Polskie Forum Użytkowników Debiana

Witam!

Dziś około 12 zauważyłem że wszyscy użytkownicy mają pozmieniane hasła.
Natychmiast napisałem do och i zalecili:

Witam,
Proponuję uruchomić serwer w trybie rescue i wtedy sprawdzić logi
maszyny:

http://pomoc.ovh.pl/TrybRescue

Oraz ewentualnie ustawić nowe hasła.

I tak zrobiłem.

Ale nie wiem co mam robić teraz.
Jak dowiedzieć się co haker zrobił oraz jak pozmieniać hasła.
Pozdro!

Zapytaj OVH, za coś im w końcu płacisz.

Ale oni pracują do 18 a nie moge czekać do jutra..

Obsługa techniczna pracuje 24/7. Jeśli im za to płacisz, ich obowiązkiem jest ci pomóc. Jeśli nie płacisz, zacznij, wyraźnie tego potrzebujesz. Nie oczekujesz chyba że ktoś będzie robił za free, komercyjną de facto, usługę. Bo jeśli nie jest komercyjna, to skąd

Inwob pisze:nie moge czekać do jutra..

?

Nie możesz po prostu pomóc?
Płace za serw...

Chłopie po co Ci ten serwer skoro nie wiesz podstawowych rzeczy. Po wejściu w tryb rescue trzeba by sprawdzić czy są zamontowane dyski HDD - nie pamiętam dokładnie jak to jest w ovh. w razie czego zamontuj sobie główny dysk do jakiegoś katalogu (komenda mount). Teraz trzeba przejrzeć katalog var/log/ bo właśnie tam znajdują się logi. Proponowałbym skupić się na auth.log, sys.log, apache.log . Wnioski nasuną się same. Jeśli atakujący miał dostęp przez ssh to można sprawdzić .bash_history w katalogu root/ jeśli oczywiście go nie wyczyścił ogólnie opcji jest sporo. Na forum ovh, w razie co, możesz zatrudnić admina, który pomoże Ci zadbać o bezpieczeństwo żeby taka sytuacja nie powtórzyła się w przyszłości

Intruder, a co zaproponujesz w kwestii rootkitów? Uważasz że kolega sobie z tym poradzi, skoro nawet nie umie wygooglać potrzebnych informacji?
Zatrudnienie kogoś do "prowadzenia" serwera poleciłem już kilka postów wcześniej.