servidor WHM pirateado, se perdió el acceso de la raíz [cerrado]

Navega tus respuestas
0

Tengo un gran problema. En pocas palabras, hace 2 días noté un proceso extraño en httpd, algo que nunca había visto antes. Eso me llevó a buscarlo en Google, y OVH llegó arriba con "Ejemplos de un servidor pirateado". Así que me asusté, pero no hice nada ya que el resto de foros de cpanel dijeron que no estaba relacionado con hacks. >

Y aquí estamos, no puedo iniciar sesión en la raíz, como si se hubiera cambiado mi pase. Tengo cuentas de usuario estándar que no tienen acceso de root pero que tienen acceso SSH. El servidor ejecuta CentOS 6.2.

Ok, inicié el modo de usuario único y pude restablecer mi contraseña desde allí. Ahora tengo acceso a la raíz de nuevo, pero solo durante 5-10 minutos, ya que se cambia de nuevo justo después de arrancar. Escaneé rootkits y no encontré nada, y estoy haciendo un escaneo de clamav que tampoco muestra mucho. Afortunadamente, me conecté al terminal SSH raíz justo antes de que se modificara, por lo que no tengo acceso a WHM, pero sí tengo acceso a la raíz SSH hasta que me desconecte.

Estoy publicando aquí solicitando ayuda y consejos sobre lo que debo hacer aquí. Gracias, Kris

    
pregunta Kris 10.10.2012 - 22:10
fuente

3 respuestas

4

Nunca podrá volver a ganar completamente la confianza en su servidor, tendrá que reconstruir o restaurar desde copias de seguridad. Si hay archivos críticos de los que no ha hecho una copia de seguridad, inicie en modo de usuario único, obtenga sus datos y luego wiperola. No hay herramientas, escáneres o metodologías que le permitan estar seguro de que está libre de piratería. Además, podría pasar mucho más tiempo tratando de arreglarlo que simplemente reconstruir.

    
respondido por el GdD 10.10.2012 - 22:28
fuente
0

Si ssh como otro usuario y su a la cuenta de root, ¿la contraseña para root funciona? Si lo hace, entonces algo está con httpd ... reiniciar?

¿Algún archivo de registro que puedas ver?

    
respondido por el Darkmatter 11.10.2012 - 03:52
fuente
0

Eres la primera persona que recuerdo haberle dicho aquí: parece que estás bien. 

/usr/local/apache/bin/httpd

Proceso normal de Apache, instalado sin utilizar un administrador de paquetes. 

-k start

Comando normal para iniciar el proceso. 

-DSSL

Usando SSL.

Busqué esa misma cadena en Google y encontré la misma primera página ... y excepto por el hecho de que ambos están ejecutando Apache, no hay nada especial. Las diversas cosas que son signos de compromiso en ese ejemplo son procesos como x0x , c , psybnc , etc. También tenga en cuenta que Google maneja un signo menos al comienzo de un mundo como "excluir". Vuelva a la primera página y tenga en cuenta que "DSSL" no aparece en ninguna parte.

A menos que haya algo más extraño ... estás viendo dos juegos de Apache ejecutándose, está escuchando en puertos extraños, etc., entonces no veo nada que me haya indicado que no estés comprometido. No puedo decir que estés a salvo, pero no tengo ninguna razón para sospechar, por lo que has publicado, que algo inusual ha sucedido.

    
respondido por el Jeff Ferland 11.10.2012 - 04:30
fuente

Lea otras preguntas en las etiquetas

Los mejores artículos sobre WPA / WPA2 [cerrado] ¿Algún firewall de software de código abierto con función de bloqueo de ip basado en el país? [cerrado]