[Løst]/bin/login er helt koko, men SSH og X funker

[endrebjo]

Jeg kom hjem etter en drøy måned hjemmefra, og da var plutselig både root- og bruker-passordet på serveren min forandret. Jeg har ingen anelse hva de var forandre til eller hvem/hva som har gjort det, men jeg fikk ihvertfall fikset det ved å starte init=/bin/bash før alt annet og kjøre som root uten å logge inn.

Etter reboot fikk jeg logget inn, og logget deretter ut for å starte servervedlikehold fra en annen PC via SSH (det er kaldt på serverrommet). Men etter litt trykking i aptitude kom følgende feilmelding når den skulle oppgradere/oppdatere pakken login:

dpkg: error processing /var/cache/apt/archives/login_1%3a4.0.18.1-7+etch1_i386.deb (--unpack):
unable to make backup link of `./bin/login' before installing new version: Operation not permitted
dpkg-deb: subprocess paste killed by signal (Broken pipe)
Errors were encountered while processing:
/var/cache/apt/archives/login_1%3a4.0.18.1-7+etch1_i386.deb
E: Sub-process /usr/bin/dpkg returned an error code (1)

Og her står jeg altså fast. Jeg får ikke oppdgradert/oppdatert pakken login på noen måter. Og i tillegg fungerer ikke login skikkelig. Når jeg booter maskinen til terminal og forsøker å logge inn med hva som helst kommer det bare linjeskift og ikke noe spørsmål om passord, og slik blir den stående til jeg dreper den. Men hvis jeg booter X og logger inn med XDM (til Fluxbox) fungerer alt fint (får logget inn som både root og brukeren). I tillegg fungerer SSH som vanlig.

Når jeg prøver å reinstallere via aptitude får jeg følgende feilmelding:

server:~# aptitude reinstall login
Reading package lists... Done
Building dependency tree... Done
Reading extended state information	  
Initializing package states... Done
Reading task descriptions... Done  
Building tag database... Done	
The following packages have been kept back:
 libmysqlclient15-dev libmysqlclient15off linux-image-2.6.18-6-686 mysql-client-5.0 mysql-common mysql-server-4.1 
 mysql-server-5.0 openssl squeezecenter ssh 
The following packages will be REINSTALLED:
 login 
0 packages upgraded, 0 newly installed, 1 reinstalled, 0 to remove and 10 not upgraded.
Need to get 0B of archives. After unpacking 0B will be used.
Writing extended state information... Error!
E: I wasn't able to locate file for the login package. This might mean you need to manually fix this package.
E: Couldn't lock list directory..are you root?
server:~#

 

I tillegg ser jeg at filen /bin/login er eid av 501. Er det vanlig? Jeg får 'Operation not permitted' når jeg prøver å skifte eier til root.

Endret 10. februar 2009 av endrebjo

[tingo]

Symptomene du beskriver *kan* (understreker *kan*) tyde på at noen har klart å roote serveren din (installerer et rootkit på den).

Nå er det tid for å dra frem et read-only media med kjørbare kopier av egnede verktøy (eksempelvis rkunter og chkrootkit) for å se om du får utslag.

 

Dersom du er det minste lille grann usikker på om serveren din er roota, så bør den reinstalleres fra scratch, og så gjør du restore av nødvendige data (du har vel backup?).

[endrebjo]

Interessant. Kan noen ha kommet inn og tullet etter at jeg forwarded port 22 i ruteren/NAT for å kunne kommunisere med serveren utenfra? I tillegg har jeg DynDNS på ruteren for å slippe å finne riktig IP hele tiden (har ikke statisk).

[jonnor]

Det kan virke som at systemet ditt er blitt kompromittert. Jeg hadde gjort en ny install helt fra bunnen av for sikkerhets skyld.

 

Kort sagt om ssh.

- ALDRI i livet og verden tillatt root innlogging

- Ikke tillat passord-basert innlogging hvis mulig (bruk RSA keys istedet)

- Prøv å unngå og bruke port 22, sats heller på en ustandard port

[endrebjo]

chkrootkit var ganske klar i sin tale og ga meg blant annet dette resultatet:

Checking `ifconfig'... INFECTED
Checking `netstat'... INFECTED
Checking `pstree'... INFECTED
Checking `top'... INFECTED
/etc/ld.so.hash 

/usr/lib/iceweasel/.autoreg /lib/init/rw/.mdadm /lib/init/rw/.ramfs
/lib/init/rw/.mdadm
Warning: Possible Showtee Rootkit installed
/usr/include/file.h /usr/include/proc.h
Possible ShKit rootkit installed
chkproc: Warning: Possible LKM Trojan installed

Men det tok faktisk kortere tid enn ventet å installere og sette hele skiten opp på nytt, så nå er den så godt som up and going igjen. Det er forsåvidt en ganske enkel server (NFS, Samba, SSH, LVM, Squeezecenter og gjeste-PC med Fluxbox og Firefox), så det er kanskje ikke så rart.

Takk for SSH-tipsene ihvertfall. I tillegg vurderer jeg om jeg i det hele tatt har bruk for å styre den utenfra, ihvertfall med det første. Selv om det er en ganske kul show-off.

 

Men tror dere at inntrengeren har kommet seg inn gjennom et sikkerhetshull, eller er det bare jeg som har vært for sløv med innstillingene?

Endret 12. februar 2009 av endrebjo

[jonnor]

Dersom du har et enkelt passord er det en viss sannsynlighet for at det bare har blitt gjettet. Dersom det enkle passordet i tilegg var på root kontoen og det var mulig med innlogging derfra så er det nesten garantert.

 

EDIT: du kunne jo sjekket /var/log/auth, men problemet er jo at når systemet er blitt kompromittert så kan du jo ikke garantere for at logfilene ikke har blitt modifisert

Endret 12. februar 2009 av NorthWave