/home/virtfs ve ardı ardına HACK

makrodns · 1 22-08-2011, 06:57:59

Merhaba,

Sunucu üzerinde yukarıda verdiğim dizinde 2 hesapta jailed shell çalıştırmışlar.
Ardından Phpmyadmine erişerek 20-30 site hacklemişler.

SSH üzerinden bu dizini güvenli bir şekilde nasıl kaldırmalıyım.

Sanırım daha önceden farklı bir sunucuda "rm -rf" ile sildiğimde sunucu çökmüştü.

foo · 2 22-08-2011, 16:09:57

Merhaba,

o dizinin amacı zaten jail shell. jail shell diyince aklına kötü gelmesin, o hesabı jail altında bulundurur. aslında hack malzemeleri bence orda değil, kendi dizininde. çünkü whm jail shell kullanıcının home dizinini oraya mount ediyor. yapman gereken biraz karışık. öncelikle

cat /proc/mounts

ile o dizin altına mount edilmiş herşeyi umount etmen lazım. Daha sonra o kullanıcıları jail shell den çıkarman ve öyle silmen. ama dediğim gibi o dizin sadece home dizinin mount edildiği yer. o hack dalgaları o kullanıcının dizinindedir.

**Ömür AKGÜN** · 3 22-08-2011, 21:25:01

pico -w /etc/passwd 'i açıp en alt satırı kontrol edin

makrodns · 4 23-08-2011, 00:07:54

Evet /virtfs dizinindeki dosyalar, ana hesap kapatıldığı takdirde kullanılamıyor sanırım.
Sorunlu iki hesabı askıya aldıktan sonra /virtfs silmedim ama henüz sakıncalı bir durum çıkmadı ortaya.

/etc/passwd dosyasındaki tüm hesapların sonunda NOSHELL yazıyor.

Cpanelden de tüm shell yetkilerini kapattım, kaldıki hiç vermemiştim zaten ama 1-2 hesaba shell yetkisi eklemeyi başarmışlar.

PowerUseR · 5 18-09-2011, 05:00:13

benım bildigim kadari ile
Eger root ile whm den olusturulmus shell izni olmayan bir kullanıcının hosting ine ftp den dosya yükleyip islem yaptiginizda olusyor bu dizin

cözümü ise yine bildigim kadari ile
Asagidaki komutu root iken konsol a yazip

Kod:

/usr/local/cpanel/scripts/clear_orphaned_virtfs_mounts

sonrasinda

Kod:

rm -rf /home/virtfs/

ile ilgili dizini silmek

Seçenekler
Yazdırılabilir şekli göster Sayfayı E-Mail olarak gönder