Fallo seguridad servidor

Hola, nose si alguien sabra solucionar el problema, es el siguiente, como evitar el acceso no autorizado en un servidor a todas las cuentas del servidor, el atacante sube un shell, y luego hace bypass a todas las cuentas poniendo /user/public_html/ y accede a todos los usuarios alojados en el servidor, alquien sabe como evitar esto?

Gracias un saludo

Hola:
Eso tiene toda la pinta de que te estan haciendo un buffer overflow por una vulnerabilidad de alguno de los contenidos que tienes en el server. Posteriormente, si todos los dominios se estan ejecutando con el mismo usuario ,les permite acceder a la ruta de publicacion de los dominios y te meten contenidos como quieren.
Si es asi lo unico que te queda, es buscar la aplicacion con el bug y parchearla, cualquier otra cosa que hagas de poco te va a servir.
De todas las maneras podrias ampliar un poco la informacion? con lo que indicas todo lo que se puede decir son hipotesis infundadas.
Suerte

No son distintos usuarios para cada dominio, un buffer overflow no es, simplemente pasa en casi todos los hosting, lo han provado en varios sitios y funciona perfectamente, se trata simplemente encuentran una web vulenrable que esta en el sever, pero bueno enque server no hay una web vulnerable?lo malo esque no tiene acceso a esa cuenta solo, sino que hacen bypass nose como... y haceden a cualquier cuenta del servidor /usuario/public_html no tengo mas datos que eso...

Por cierto soy el socio del usuario wifly_gti

En base a los comentarios del usuario, parece que será la opción más lógica, igualmente hay pocos datos como para elaborar más teorías.

wifly_gti y AntonioGC, comiencen a analizar script por script en busca de errores críticos. También asegúrense de que el servidor está correctamente securizado, a todo nivel, php, mysql, apache, servicios de sistema, etc.

Saludos,

Hola.
Tienes localizado el virtualhost desde el cual te han entrado ?
Si es así puedes mirar los logs, busca por entradas "POST" e intenta identificar algunos "POST" que no tengan que ver con tu aplicacion.
Si tienes una aplicacion que permite subir ficheros, busca a alguien que haya subido ficheros .php o .php.gz.
Una vez te suben eso, suelen ser shell en php y seguramente tengas el "secure_mode off" con lo cual se pueden ejecutar comando de shells, de ahi a que se hagan dependerá de lo actualizado de tu sistema.

Guarda logs, pon secure_mode a on y suerte.

Gracias sysdebian veo que tienes mas o menos el tema controlado, te puedo dar mas datos, no puedo auditar todo lo que hay en el servidor, cualquier web puede tener un fallo de seguridad, lo que hacen como tu bien dices suben una shell, y ejecutan lo siguiente:

/index_.php?act=ls&d=/home/user/public_html/&sort=0a

Simplemente cambian user por el nombre de usuario que quieran que este en el server acceden, lo he estado mirando tambien en hosting como arsys, hostalia, etc... y tambien tiene el bug de bypass, el equipo de seguridad nuestro de PerformSec, hemos pensado en hacer los siguiente a ver que opinais:

Lo primero modificar el httpd.conf y cambiar FollowSymLinks por SymLinksIfOwnerMatch, tambien habria que ver si la directiva AllowOverride Options esta habilitada,
ya que con eso se puede hacer un .htaccess que bypasee toda la seguridad del server, por ejemplo el safe mode on.

Tambien pense en instalar basedir, suexec o suphp y suhosin, para evitar que cada usuario no pueda abrir carpetas que no sean de su cuenta.

Pero necesito mas opiniones, es un bug bastante peligroso y que muchas empreas de hosting lo tienen al descubierto.

Un saludo

Puedes indicarnos si tienes un panel de control de gestion de hosting cual es, version del servidor apache, si utilizas algun gestor de contenido o aplicacion para gestion de foros.
Suerte

Deshabilitar el uso de .htaccess, que además ganarás rendimiento, todo lo que necesiten, se lo metéis en su vhost.
safe_mode = on

Con eso te ahorraras la mayoría de las entradas.
Seguramente si investigas la ip que te entró encontraras un http_referer, y veras que te vino desde google, buscando un nombre en una url. Es lo típico.

Quitando vulnerabilidades muy grandes (actualiza a diario), entrarte de otra forma, no es algo tan sencillo y nadie se molestará a no ser que tengas algo muy "apetitoso".

Saludos.

Por cierto, lo de menos es que te miren o cambien cosas en los documentroot, lo peligroso estará si tienes el gcc instalado (incluso sin el) y tu kernel no está actualizado, se harán root en cero coma.
No obstante, viendo que no se han preocupado (o no han podido) de modificar los logs, tampoco habrán hecho mucho.

El kernel no es rooteable aun, tengo CPanel, y la mayoria de los mod instalados, eso de deshabilitar el uso de .htaccess es intresante, lo malo luego son temas de permanlinks en blogs y demas, que hay que modificarlo, pero bueno si teneis alguna sujerencia mas comentame, esta todo actualizado. Poco a poco pondre en practicaca todo lo hablado, ya que se explotar la vulnerabilidad con shell y voy provando asta que no se pueda acceder a otras cuentas.

Gracias

Como ya te indiqué, el contenido del .htaccess puede ir dentro de los vhosts.
Por otro lado tener todos los módulos de apache cargados es una burrada. Mis procesos de apache ocupan en memoria en 8 y 16mb, cuanto ocupan los tuyos ? Calculo que entre 40 o 50mb o... Eso quiere decir, que si tienes 2GB de memoria RAM, puedes tener 2000Mb/50=40. No podría tener mas de 40 procesos apache concurrentes.
Lo menos preocupante es el uso de memoria, al tener todos esos módulos, tendrás que ocuparte de tener controlada la seguridad de todos y cada uno de esos módulos.
Es lo malo de las distros basadas en redhat, su filosofía es "lo instalo todo para que al usuario no le falte de nada".