Jump to content

взломали сервер?


1nSane

Recommended Posts

Больше 10 лет арендую Linux сервер в Нидерландах под сайты и свои сервисы. Никому пароли не давал, кроме саппорта Leaseweb. Сегодня, захожу в очередной раз по SSH и вижу в истории консоли ряд команд, которые я не выполнял:

Цитата

certbot certonly -d msdn.ddnsgeek.com --manual --preferred -challenges http
ls -la /etc/letsencrypt/live/msdn.ddnsgeek.com-0002
rm -rf msdn.ddnsgeek.com.conf security-linux.webredirect.org.conf
service nginx restart
rm -rf /home/parser_test/
cd /home/dnsparser_test/public_html/.well-known/acme-challenge/
ls -la
rm *
ls -la
nano NrLzewrQypAhY7AMW2np9Z6bfNTmnwX5-AkGz1ss4_U

Вопрос, что это было? Вообще, у letsencrypt есть непонятные мне домены в renewal, которые не принадлежат мне, но думал может это служебные какие, а теперь уже сомневаюсь

Цитата

azure-update.mywire.org.conf
msdn.ddnsgeek.com.conf
wsus-check.mywire.org.conf

Причем даты создания разные, февраль, апрель, октябрь... мой сервер по-тихой в ботнет вовлекли? Кроме смены пароля на root что еще сделать? В такой ситуации впервые за 15 лет...

Link to comment
Share on other sites

Ну у вас в ЛЮБОМ случае не могут быть лишние команды которые вы не давали

Судя по всему вас все же взломали

Посмотрите последние входы и какие вообще web серверы прописаны на вашем сервере

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
×
  • Create New...