BrainyCP

Здравствуйте! У меня взломали панель, разместили скрипт, который подбирает пароли к ссш друих серверов. Что делать?
Висит 6 000 подключений к ссш разных серверов

просто интересно, откуда уверенность что взломали именно панель, а не сервер?

владелец файлов скриптов - brainy, запущены скрипты от имени brainy ))
положили в каталог /dev/ - удалил. второй раз в каталог /tmp/ - без нормальных прав такого не сделать...
Так как на сервер ничего стороннего не устанавливалось и все обновляется всегда, то сервер тоже можно считать панелью. Но в данном случае точно взломана именно панель.

P.S. Хоть бы кто-то из разработчиков поинтересовался за весь день. Как взломали, что взломали, может помощь нужна, может мы зайдем посмотрим, заодно найдем причину и устраним в следующем обновлении?????

Sergey.F писал(а): ↑

Вт авг 17, 2021 4:05 pm

P.S. Хоть бы кто-то из разработчиков поинтересовался за весь день. Как взломали, что взломали, может помощь нужна, может мы зайдем посмотрим, заодно найдем причину и устраним в следующем обновлении?????

в скайп писали им?

у меня Скайп почему-то не работает... Я удалил его пару лет назад и с тех пор как-то даже не возникало в нем никакой надобности. Скайп уже прошлый век - кто им сейчас пользуется? ))) Сейачс Telegram, WhatsApp, Viber. Могли бы перейти на Telegram - было бы намного удобнее..
Да и было бы желание заниматься поддержкой, не отключали бы чат. Раньше через чат обращался при проблемах.

мне просто интересно, у кого еще есть пользователь brainy в панеле?

владелец файлов скриптов - brainy, запущены скрипты от имени brainy ))

а вы уважаемый Sergey.F покажите мне вывод а так же версию вашей панели
и покажите скрипшот, какими именно задачами управляет пользователь brainy на вашем сервере

Вот вывод /etc/passwd
http://prntscr.com/1q9t0vb

Пользователь brainy в первых рядах (с возможностью залогиниться) еще до создания мной пользователей, тоесть был создан при установке панели. Был выполнен вход на сервер пользователем brainy и размещены вредоносные скрипты. Скрипты так же были запущены от пользователя brainy и овнер файлов так же был brainy. Почему этот пользователь присутствует и какой у него пароль я не в курсе. Скриты удалил, на пользователе поменял пароль - все прекратилось... Панель очень старая, всегда все оперативно обновляю, версия самая свежая - 1.0927.20210708
Я так думаю раньше Вами использовался пользователь brainy для каких-то сервисных целей и, возможно, в первых версиях, чтоб можно было подключаться к серверам пользователей что-то исправлять. Потом возможно Вы от него отказались, но прописать в обновлениях его удаление забыли... (что довольно часто сам замечаю, от чего-то отказываетесь, но при обновлении не чистите ненужные остатки, сечас полно мусора в панели). Так как произошла утечка пароля к пользователю brainy - к Вам вопрос.

Сейчас от пользователя brainy запускается kswapd, который стабильно раз в неделю зависает и грузит процессор на 100%
http://prntscr.com/1q9trwc

не несите чушь. При установке панели такого пользователя в панеле и системе нет! Ни на центосе 7, ни на 8

Вот еще скрин его домашней директории: http://prntscr.com/1q9ubps
Устанавливалась панель ориентировочно в мае 2018 (в апреле даже получается) на сентос 7
Не понарисовывал же я эти скрины ))))

И что такое тогда kswapd, который запущен пользователем brainy?

еще раз! панель такого пользователя по умолчанию не создает.