Назад | Перейти на главную страницу

Удален корень пользователя

Имею коробку debian 8. Это plesk-сервер с более чем 90 веб-сайтами.

Кажется, кто-то получил доступ к моему серверу и удалил пользователя root. Я захожу в / etc / passwd, а файл не принадлежит root: root принадлежит hacker: root, поскольку hacker - это имя пользователя человека, который, вероятно, это делает.

Я не могу писать в / etc / passwd и там нет строки root: x: 0: 0: root: / root: / bin / bash. У меня есть такая строка:

хакер: fiMWeeeegx9rM: 0: 0: pwned: / root: / bin / bash

И теперь корневой процесс не запущен, весь процесс выполняется на сервере под именем хакера.

Два вопроса:

1.- Я думаю, что могу перезагрузить сервер, чтобы изменить пароль пользователя хакера, но как я могу отменить изменения, восстановить пароль root и все процессы, которые выполняются под именем пользователя hacek, снова запустить под именем root?

2.- Доступ к серверу только ключ rsa и IP. Как такое возможно? Если я это исправлю, как я смогу защитить коробку в будущем?

Спасибо

В комментариях под вашим вопросом есть правильный ответ: так как вы не знаете, какие еще изменения внес хакер, лучше всего выполнить переустановку из резервной копии. Однако будьте осторожны: часто злоумышленники владеют вашими серверами незамеченными, остаются там неделями или месяцами, делают все, что хотят, и оставляют видимые следы, такие как изменение /etc/passwd только когда они хотят, чтобы их заметили. Резервные копии, сделанные тем временем, могут быть уже скомпрометированы, поэтому даже переустановку из резервной копии необходимо выполнять с осторожностью. Хороший аудит безопасности от профессионального эксперта по безопасности является обязательным, и это единственный ответ, который я могу дать на ваш второй вопрос.

Только примечание: процессы запускаются по идентификатору пользователя, а не по имени пользователя. Тот факт, что вы видите их в списке под hacker просто потому, что это имя соответствует uid 0 в /etc/passwd. Если бы вы могли написать /etc/passwd и изменить hacker вернуться к root это имя мгновенно исчезнет. Но опять же, это не устранит никаких других повреждений, которые мог нанести злоумышленник.

Мои симпатии.