взломали панель

Обсуждение установки и настройки поддерживаемых вебсерверов, а также работы с ними.
Sergey.F
Сообщения: 61
Зарегистрирован: Ср июн 12, 2019 12:18 pm

взломали панель

Сообщение Sergey.F » Вт авг 17, 2021 10:23 am

Здравствуйте! У меня взломали панель, разместили скрипт, который подбирает пароли к ссш друих серверов. Что делать?
Висит 6 000 подключений к ссш разных серверов

grachevma
Сообщения: 35
Зарегистрирован: Пт май 24, 2019 5:19 pm
Откуда: Spb

Re: взломали панель

Сообщение grachevma » Вт авг 17, 2021 3:38 pm

просто интересно, откуда уверенность что взломали именно панель, а не сервер?

Sergey.F
Сообщения: 61
Зарегистрирован: Ср июн 12, 2019 12:18 pm

Re: взломали панель

Сообщение Sergey.F » Вт авг 17, 2021 4:05 pm

владелец файлов скриптов - brainy, запущены скрипты от имени brainy ))
положили в каталог /dev/ - удалил. второй раз в каталог /tmp/ - без нормальных прав такого не сделать...
Так как на сервер ничего стороннего не устанавливалось и все обновляется всегда, то сервер тоже можно считать панелью. Но в данном случае точно взломана именно панель.

P.S. Хоть бы кто-то из разработчиков поинтересовался за весь день. Как взломали, что взломали, может помощь нужна, может мы зайдем посмотрим, заодно найдем причину и устраним в следующем обновлении?????

grachevma
Сообщения: 35
Зарегистрирован: Пт май 24, 2019 5:19 pm
Откуда: Spb

Re: взломали панель

Сообщение grachevma » Вт авг 17, 2021 4:08 pm

Sergey.F писал(а):
Вт авг 17, 2021 4:05 pm
P.S. Хоть бы кто-то из разработчиков поинтересовался за весь день. Как взломали, что взломали, может помощь нужна, может мы зайдем посмотрим, заодно найдем причину и устраним в следующем обновлении?????
в скайп писали им?

Sergey.F
Сообщения: 61
Зарегистрирован: Ср июн 12, 2019 12:18 pm

Re: взломали панель

Сообщение Sergey.F » Вт авг 17, 2021 4:54 pm

у меня Скайп почему-то не работает... Я удалил его пару лет назад и с тех пор как-то даже не возникало в нем никакой надобности. Скайп уже прошлый век - кто им сейчас пользуется? ))) Сейачс Telegram, WhatsApp, Viber. Могли бы перейти на Telegram - было бы намного удобнее..
Да и было бы желание заниматься поддержкой, не отключали бы чат. Раньше через чат обращался при проблемах.

Аватара пользователя
sbury
Сообщения: 1463
Зарегистрирован: Вт фев 06, 2018 7:51 am

Re: взломали панель

Сообщение sbury » Вт авг 17, 2021 10:21 pm

мне просто интересно, у кого еще есть пользователь brainy в панеле?
владелец файлов скриптов - brainy, запущены скрипты от имени brainy ))
а вы уважаемый Sergey.F покажите мне вывод

Код: Выделить всё

getent passwd brainy
а так же версию вашей панели
и покажите скрипшот, какими именно задачами управляет пользователь brainy на вашем сервере

Sergey.F
Сообщения: 61
Зарегистрирован: Ср июн 12, 2019 12:18 pm

Re: взломали панель

Сообщение Sergey.F » Ср авг 18, 2021 7:26 am

Вот вывод /etc/passwd
http://prntscr.com/1q9t0vb

Пользователь brainy в первых рядах (с возможностью залогиниться) еще до создания мной пользователей, тоесть был создан при установке панели. Был выполнен вход на сервер пользователем brainy и размещены вредоносные скрипты. Скрипты так же были запущены от пользователя brainy и овнер файлов так же был brainy. Почему этот пользователь присутствует и какой у него пароль я не в курсе. Скриты удалил, на пользователе поменял пароль - все прекратилось... Панель очень старая, всегда все оперативно обновляю, версия самая свежая - 1.0927.20210708
Я так думаю раньше Вами использовался пользователь brainy для каких-то сервисных целей и, возможно, в первых версиях, чтоб можно было подключаться к серверам пользователей что-то исправлять. Потом возможно Вы от него отказались, но прописать в обновлениях его удаление забыли... (что довольно часто сам замечаю, от чего-то отказываетесь, но при обновлении не чистите ненужные остатки, сечас полно мусора в панели). Так как произошла утечка пароля к пользователю brainy - к Вам вопрос.

Сейчас от пользователя brainy запускается kswapd, который стабильно раз в неделю зависает и грузит процессор на 100%
http://prntscr.com/1q9trwc

Аватара пользователя
sbury
Сообщения: 1463
Зарегистрирован: Вт фев 06, 2018 7:51 am

Re: взломали панель

Сообщение sbury » Ср авг 18, 2021 7:32 am

не несите чушь. При установке панели такого пользователя в панеле и системе нет! Ни на центосе 7, ни на 8

Sergey.F
Сообщения: 61
Зарегистрирован: Ср июн 12, 2019 12:18 pm

Re: взломали панель

Сообщение Sergey.F » Ср авг 18, 2021 7:33 am

Вот еще скрин его домашней директории: http://prntscr.com/1q9ubps
Устанавливалась панель ориентировочно в мае 2018 (в апреле даже получается) на сентос 7
Не понарисовывал же я эти скрины ))))

И что такое тогда kswapd, который запущен пользователем brainy?
Последний раз редактировалось Sergey.F Ср авг 18, 2021 7:52 am, всего редактировалось 2 раза.

Аватара пользователя
sbury
Сообщения: 1463
Зарегистрирован: Вт фев 06, 2018 7:51 am

Re: взломали панель

Сообщение sbury » Ср авг 18, 2021 7:50 am

еще раз! панель такого пользователя по умолчанию не создает.

Ответить