Взломали сервер

Закрой временно исходящие порты тоже. Посмотри в крон и запускаемые сервисы.

Лучше бы тебе начать доставать бекапы, КМК

в кроне все чисто, да и запускается в разное время.

как быстро закрыть исходящие порты, так чтобы SSH не рухнуло?

man ufw

https://help.ubuntu.com/community/UFW

меня очень сильно волнует вопрос: как оно вобще запускается и как так получилось? возможно ли такое сделать через уязвимость какого-то сайта или сайты ту ни при чем?

Имена процессов какие?

Вообще, у тебя сервер уже скомпрометирован, и хз что они там ещё натворили — переставляй систему и восстанавливай данные из бэкапов. Разбираться потом будешь.

Возможно всё. Через уязвимость в php, например. Через php, положили какой-нибудь эксплойт, оно поднялось до рута, и всё. Совет, подниматься с backup - не лишён смысла.

ограниченный набор и всегда по три и всегда одинаковые тройки: - mail - httpd - init

Первым делом меняй рутовый пароль.

Далее сканируй хост на предмет подозрительных открытых портов. Сделать это можно, например, с другой юниксовой машины с помощью утилиты nmap:

[root@localhost user]# nmap -P0 123.123.123.123

да я скорее всего буду переставлять ОС. Но я хочу понять как оно туда попало и что происходит сейчас. Чтобы этого не повторилось.

Боюсь, что придётся логировать всё и вся... Скорее всего, тебя сломали боты. И твой ip, у них уже числится как ip адрес «лоха». И после переустановки, они к тебе снова придут... Придут всей толпой. :( В общем через логи как-то пытаться выуживать это дело.

У тебя init и httpd вешаются на 25 порт и спамят?

Есть слишком много способов такое сделать.
Поэтому надо VCS и бекапы и уметь снести всё под ноль и восстановить в рабочее состояние с чистого листа.

Самая простая подлянка: нашли дырку, влезли, подменили какой-нибудь системный бинарь, почистили логи.
Искать конкретный бинарь гораздо дольше чем раскатать на чистом сервере дистрибутив (ессно сервер должен был быть настроен так чтобы микрокод из операционки нельзя было перешить, иначе это уже аппаратный руткит может быть), воткнуть в него набор пакетов и конфиги и раскатать из VCS и бекапов всё что там крутилось.

Хотя если хочется приключений и никуда не торопишься — можно запастись терпением и скиллами и расковырять место произрастания ног.
С некоторой значительной вероятностью это может быть невозможно из работающей ОС и надо будет расковыривать бинари из заведомо не скомпрометированной ОС.

1. Забекапь полность ситему (что бы потом потыкать)
2. Поднимай из рабочего бэкапа
3. Накатить на систему обновы безопасности если ранее этого не делалось
4. Разверни в виртуалке п.1 и тыкай палочкой в попытке понять как оно к тебе попало

Скорее всего сломали его забрутив ssh. Если так, то все решается ssh по ключу.

Подсказываю способ: горшок с мёдом

да но у меня впринципе нет демона httpd у меня nginx и init тоже явно не оригинал.

ISPconfig
КАК????
ISPconfig

Kek

Если тебе init подменили, то уже совсем без вариантов. Только снести и восстановить из бэкапов.

Вариант с загрузкой с внешнего носителя и восстановлением системы по кирпичику не рассматриваем.

PS А откуда этот подмененный init стартует? И с каким PID?

Ну если тебе 25 порт не нужен вообще (мало ли) - прикрой его таблом по всем направлениям и пусть боты дружно долбят стенку. Но вообще - доставай бекап, меняй все пароли, кури логи и думай откуда к тебе пролезть могли. И еще - что за процессы-то? Откуда запускаются в плане?

Ну если так, то это не проблема. А разве ещё кто-то держит ssh открытым на улицу? o_O ?

Лучше разверни все с нуля. Точно не узнаешь, где они могли закладки оставить.

сносить буду однозначно я просто не хочу чтобы опять оставили...

А разве ещё кто-то держит ssh открытым на улицу?

Я держу. Мне нравится коллекционировать блеклисты.

ISPconfig

ну ты понял, да?

Centos+selinux? Хоть немного спокойнее будет.

https://www.google.ru/search?q=ISPconfig 3 vulnerability

Это как? :) Собирать ip адреса и временно их банить? Или банить навечно? Если навечно банить, то из-за того, что сейчас целые города сидят на трёх айпишниках, можно получить много весёлостей...

Да, временно банить ботов брутфорсеров же. Например, если банить на 10 дней, то средний список будет примерно 50 наименований.

Названия процессов?

А разве ещё кто-то держит ssh открытым на улицу? o_O ?

Ну, у меня для тебя плохие новости :) Куча народу даже RDP держит открытым на весь двор.

Возми бэкап или установи зановог де-нить в виртуалке. Сними контрольные суммы и там и на серваке. В бубунте помнитсяя /var/lib/dpkg лежат файлы с <name-packet>.md5sum Для начала как-то так:

ls /bin | wc -l > file_list.txt
find /bin/ | sort|  xargs openssl dgst -md5 >> file_list.txt

sshd_config:
AllowUsers  <username>
MaxAuthTries 3
MaxStartups 10

Не знаю, может я и не прав, но... Лишний раз привлекать к себе ботов - идея хреновая, хотябы только потому, что они генерируют трафик.

Слей раздел. Потом можешь попробовать в виртуалке запустить.

да, я тоже склоняюсь к мысли, что через ISPconfig влезли... какая реальная альтернатива ему из бесплатных существует?

какая реальная альтернатива ему из бесплатных существует?

руки

Вообще тут правы все. Такие вещи которые смотрят наружу типа web,ftp, прочие штуки запускать лучше в контейнерах lxc,systemd-nspawn,rt,docker(нужны прямые руки и мозг). Из панелей глянь agenti еще мой совет поставь систему на btrfs тогда можно будет делать снапшоты и смотреть,что изменилось в ФС + быстро можно сделать откат на снапшот Итог: centos+btrfs+selinux(тут спорный момент,без прямых рук он не эффективен)+контейнеры если есть дамп я хочу потыкать