Как можно понять как хакер изменяет файл и как имеет доступ?

Question

[Руслан Абсалямов]

Взломали сервер, следов входа в ssh нет, в файле /var/log/auth.log никакой активности не видно. Меняли пароль по ssh, но все равно хакер заходит.
Что делает хакер только изменяет файл на сервере и больше ничего. Изменяет он меняя способы оплаты. Понимаю я это за счет git status и откатываю изменения. Не пойму как запретить ему досуп и как он вообще меняет файлы на серваке напрямую без активности.
Есть предположение что подключается sftp (Например FileZilla)
Непонятно вообще где что искать и убрать уязвимость

Comments

[Adamos]

Подобный вопрос стоит начать с перечисления того, что стоит на сервере.
Например, через дыры в веб-сайтах взломов куда больше, чем через SSH.
Судя по упоминанию "способов оплаты". это и есть наиболее вероятный сценарий ;)

[Руслан Абсалямов]

Adamos, стоит php nginx mysql. Но все равно изменять в файле нельзя же без подключения. Это меняется все на сервере

[Василий Банников]

Руслан Абсалямов, почему нельзя то? Если у пыхи есть права на запись файлов, то вполне можно

[Василий]

возможно устанвлен какой то бэк дор. Смотрите какие порты слушаются.
Если не хочется возится, переедьте на новый чистый сервер.

[Adamos]

Руслан Абсалямов, сайт на какой CMS стоит на этом всем?
У Битрикса, например, штатно администратор может хоть все файлы переписать.

[Руслан Абсалямов]

Adamos, не cms, стоит фреймвор yii2

[Руслан Абсалямов]

Василий Банников, А как можно записать файл в определенное место, допустим изменить контроллер

[Adamos]

Руслан Абсалямов, вот по списку уязвимостей yii2, выявленных с той версии, которая у вас стоит, и надо пройтись.
Лучше - с тем, кто делал на нем сайт, конечно.

[Viktor T2]

https://rus-linux.net/MyLDP/kernel/Inotify-tools.html
https://www.google.com/search?q=linux+file+watcher

[Игорь]

Руслан Абсалямов, через уязвимость yii2, через уязвимость в вашем годе, через уязвимость в библиотеках которые вы используете
через что угодно

Answer 1

[Saboteur]

следов входа в ssh нет, в файле /var/log/auth.log никакой активности не видно.

Значит не по ssh

Меняли пароль по ssh, но все равно хакер заходит.

Кроме пароля есть множество вариантов, как организовать себе доступ, если смог один раз на сервер залезть. А если еще и под рутом, то там вообще иногда проще переустановить.

Что делает хакер только изменяет файл на сервере и больше ничего

Так ищите другие варианты. Бэкдоры, уязвимости в вебсервере или других сервисах (удаленный мониторинг например). У каких пользователей есть доступ к фалу, от этого отталкивайтесь.

Answer 2

[Михаил Ливач]

самое простое - посмотреть на время изменения файла, затем по логам веб-сервера проверить, что происходило в это время или раньше.
проверить crontab.
Ещё можно использовать inotify

Answer 3

[CityCat4]

Десять лет назад сервак в конторе бывший админ-обиженка пытался поломать через коннект по pppd :) Пароль рута к тому времени уже поменяли, но немного нагадить он все же смог :)
Смотрите все сервисы, которые способны авторизовывать пользователя.
Поменяйте права на файл, сделайте максимально узкими.