
Зашел через панель хостера в ssh-имитатор, и там сменил пароль, и всё ок, заработало. Файл /etc/passwd восстановился, хотя рядом появился ещё 1 с тильдой..
Всем спасибо!
