Назад | Перейти на главную страницу

пароль root изменен. Кто-то взломал мой сервер?

Сегодня утром я обнаружил, что не могу войти в учетную запись root на одном из моих серверов (CentOS 6). Я загрузился в однопользовательском режиме и сбросил пароль root. Сейчас вроде все нормально работает.

У меня есть несколько показателей мониторинга, которые отслеживают поведение на этом сервере, и я не обнаружил никаких доказательств гнусной активности. Однако я не уверен, что могу доверять безопасности этого сервера без полной переустановки ОС.

Вы могли просто забыть пароль, это случилось со мной. :-)

Если ваш сервер был взломан, вы не можете доверять хранящимся на нем данным или коду. Возможно, у вас есть какие-то внешние средства ведения журнала, например:

  • удаленный сервер системного журнала,
  • брандмауэр, который регистрирует соединения,
  • или даже просто управляемый коммутатор, который регистрирует соединения?

Я бы без колебаний переустановил эту машину. А пока попробуйте настроить удаленное место регистрации; вы можете использовать для этого один из ваших серверов. Я рекомендую немного прочитать о возможностях конфигурации (например, о доступных протоколах); это похоже на хороший сборник знаний:

https://www.loggly.com/ultimate-guide/managing-linux-logs/