Merhaba, Bu durum hacking vakalarında görülür gelende, sunucunuzun hacklendiğini düşünüyorum. Aşağıdaki işlemleri yapmanızın faydalı olacağı düşüncesindeyim.
Adli bir süreç başlatacaksanız olay sonrasında hemen memory dump almak, logları korumak (silinmiş olabilir), makineyi reboot etmemiş olmak önemli. Siber suçlara suç duyurusunda bulunmak gerekir. Süreci adli olarak ilerletmeyecekseniz, aşağıdaki adımları inceleyebilirsiniz. apache_user kullanıcısı ile ssh yapan IP adresini bulamayı deneyebilirsiniz. Çalışan processleri kesinlikle kontrol edin. Root ve diğer kullanıcıların crontab'larını kesinlikle kontrol edin. rkhunter vb araçlar ile root kit ve malware scan işlemlerini gerçekleştirin netstat komutu ile dışarıya açık portları ve çalışan servisleri kontrol edin find komutu ile ilgili kullanıcı eklendiği tarihten itibaren değişiklik yapılan dosyaları listeleyin ve kontrol edin ssh key oluşturulmuş olabilir, bunu kesinlikle kontrol edin apache_user kullanıcısının history dosyasını kontrol edin. ( muhtemelen silinmiştir. ) İşletim sisteminizin güncellemelerini tamamlayın Kişisel düşüncem sisteminizin yedeğini alın, yedekleri malware scan vb işlemlerden geçirdikten sonra yeni bir sunucuya taşıyın, taşıma işlemi esnasında db user ve os kullanıcılarına ait şifrelerin tamamnını değiştirmenizi öneririm. Cpanel deki maill kullanıcıları dahil. Umarım yardımcı olabilmişimdir, geçmiş olsun. 9 Temmuz 2017 14:59 tarihinde VEDAT ELCIGIL <elci...@gmail.com> yazdı: > Merhaba İbrahim bey, > > apache_user:x:0:0::/home/apache_user:/bin/bash > > Yaparak Apache kullanıcısına SSH yetkisi ve ROOT seviyesinde yetki > verilmiş, > > Normalde > > apache:x:48:48:Apache:/var/www:/sbin/nologin > > olması gerekmektedir. > > "Rootkit Hunter" ile sistemi taramanızı, history komutu ile geçmiş > komutları incelemenizi, öneririm. Normal bir durum değil. > > > ------------------------------------------------------ > Saygılarımla İyi Çalışmalar Dilerim, > Vedat ELÇİGİL > > > > > > 2017-07-09 14:09 GMT+03:00 ibrahim <ibrahim...@gmail.com>: > >> cat /etc/passwd komutu çıktısı aşağıdaki gibidir. >> >> apache_user:x:0:0::/home/apache_user:/bin/bash >> >> 9 Temmuz 2017 13:57 tarihinde ibrahim <ibrahim...@gmail.com> yazdı: >> >> merhaba bu sabah cpanel kurulu centos6 sunucumdan aşağıdaki iletiyi >>> içeren mail aldım /home/apache_user dizininin içeriği ektedir. >>> >>> bana cpanel in güncelleme için oluşturduğu bir kullanıcı gibi geldi ama >>> yinede sormak istedim. >>> >>> mail içeriği >>> >>> IMPORTANT: Do not ignore this email. >>> >>> This message is to inform you that the account “apache_user” has user ID >>> 0 (root privileges). This may indicate that your system is compromised. To >>> be safe, you should verify that your system is not compromised. >>> >>> -- >>> -- >>> Saygılarımla, >>> İbrahim Halil >>> PHP, MySQL, JAVA >>> >> >> >> >> -- >> -- >> Saygılarımla, >> İbrahim Halil KURTGÖZ >> PHP, MySQL, JAVA Geliştiricisi >> >> _______________________________________________ >> Linux-sunucu E-Posta Listesi >> Linux-sunucu@liste.linux.org.tr >> >> Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından >> okuyabilirsiniz; >> >> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen >> e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 >> dakika içinde üyeliğinizi sonlandırabilirsiniz. >> https://liste.linux.org.tr/mailman/listinfo/linux-sunucu >> >> > > _______________________________________________ > Linux-sunucu E-Posta Listesi > Linux-sunucu@liste.linux.org.tr > > Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından > okuyabilirsiniz; > > Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen > e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 > dakika içinde üyeliğinizi sonlandırabilirsiniz. > https://liste.linux.org.tr/mailman/listinfo/linux-sunucu > > -- *Kayhan Kayıhan* Mail: kayhan.kayi...@gmail.com Web : http://www.kayhankayihan.com Phone: 90 554 285 86 35
_______________________________________________ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
