linuxserver: root passord slutta å funke

[petterg]

Jeg oppdaget i dag at jeg ikke lenger fikk logget inn som root på gentoo serveren. (postfix, apache, ssh/sftp). Uansett om jeg prøvde ssh, su fra en vanlig bruker, eller console, så fikk jeg beskjed om at passordet var feil.

 

Hva kan grunnen være til at det plutselig ikke fungerer lenger? Jeg er 100% sikker på å ha skrevet riktig passord. Det første som slo meg var at noen må ha klart å komme seg på serveren og endre passordet, men jeg finner ingenting som tyder på det i loggene. (Det kan selvsagt skyldes at jeg ikke vet hva jeg skal se etter.) Sist jeg var inne som root var 4. november. Etter hva jeg kan se i loggen er det ikke logget noen innlogginger som root etter det.

[Topguy]

Hvis det er en server som står åpent på nett så er det ikke umulig at noen har hacket den, det skjedde en kamerat av meg og han merket det først ved at root-passordet var endret. ( veien de hadde tatt inn var via en "spam" konto med svakt passord )

 

De hadde også lagt inn diverse bakdører for å fjerne sporene etter seg, f.eks egen versjon av "netstat" kommandoen som automatisk skjulte de åpne portene de hadde lagt inn. "ls" kommandoer som ikke viser enkelte kataloger.. etc. etc.

 

Eneste måten å være sikker på at man ser hele sannheten er kanskje å boote ifra en Live-CD eller koble disken til en annen maskin.

 

 

(du har sjekket at tastene på tastaturet du skrev med fortsatt fungerer for tegnene i passordet ditt ?)

[HawP]

Boote en live-cd, chroote og sette nytt passord burde fikse det, siden du jo har fysisk tilgang (punktene nedenfor er hentet fra "Handbook")

 

1. Boot en Gentoo "live-cd"

2. mount -t <filsystem> /dev/<disk-partisjon> /mnt/gentoo

3. Antakelig ikke nødvendig for dette, men allikevel:

mount -t proc none /mnt/gentoo/proc

mount --rbind /dev /mnt/gentoo/dev

4. chroot /mnt/gentoo /bin/bash

5. env-update

6. source /etc/profile

7. passwd

 

Men om du bør stole på systemet ditt er jo en annen sak (selv om du setter nytt root passord), om du mistenker eller er redd for at noen har "vært innom".

 

Du kan jo f.eks. sjekke ut hardened Gentoo og Gentoo security handbook om du bestemmer deg for å reinstallere.

[petterg]

Dette er en hardened gentoo, og det første jeg gjorde var å sette nytt passord via livecd. Men det er ikke dermed sagt at jeg føler meg trygg på serveren i øyeblikket.

Serveren tillater imap-s og alle mailbrukere er virtuelle. Om noen skulle klare å finne et mailpassord vil det altså ikke gi noen tilgang til serveren ellers. Om noen skulle ha klart å snappe opp ssh-passord, er det vel kun root som har tilgang til å endre noe utenom brukerens eget område?

 

Hvordan kan jeg finne ut om det er lagt inn noen bakdører? Serveren kjører både iptables og står bak en fysisk brannmur. Begge steder er brannmurreglene strenge. Om de skal ha fått åpnet noen andre porter enn de nevnte må de altså ha klart å åpne begge steder.

[mikeys]

Jeg oppdaget i dag at jeg ikke lenger fikk logget inn som root på gentoo serveren. (postfix, apache, ssh/sftp). Uansett om jeg prøvde ssh, su fra en vanlig bruker, eller console, så fikk jeg beskjed om at passordet var feil.

 

Hva kan grunnen være til at det plutselig ikke fungerer lenger? Jeg er 100% sikker på å ha skrevet riktig passord. Det første som slo meg var at noen må ha klart å komme seg på serveren og endre passordet, men jeg finner ingenting som tyder på det i loggene. (Det kan selvsagt skyldes at jeg ikke vet hva jeg skal se etter.) Sist jeg var inne som root var 4. november. Etter hva jeg kan se i loggen er det ikke logget noen innlogginger som root etter det.

 

Hvis noen har komt seg inn root er det også høyst sannsynlig at du ikke kan stole på loggene dine. Du kan sette opp auditd til å sjekke endring / sletting i loggene dine, men den generer jo logger selv, så den hjelper kun i tilfeller hvor du også sender loggene til en annen maskin.

 

Det kan være mulig at du har vært veldig uheldig og hatt bitrot i /etc/shadow eller lignende. Kanskje ikke så veldig vanlig eller "sannsynlig", men det kan jo skje.

 

Dette er en hardened gentoo, og det første jeg gjorde var å sette nytt passord via livecd. Men det er ikke dermed sagt at jeg føler meg trygg på serveren i øyeblikket.

Serveren tillater imap-s og alle mailbrukere er virtuelle. Om noen skulle klare å finne et mailpassord vil det altså ikke gi noen tilgang til serveren ellers. Om noen skulle ha klart å snappe opp ssh-passord, er det vel kun root som har tilgang til å endre noe utenom brukerens eget område?

 

Hvordan kan jeg finne ut om det er lagt inn noen bakdører? Serveren kjører både iptables og står bak en fysisk brannmur. Begge steder er brannmurreglene strenge. Om de skal ha fått åpnet noen andre porter enn de nevnte må de altså ha klart å åpne begge steder.

 

Du kan kjøre rkhunter for å se om den finner noe, det den finner er i såfall "low hanging fruit". Eneste måten du egentlig kan stole på systemet ditt igjen er å gjøre alt fra scratch

 

http://forums.gentoo.org/viewtopic-t-839006-highlight-dissecting+rogue.html

Kan kanskje være noe til hjelp med å lete etter snusk på maskinen din.

 

Hvis du vil ha litt mer loggføring, av feks. remontering av disker og en del andre ting kan du gjøre det med grsec som er en del av hardened-sources i Gentoo.

[petterg]

Kan det være noen andre grunner til at rootpassordet ikke virket? Noen måter å finne ut om det har skjedd noe annet med serveren som kan ha gitt samme effekten?

[mikeys]

Kan det være noen andre grunner til at rootpassordet ikke virket? Noen måter å finne ut om det har skjedd noe annet med serveren som kan ha gitt samme effekten?

Si det. Det er en _god_ del som kan gå galt.

 

Når det gjelder hashene av passordene dine i /etc/shadow så er en eneste bitflip i en av hashene nok til at du ikke får logget inn. Hvis du har en kopi av en fungerende shadow fil og den ikke fungerende kan du gjerne sammenligne og se om det var bitflip eller noe lignende som førte til at du ikke kunne logge inn.