Потеряли доступ к серверу по ssh, сменился пароль пользователя. Пароль сбросили. Чисто визуально на сервере все, как и прежде. На что стоит обратить внимание, если чисто теоретически кто-то зловредный был на сервере и, возможно, что-то за собой оставил?
И мог ли пароль сбросится сам по себе?
ubuntu server 20.04
Есть такая вещь как руткиты, после того как злоумышленник получил доступ к серверу, все ПО на нём можно считать скомпрометированым. В том числе ядро, ПО для установки и сверки пакетов и все системные библиотеки. Только чистая установка или загрузка с бэкапа образа системы.
Тут ещё стоит учитывать, что важно заранее знать как проникли, иначе через минуту после восстановления, ситуация может окажется той же.
Сделать бэкап для форензики, потом уничтожение машины (это же виртуалка?) чтобы винт удалился, создание новой и развертывание бэкапа.
Если бэкапа нет - ну ССЗБ.
Существует множество мест, куда можно что-то вписать - все зависит от квалификации и целей атакующего.
lssssssssssl, Я бы не стал. Сервер считается зараженным и до выяснения того, кто кого и в какой позе его вообще в сеть включать не рекомендуется. Сохранить конфиги (/etc и /usr/local/etc - есть есть), сохранить какие-нибудь ценные файлы (это придется вручную шерстить файловую систему), форматировать (полностью!) и ставить заново.
Если есть бэкап, годный для разертывания на физике - форматировать и развернуть бэкап
В идеале ещё найти потенциальный путь проникновения и при новом развертывании устранить эту дыру.
Кстати что за "установленное ПО" ?
Как давно оно было установлено?
Кем?
Было ли оно квалифицированно установленным?
А нужно ли оно на сервере?
Если нужно как в нём хранятся данные и как их можно перенести на новое место?
В итоге ответив себе на эти вопросы - можно будет накидать план.
p/s/ кстати пароль точно был не "12345"? И его знал один человек? А почему не ключи?
lssssssssssl, взять новый hdd поставить на него систему с нуля, подцепить "скомпрометированный" диск и переносить руками только те настройки и данные в которых точно уверены.
