درود
دوستان روی سرورم ایمیل زیر رو دریافت می کنم
IMPORTANT: Do not ignore this email.
This message is to inform you that the account zero has user id 0 (root privs).
This could mean that your system was compromised (OwN3D). To be safe you should
verify that your system has not been compromised.

چجوری می تونم حلش کنم؟

یوزر رو موقت حذف کردم
امیدوارم مشکل حل بشه

یکی دسترسی روت گرفته حالا چه جوریش نیاز به بررسی بیشتر هست روی هوا نمیشه گفت
مایل بودین دسترسی رو ارسال کنین تا بررسی گردد

از سرور شما دسترسی روت گرفته یوزر هم حذف کنی دوباره دسترسی میگیره میسازه

رمز سرور رو دارین ؟

در ضمن پورت ssh هم تعویض کنین بازم بهتر هست

درود
دوستان روی سرورم ایمیل زیر رو دریافت می کنم
IMPORTANT: Do not ignore this email.
This message is to inform you that the account zero has user id 0 (root privs).
This could mean that your system was compromised (OwN3D). To be safe you should
verify that your system has not been compromised.

چجوری می تونم حلش کنم؟

جهت بررسی بیشتز نیاز به دسترسی روت سرور می باشد.

احتمالا سرور به خوبی کانفیگ نشده است.

کنترل پنل نصب شده چی هست؟

کانفیگ های امنیتی بر روی سرور اعمال شده است؟

سرور کلاد لینوکس و کنترل پنل هم whm/cpanel هست
ConfigServer eXploit Scanner - cxs v4.19 هم روش فعاله
ClamAV هم روش نصبه

دوستان تو whm میشه یه یوزر یا ریسلر ایجاد کرد و بهش دسترسی روت داد؟ میخوام ببینم امکانش هست سهوا از whm یک یوزر ساخته شده باشه؟

سرور کلاد لینوکس و کنترل پنل هم whm/cpanel هست
ConfigServer eXploit Scanner - cxs v4.19 هم روش فعاله
ClamAV هم روش نصبه

دوستان تو whm میشه یه یوزر یا ریسلر ایجاد کرد و بهش دسترسی روت داد؟ میخوام ببینم امکانش هست سهوا از whm یک یوزر ساخته شده باشه؟

بله این امکان وجود دارد و راحت میشه دسترسی روت به ریسلر داد(به هاست نمیشود).

کلاد لینوکس آپگرید می باشد؟

اخیرا برخی مشکلات داشته که بروز شده است(نمونه اش تاپیک جناب مسافر که چند وقت پیش در مورد باگ جدید توضیحاتی داده بودند).
اگر CXS هم فعال باشد نمیتواند باگ هایی که در سرور وجود دارد رو شناسایی نماید دوست عزیز همچنین clamd.

کسی پسورد روت سرور شمارو داشته؟

کانفیگ cxs دقیق انجام شده بود؟

php selector برای کاربران فعال است؟

این سرورها برای یک شرکت هست که من اخیرا استخدام شدم
سرور ها هم آپدیت هست و قبلا دادند یکی کاملا مسائل امنیتی رو بررسی کرده
نفر قبل من هم اطلاعات رو داشته که من تا جایی که می تونستم همه چیز رو تغییر دادم
حدس می زنم نفر قبلی یک رسیلر ایجاد کرده و دسترسی داده
بهرحال من تمام رسیلرها و همچنین اکانتهایی که دسترسی به روت داشتند رو حذف کردم


اما یک مشکل دیگه هم هست چندتا از کاربران وقتی به صفحه Webalizer FTP در cpanel میریم یه صفحه میاد که یک هکر زحمت کش هک کردن
اینم متنی که هکر نوشته



HaCked By CrAzY HaCkEr


# بطلنآ تسليكــ وقمنآ نضرب بصميم #

uid=0(root) gid=0(root) groups=0(root)

K.S.A

OuT

CrAzY HaCkEr

حالا نمی دونم این از قبل هک شده یا نه
چون پرسیدم گویا قبلا یکبار هک شدن

و اینکه الان برای این سایتها چیکار میشه کرد
حداقل صفحه Webalizer FTP رو به حالت عادی برگردونم
چجوری چک کنم چون clamav هم چیزی پیدا نمی کنه

ممنون میشم راهنمایی کنید که بقیه دوستان هم اگه به مشکل خوردند بتونند حل کنند

این سرورها برای یک شرکت هست که من اخیرا استخدام شدم
سرور ها هم آپدیت هست و قبلا دادند یکی کاملا مسائل امنیتی رو بررسی کرده
نفر قبل من هم اطلاعات رو داشته که من تا جایی که می تونستم همه چیز رو تغییر دادم
حدس می زنم نفر قبلی یک رسیلر ایجاد کرده و دسترسی داده
بهرحال من تمام رسیلرها و همچنین اکانتهایی که دسترسی به روت داشتند رو حذف کردم


اما یک مشکل دیگه هم هست چندتا از کاربران وقتی به صفحه Webalizer FTP در cpanel میریم یه صفحه میاد که یک هکر زحمت کش هک کردن
اینم متنی که هکر نوشته



HaCked By CrAzY HaCkEr


# بطلنآ تسليكــ وقمنآ نضرب بصميم #

uid=0(root) gid=0(root) groups=0(root)

K.S.A

OuT

CrAzY HaCkEr

حالا نمی دونم این از قبل هک شده یا نه
چون پرسیدم گویا قبلا یکبار هک شدن

و اینکه الان برای این سایتها چیکار میشه کرد
حداقل صفحه Webalizer FTP رو به حالت عادی برگردونم
چجوری چک کنم چون clamav هم چیزی پیدا نمی کنه

ممنون میشم راهنمایی کنید که بقیه دوستان هم اگه به مشکل خوردند بتونند حل کنند

این سرورها برای یک شرکت هست که من اخیرا استخدام شدم
سرور ها هم آپدیت هست و قبلا دادند یکی کاملا مسائل امنیتی رو بررسی کرده
نفر قبل من هم اطلاعات رو داشته که من تا جایی که می تونستم همه چیز رو تغییر دادم
حدس می زنم نفر قبلی یک رسیلر ایجاد کرده و دسترسی داده
بهرحال من تمام رسیلرها و همچنین اکانتهایی که دسترسی به روت داشتند رو حذف کردم


اما یک مشکل دیگه هم هست چندتا از کاربران وقتی به صفحه Webalizer FTP در cpanel میریم یه صفحه میاد که یک هکر زحمت کش هک کردن
اینم متنی که هکر نوشته



حالا نمی دونم این از قبل هک شده یا نه
چون پرسیدم گویا قبلا یکبار هک شدن

و اینکه الان برای این سایتها چیکار میشه کرد
حداقل صفحه Webalizer FTP رو به حالت عادی برگردونم
چجوری چک کنم چون clamav هم چیزی پیدا نمی کنه

ممنون میشم راهنمایی کنید که بقیه دوستان هم اگه به مشکل خوردند بتونند حل کنند

با سلام
دسترسی روت گرفته که موقع حذف هم چنین پیغامی میده.

پیشنهاد میکنم اگر میخواهید خیالتون راحت بشه همه چی را از 0 بالا بیارید. معلوم نیست چه اتفاقی افتاده و بررسی کردنش هم هم وقت گیره هم 100% ممکنه حل نشه با توجه به اینکه سرور قبلا دست شخص دیگری هم بوده.

مورد FTP هم فایلهای پیشفرض تمپلت را باید edit کنید.


با تشکر - شریفی

یه سوال دیگه
یک سری سایتها ویروسیه و آنتی ویروس به عنوان ویروس شناسایی میکنه اما clamav چیزی پیدا نمی کنه این سایتهارو چطور میشه بررسی کرد؟

یه سوال دیگه
یک سری سایتها ویروسیه و آنتی ویروس به عنوان ویروس شناسایی میکنه اما clamav چیزی پیدا نمی کنه این سایتهارو چطور میشه بررسی کرد؟

از کجا میگه بهتون که ویروسی هست؟

طبق صحبت جناب سجادیه عمل کنید.

این مورد خیلی حاد هست و حرفه ای های هاستینگ هم فقط با ریلود میتونند کامل جلوی نفوذ مجدد رو بگیرند.

ببینید بعضی سایتها رو bitdefender به عنوان مشکل دار میشناسه که ممکنه یک کد توی اون سایت باشه که این مشکل رو بوجود اورده و میشه با پاک کردن اون کد مشکل رو حل کرد
اما الان یه مشکل که هست اینه که بیت دیفندر الان خود whm رو هم خطرناک تشخیص میده
آیا مشکل از بیت دفندر هست یا ممکنه خود whm هم ویروسی شده باشه؟

دوست عزیز مشکل شما توسط تیم امنیت ما شناسایی شده اگر بخواید با دریافت هزینه ماهانه امنیت سرور هاتون رو تامین خواهیم کرد .