взломали панель

[Sergey.F]

А блокировать то за что???
Откуда тут нагаглая ложь? Могли бы зайти проверить - я Вам в чате всегда предоставлял доступ к серверу.
Очень неожиданно было... Прям удар в спину... я наоборот всем советовал Вашу панель, Вам много всего подсказывал, как реализовать, что улучшить и много чего из этого реализовано. А тут такое...
https://prnt.sc/1q9v8p6

[Sergey.F]

Между прочим по этому скрину https://prnt.sc/1q9trwc про загрузку процессора 100% я лично с Вами (sbury) общался в чате примерно год назад, вы сами заходили ко мне на сервер и пробовали разобраться с проблемой. Обещали еще у себя на серверах посмотреть. Тогда пользователь brainy у Вас не вызвал подозрения?

[sbury]

вы утверждаете что панель создает при установке пользователя brainy с правом логина. Это ложь! Я вам несколько раз об этом сказал. Но вы продолжаете это утверждать.

год назад в панеле была исправлена проблема с безопасностью. Если ваша панель очень старая, возможно она было скомпрометирована, до того обновления, а воспользоваться им могли сейчас. В любом случае сервер скомпрометирован. Рекомендую сделать полную его переустановку.

[Sergey.F]

да, и в скринах я это подтвердил!!!
1) Пользователь создан вместе с системными, до создания пользователей мной. Мои пользователи идут дальше. А добавляются они в файл /etc/passwd поочереди в конец файла. https://prnt.sc/1q9t0vb
2) Домашняя директория пользователя brainy и в ней файлы .bash_logout и .bash_profile с датой создания Apr 11 2018 http://prntscr.com/1q9ubps
Еще я писал что панель у меня очень старая и как вариант в то время мог бы и добавляться данный пользователь. Вполне возможно, что сейчас он не используется в новых версиях. Но у меня он есть и используется для запуска kswapd http://prntscr.com/1q9trwc

P.S. Чесно, я очено шокирован (мягко говоря) Вашей реакцией на замечание. За 3 года ничего подобного и близко не было, всегда старались помочь, выяснить проблему, решить. А тут просто вслепую без всяких выясний блокировка за "наглую ложь"

[sbury]

В следующий раз правильно стройте свои утверждения. Иначе другой реакции не будет. Если вам говорят, что панель не делает этих операций, принимайте это к сведению. Иначе получается , что вы вводите других в заблуждение.

[Sergey.F]

Закрыли вопрос. Проблему я вчера сам нашел и сам решил. Все даные по проблеме у Вас есть - решайте сами, нужно ли что-то предпринимать в следущем обновлении. Не вижу смысла спорить дальше, так как каждый всеравно останется при своем мнении. Я Вам привел факты, а Вы пишете нет поверьте на слово не создаем мы такого пользователя!!!

Если кто-то еще использует довольно старую панель проверьте у себя на всякий случай наличие пользователя brainy:
getent passwd brainy
и если он есть поменяйте на нем пароль на какой-то свой (можно было бы удалить, но вдруг к нему есть какие-то связи)
Через этого пользователя могут проникнуть к Вам на сервер.

[alenka]

Еще я писал что панель у меня очень старая и как вариант в то время мог бы и добавляться данный пользователь. Вполне возможно, что сейчас он не используется в новых версиях. Но у меня он есть и используется для запуска kswapd http://prntscr.com/1q9trwc

При недостаточном размере оперативной памяти, начинает работать swap.
kswapd грузит на 100% так как нет свободной оперативной памяти. kswapd отвечает за свопирование.

[Sergey.F]

Еще я писал что панель у меня очень старая и как вариант в то время мог бы и добавляться данный пользователь. Вполне возможно, что сейчас он не используется в новых версиях. Но у меня он есть и используется для запуска kswapd http://prntscr.com/1q9trwc

При недостаточном размере оперативной памяти, начинает работать swap.
kswapd грузит на 100% так как нет свободной оперативной памяти. kswapd отвечает за свопирование.

Спасибо, за ответ! Но тут в вопросе больше подразумевалось почему kswapd запускается от пользователя brainy (и уже очень давно так запускается), если такой пользователь вообще не должен был бы присутствовать в системе? Именно через этого польззователя у меня взломали панель. Сразу после обнаружения взлома я поменял для него пароль. На данный момент удалил совсем. После перегрузки сервера панель вроде нормально работает.

[alenka]

Только что проверила, в новых версиях панели нет такого пользователя.

Есть только данный пользователь brainyservice1000:/dev/null:/sbin/nologin
Установите панель с нуля. Возможно у вас старая панель.
Когда вы ее ставили?

[Sergey.F]

Только что проверила, в новых версиях панели нет такого пользователя.

Есть только данный пользователь brainyservice1000:/dev/null:/sbin/nologin
Установите панель с нуля. Возможно у вас старая панель.
Когда вы ее ставили?

Да, очень старая панель... Возможно даже самая старая из работающих на данный момент - 11 апреля 2018. Поддерживаю как могу. Переустановил бы с радостью, но там больше 50 сайтов и в этом вся проблема... Отключить все на 3 дня не получится, будут возмущаться. Взять новый ВПС и переносить на него тоже проблемно, так не допросишся у всех доступы к доменам - из опыта на 2-3 мес затягивается... Буду пока так мучаться!!!
P.S. Уделяйте больше внимания зачистке от муссора при обновлениях!