cevaplar için teşekkür ederim. malesef sunucu hacklenmiş durumdaydı. şuan datacenter firması yeniden kurulum yapıyor. MariaDB kullanıyordum. MariaDB açığından şüpheleniyorum. bunu araştıracağım.
9 Temmuz 2017 15:25 tarihinde Kayhan KAYIHAN <[email protected]> yazdı: > Merhaba, > > Bu durum hacking vakalarında görülür gelende, sunucunuzun hacklendiğini > düşünüyorum. Aşağıdaki işlemleri yapmanızın faydalı olacağı düşüncesindeyim. > > Adli bir süreç başlatacaksanız olay sonrasında hemen memory dump almak, > logları korumak (silinmiş olabilir), makineyi reboot etmemiş olmak önemli. > Siber suçlara suç duyurusunda bulunmak gerekir. > > Süreci adli olarak ilerletmeyecekseniz, aşağıdaki adımları > inceleyebilirsiniz. > apache_user kullanıcısı ile ssh yapan IP adresini bulamayı > deneyebilirsiniz. > Çalışan processleri kesinlikle kontrol edin. > Root ve diğer kullanıcıların crontab'larını kesinlikle kontrol edin. > rkhunter vb araçlar ile root kit ve malware scan işlemlerini gerçekleştirin > netstat komutu ile dışarıya açık portları ve çalışan servisleri kontrol > edin > find komutu ile ilgili kullanıcı eklendiği tarihten itibaren değişiklik > yapılan dosyaları listeleyin ve kontrol edin > ssh key oluşturulmuş olabilir, bunu kesinlikle kontrol edin > apache_user kullanıcısının history dosyasını kontrol edin. ( muhtemelen > silinmiştir. ) > > İşletim sisteminizin güncellemelerini tamamlayın > > > Kişisel düşüncem sisteminizin yedeğini alın, yedekleri malware scan vb > işlemlerden geçirdikten sonra yeni bir sunucuya taşıyın, taşıma işlemi > esnasında db user ve os kullanıcılarına ait şifrelerin tamamnını > değiştirmenizi öneririm. Cpanel deki maill kullanıcıları dahil. > > Umarım yardımcı olabilmişimdir, geçmiş olsun. > > 9 Temmuz 2017 14:59 tarihinde VEDAT ELCIGIL <[email protected]> yazdı: > > Merhaba İbrahim bey, >> >> apache_user:x:0:0::/home/apache_user:/bin/bash >> >> Yaparak Apache kullanıcısına SSH yetkisi ve ROOT seviyesinde yetki >> verilmiş, >> >> Normalde >> >> apache:x:48:48:Apache:/var/www:/sbin/nologin >> >> olması gerekmektedir. >> >> "Rootkit Hunter" ile sistemi taramanızı, history komutu ile geçmiş >> komutları incelemenizi, öneririm. Normal bir durum değil. >> >> >> ------------------------------------------------------ >> Saygılarımla İyi Çalışmalar Dilerim, >> Vedat ELÇİGİL >> >> >> >> >> >> 2017-07-09 14:09 GMT+03:00 ibrahim <[email protected]>: >> >>> cat /etc/passwd komutu çıktısı aşağıdaki gibidir. >>> >>> apache_user:x:0:0::/home/apache_user:/bin/bash >>> >>> 9 Temmuz 2017 13:57 tarihinde ibrahim <[email protected]> yazdı: >>> >>> merhaba bu sabah cpanel kurulu centos6 sunucumdan aşağıdaki iletiyi >>>> içeren mail aldım /home/apache_user dizininin içeriği ektedir. >>>> >>>> bana cpanel in güncelleme için oluşturduğu bir kullanıcı gibi geldi ama >>>> yinede sormak istedim. >>>> >>>> mail içeriği >>>> >>>> IMPORTANT: Do not ignore this email. >>>> >>>> This message is to inform you that the account “apache_user” has user >>>> ID 0 (root privileges). This may indicate that your system is compromised. >>>> To be safe, you should verify that your system is not compromised. >>>> >>>> -- >>>> -- >>>> Saygılarımla, >>>> İbrahim Halil >>>> PHP, MySQL, JAVA >>>> >>> >>> >>> >>> -- >>> -- >>> Saygılarımla, >>> İbrahim Halil KURTGÖZ >>> PHP, MySQL, JAVA Geliştiricisi >>> >>> _______________________________________________ >>> Linux-sunucu E-Posta Listesi >>> [email protected] >>> >>> Liste kurallarını http://liste.linux.org.tr/kurallar.php >>> bağlantısından okuyabilirsiniz; >>> >>> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden >>> gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini >>> kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. >>> https://liste.linux.org.tr/mailman/listinfo/linux-sunucu >>> >>> >> >> _______________________________________________ >> Linux-sunucu E-Posta Listesi >> [email protected] >> >> Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından >> okuyabilirsiniz; >> >> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen >> e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 >> dakika içinde üyeliğinizi sonlandırabilirsiniz. >> https://liste.linux.org.tr/mailman/listinfo/linux-sunucu >> >> > > > -- > *Kayhan Kayıhan* > Mail: [email protected] > Web : http://www.kayhankayihan.com > Phone: 90 554 285 86 35 > > _______________________________________________ > Linux-sunucu E-Posta Listesi > [email protected] > > Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından > okuyabilirsiniz; > > Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen > e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 > dakika içinde üyeliğinizi sonlandırabilirsiniz. > https://liste.linux.org.tr/mailman/listinfo/linux-sunucu > > -- -- Saygılarımla, İbrahim Halil KURTGÖZ PHP, MySQL, JAVA Geliştiricisi
_______________________________________________ Linux-sunucu E-Posta Listesi [email protected] Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
