Backstory
Mes sites et VPS m'ont été volés. La société d'hébergement et moi avons été verrouillées et n'avons pas pu y accéder. Ils n'ont pas été en mesure de créer un mot de passe temporaire pour l'accès parce que l'attaquant l'a bloqué.La dernière fois que je me suis connecté à WHM, le contrôle racine a été pris et tous les disques durs n'étaient plus amorçables. Je pense que la même personne a utilisé un ver pour surveiller mon bureau à distance. 5 PCs et 5 appareils mobiles, brisant mon routeur ddwrt r7000 avec PIA VPN killswitched. Une douzaine de vms mint / ubuntu ont été repris. De nombreuses clés USB ont été conçues pour être en écriture uniquement. J'ai arrêté d'essayer de comprendre ce qui se passait et j'ai reformaté tous les appareils.
J'attends maintenant l'image du serveur et un instantané de la mémoire, ainsi qu'une copie rsync. Lors de la transaction, vous obtenez une nouvelle image de serveur ... certainement d'une adresse IP différente, à moins qu'ils ne soient pas convaincus.
Voici l'e-mail que j'ai reçu aujourd'hui:
Blockquote Ce ticket vient de m'être attribué. J'ai fait une sauvegarde du compte> hors du chemin des processus de sauvegarde ici.
[2018-03-25] pkgacct terminé
J'étais en train de lire certaines des conversations et aimerions simplement nous assurer que nous sommes sur la même page.
Nous ne pouvons pas dd (copie bit par bit) l'état actuel car le compte ne dispose pas d'un support de stockage capable de gérer il. Si vous souhaitez ajouter des clés que nous pouvons rsync via ssh vers une destination distante, donnez-nous simplement la destination du fichier de sortie et nous serons heureux de vous aider.
Nous ne conservons normalement pas les systèmes d'exploitation piratés à moins qu'il y ait un intérêt spécifique. Ce que je trouve intéressant, c'est le logiciel openVPN:
uperior.hosting.com [home] # ifconfigas0t0 Link encap: Ethernet HWaddr inet6 addr: Scope: Link UP BROADCAST RUNNING PROMISC MULTICAST MTU: 1500 Métrique: 1 paquets RX : 0 erreurs: 0 abandonné: 0 dépassements: 0 trame: 0 Paquets TX: 436367538 erreurs: 0 abandonné: 504 dépassements: 0 transporteur: 0 collisions: 0 txqueuelen: 200 octets RX: 0 (0,0 b) octets TX: 26310498062 (24,5 Gio)
asbr0 Link encap: Ethernet HWaddr inet addr: Bcast: Mask: inet6 addr: Scope: Link UP BROADCAST RUNNING MULTICAST MTU: 1500 Métrique: 1 Paquets RX: 431222324 erreurs: 0 abandonné: 0 dépassements: 0 trame: 0 paquets TX: 1492069 erreurs: 0 abandonné: 0 dépassements: 0 transporteur: 0 collisions: 0 txqueuelen: 0 octets RX: 20595591150 (19,1 Gio) Octets TX: 634373123 (604,9 Mio)
Si vous utilisez ce serveur comme serveur Web de production, je recommanderais d'utiliser CentOS 7 et d'installer quelque chose comme 'Cockpit' au lieu d'utiliser un VPN via un cPanel serveur sur CentOS 6.
Ce qui est dans la portée de notre support est de vous assurer que vous avez un chemin vers et depuis le serveur pendant que vous récupérez les données barebones. Je terminerai par quelques options et questions. (Voici mes réponses)
-
Une enquête sur l'activitu openvpn
-
En leur faisant savoir, encore une fois, je veux une copie de l'image du serveur, d'un instantané de la mémoire et de tous les journaux disponibles
-
Nouvelle installation de cPanel / WHM
-
De nouvelles adresses IP pour sites et VPS
-
Informations SFTP
Blockquote
Possède un VPN, IDS, pare-feu, pot de miel suffit? Ai-je oublié quelque chose?
VPS est un de Bluehost, exécutant CentOS 7 avec une alternative à WordPress ...