[Ajuda] Servidor Cent OS invadido

[joel.pinheiro.313]

Prezados, Boa Noite,

Tenho uma vps com cpanel e recente um hacker invadiu o meu S.O e inseriu em todas as contas uma index.html falsa, sendo necessário eu efetuar um restore de todas as contas.

Infelizmente ele deletou vários arquivos que estavam em /var/log/, queria saber o que posso tentar ver pra encontrar algum "rastro" que ele possa ter deixado.

Obrigado,

[Elton]

ishi pelo logs era a melhor forma para verificar em quais serviços ele mecheu!

tenta ver o history para verificar se mostra os comandos que o cara fez!!

mais os logs seriam a melhor forma!!

[edjanio]

    Boa noite, muito serio o que aconteceu com você, mais para evitar estes e outros ataques sugiro que você faça uma melhor implementação de segurança no seu server, quem te garante que o cara já não vinha colhendo informações do seu server, e quando você percebeu? faça um HARDENING, no servidor para elevar o nível da segurança, um bom sistema de logs, com backup remoto dos logs do sistema, você pode substituir o syslog pelo syslog-ng, não esqueça de instalar o HIDS e uma boa opção é o OSSEC. Sugiro que você também refaça seu server do zero pois uma vez invadido o sistema já esta comprometido e o cara pode voltar.No mais se ele apagou os log´s do sistema aí meu e tentar fazer uma trabalho forense de recuperação destes log´s onde pode demorar um pouco, para você tentar rastrear o meliante.

[joel.pinheiro.313]

Certo, eu alterei a senha de root e depois restaurei todas as contas, deu um certo trabalho mas o santo backup me ajudou..hehe
Rodei um scan no servidor pra remover os vírus das contas e estou subindo um novo servidor pra mandar estas contas para lá.
Valeu galera pela ajuda...