با عرض سلام خدمت تمامی اساتید.
ما از دیشب ساعت 9 شب تا به امروز حدود 27 GB ترافیک از یک سرور لیتوانی گرفتیم که دیشب خود بنده هم متوجهش شدم و فکر کردم مشکلی ایجاد نمیکنه (اشتباه همینجا بود) و چون سرور روی حالت تعمیر بود پسورد سرور از چند عدد و حرف معمولی درست شده بود برای دسترسی افراد جهت تعمیر سرور که قرار بود عوضش کنیم . امروز سرورو چک کردیم دیدیم پسورد root تغییر پیدا کرده و تمامی یوزر های دیگه حذف شده و یکسری از فایل های سرور ناقص (از طریق پنل تحت وب این اطلاعاتو پیدا کردم) . متوجه شدم سرور از دیشب که زیر حمله بوده تا امروز پسورد رو کرک کردن و وارد سیستم عامل شدن . حالا میخوام بدونم راهی هست تا دسترسی خارج رو قطع کنیم و پسورد روت رو بدون حذف بیشتر اطلاعات سرور برگردونیم؟

با عرض سلام خدمت تمامی اساتید.
ما از دیشب ساعت 9 شب تا به امروز حدود 27 GB ترافیک از یک سرور لیتوانی گرفتیم که دیشب خود بنده هم متوجهش شدم و فکر کردم مشکلی ایجاد نمیکنه (اشتباه همینجا بود) و چون سرور روی حالت تعمیر بود پسورد سرور از چند عدد و حرف معمولی درست شده بود برای دسترسی افراد جهت تعمیر سرور که قرار بود عوضش کنیم . امروز سرورو چک کردیم دیدیم پسورد root تغییر پیدا کرده و تمامی یوزر های دیگه حذف شده و یکسری از فایل های سرور ناقص (از طریق پنل تحت وب این اطلاعاتو پیدا کردم) . متوجه شدم سرور از دیشب که زیر حمله بوده تا امروز پسورد رو کرک کردن و وارد سیستم عامل شدن . حالا میخوام بدونم راهی هست تا دسترسی خارج رو قطع کنیم و پسورد روت رو بدون حذف بیشتر اطلاعات سرور برگردونیم؟
درود
اگر به کنسول دسترسی دارید میتونید خیلی ساده اینکار رو انجام بدید.
داخل منوی گراب میشه اینکار رو کرد (https://www.tecmint.com/reset-forgotten-root-password-in-ubuntu/).

پسورد روت رو تغییر بدید و بعدش حتما سرور رو اسکن کنید که بک دور باقی نمونه.
همچنین پورت ssh رو حتما تغییر بدید و توسط csf بروت فورس رو بلاک کنید.

موفق و پیروز باشید.

درود
اگر به کنسول دسترسی دارید میتونید خیلی ساده اینکار رو انجام بدید.
داخل منوی گراب میشه اینکار رو کرد (https://www.tecmint.com/reset-forgotten-root-password-in-ubuntu/).

پسورد روت رو تغییر بدید و بعدش حتما سرور رو اسکن کنید که بک دور باقی نمونه.
همچنین پورت ssh رو حتما تغییر بدید و توسط csf بروت فورس رو بلاک کنید.

موفق و پیروز باشید.


راهنمایی ایشون برای اینکه بتونید رمز روت رو تغییر بدید کاملا صحیح هست. اما در رابطه با توصیه ای که کردن در رابطه با بک‌دور و از بردن دسترسی‌ها، درصورتی که با یک فرد نسبتا معمولی، طرف باشید و ضعیف نباشه، به این راحتی ها، نمیتونید دسترسی شو از بین ببرید.

تقریبا غیرممکنه.

فقط باید کرنل سیستم عامل رو حذف و مجددا نصب کنید. چون حتی اگر یک روت‌کیت داغون هم نصب کرده باشه، هیچ ابزاری برای ازبین‌بردنش وجود نداره. فقط باید کرنل رو حذف کنید و یک کرنل جدید نصب کنید.

به هرحال از هرجایی که سرور رو تهیه کردید، بهشون هزینه ی اینکار رو بپردازید. هرگز سرورمجازی تهیه نکنید مگر اینکه سرویس مدیریتش رو هم از هاستینگ خریده باشید تا براتون کارهای موردنیازتون رو انجام بدن.

با عرض سلام خدمت تمامی اساتید.
ما از دیشب ساعت 9 شب تا به امروز حدود 27 GB ترافیک از یک سرور لیتوانی گرفتیم که دیشب خود بنده هم متوجهش شدم و فکر کردم مشکلی ایجاد نمیکنه (اشتباه همینجا بود) و چون سرور روی حالت تعمیر بود پسورد سرور از چند عدد و حرف معمولی درست شده بود برای دسترسی افراد جهت تعمیر سرور که قرار بود عوضش کنیم . امروز سرورو چک کردیم دیدیم پسورد root تغییر پیدا کرده و تمامی یوزر های دیگه حذف شده و یکسری از فایل های سرور ناقص (از طریق پنل تحت وب این اطلاعاتو پیدا کردم) . متوجه شدم سرور از دیشب که زیر حمله بوده تا امروز پسورد رو کرک کردن و وارد سیستم عامل شدن . حالا میخوام بدونم راهی هست تا دسترسی خارج رو قطع کنیم و پسورد روت رو بدون حذف بیشتر اطلاعات سرور برگردونیم؟
از طریق کنسول تحت وب که خود سرویس دهنده بهتون میده ریست پسورد کنید از اطلاعات بکاپ بگیرید ( اسنپ شات نه ) بکاپ دستی در ضمن دیتابیس هم چک کنید
ریبیلد سرور و مجدد انتقال فایل های بکاپ

از طریق کنسول تحت وب که خود سرویس دهنده بهتون میده ریست پسورد کنید از اطلاعات بکاپ بگیرید ( اسنپ شات نه ) بکاپ دستی در ضمن دیتابیس هم چک کنید
ریبیلد سرور و مجدد انتقال فایل های بکاپ


احسنت. ریبیلد مجدد، بسیار مهم هستش. استارتر عزیز، حتما دقت کنید به نکات، وگرنه هر اقدامی برای شناسایی و از بین بردن دسترسی، خطرناک و غیرممکن هست. لطفا به راهنمایی افراد حرفه ای، دقت کنید و موبه‌مو انجامش بدید تا مجددا دچار مشکل نشید.