Сервер требуется помощь - возможно появилась дырка в сервере 3.0.13.4 на Linux

Добрый день, сегодня утром открыл сервер и обнаружил что кто то "поигрался с сервером" - были удалены все каналы , изменены права групп....

Вот что я обнаружил в логах клиента и через YATQA
-

- в настройках вирт сервера была изменена группа админа канала -

- логи YATQA

- а это права которые каким то образом были выданы данному пользователю

-информация о пользователе для избежания подобных ситуаций на ваших серверах

Global ID -
aOJauqX36hWfdLfbzmGD2+QJK7k=

Мое понимание ситуации - "умник" уменьшил необходимый уровень доступа для редактирования серверных настроек до уровня "гость"
Подскажите каким образом такое возможно ? и как этим бороться...

 

Привет, как вариант, ему кто-то выдал группу, на которой есть привилегия изменения прав клиента, после чего он изменил свои привилегии клиента.. Без прав на изменение групп сервера/канала невозможно вообще вмешаться в привилегии групп сервера/канала.
И помните, люди делятся на тех, кто делает бэкапы и тех, кто уже делает бэкапы)

 

дело в том что прочитав ваш форум а именно тему про разграничение прав по иерархии .... я изменил настройки своего сервера таким образом что группы сервера более не задействованы и у всех пользователей кроме ограниченного круга лиц стоит группа - ГОСТЬ... те у кого сервер группа больше этого сделать не могли , я их знаю лично.

или вы имеете ввиду что при создании канала - человек получил права "Администратора Канала" , и уже от его имени полез в настройки сервера ?? но как админ одной Комнаты может получить права редактировать всего сервера ?
Да и судя по скриншоту лога клиента - "USer" зашел на сервер , находясь комнате по умолчанию отредактировал Сервер а уже потом начал создавать и удалять комнаты на сервере.... если бы ему кто то выдал какие либо права - это было бы написано

 

Проверьте все группы: как сервера так и канала и посмотрите какая из них, кроме Server Admin (по дефолту) предоставляет права для изменения сервера, от этого будем отталкиваться.
Разные сценарии могут быть, поэтому лучше уточнить.

 

спасибо вам за то что заинтересовались моей проблемой. Группы перепроверил , имеются (temp - группы) которые создаются по умолчанию при установке сервера . Server Query , Server Admin ..... а также одна группа созданная вручную - Администратор Сервера .... участники в группах перепроверены... никто нечего не делал , и не доверять их словам нет причин, есть ли какие либо другие способы ?

 

Если в группы SQ интерфейса не влезали, то вариант с уязвимостью там отпадает сам собой. Без какого-либо пользователя, у которого были требуемые права либо для назначения группы сервера/канала или прав на изменение свойств у него бы не вышло это. Лучше конечно проверить тех самых людей, другие варианты, кроме описанных ваше в 3:45 не могут придти в голову.

 

к Админке Server Query я вообще только один имею доступ. если бы даже ему кто то и выдал - то максимум группу Администратор Сервера , это бы было видно по логам..... это раз , и два - привилегии бы на него распространялись через группу... а не отдельно повеселись на ID клиента.... причем абсолютно все - так что вариант с тем что ему кто то выдал отпадает... как можно получить доступ в SQ ?

 

Заблокируйте доступ к SQ всем кроме себя и думаю такие проблемы исчезнут.

 

Если вы не меняли пароль от пользователя админа SQ интерфейса, то это лишь вопрос времени. В несколько потоков и с хорошей базой адресов (тот же ботнет) ваш пароль вскроют довольно быстро, но опять же, чтобы настолько заморочились- вы должны предоставлять какой-то интерес для "трухацкера", но само по себе возможно.
Чтобы избежать этого:закрыть через фаерволл доступ к порту SQ или поставить свой пароль вручную !чем длиннее, тем лучше KappaPride