Forum Debian Users Gang

koza · 2009-04-07 19:07:26

Witam,

Mam dość nietypowy problem.
Zarządzam serwerem poprzez putty'ego i zawsze trzeba było logować się za pomocą nawy użytkownika i właściwego hasła do serwera.

Ale pewnego dnia idylla się skończyła.
Teraz wystarczy wpisać nazwę istniejącego użytkownika serwera i dowolny ciąg znaków jako hasło (dla root'a też!!!)

Po przegrzebaniu historii sudo zauważyłem, że jeden z administratorów wpisał:

chown -hR mysql:mysql /

a potem

chown -hR root /

Część ustawień udało mi się odtworzyć bo min. sudo również nie działało.
Ale z logowaniem nie mogę sobie dać rady.

Dzięki za wszelką pomoc

urug · 2009-04-07 19:43:32

Ciekawe. Co masz w logach (/var/log/auth*)? Czy nikt nie podmienił binarki sshd? Możesz porównać sumy kontrolne? Np. sshd z paczki debianowej i sshd u Ciebie na dysku (za pomocą polecenia md5sum).

Ostatnio edytowany przez urug (2009-04-07 19:48:03)

rychu · 2009-04-07 20:01:25

niestety, reinstall systemu

azhag · 2009-04-07 20:08:19

rychu napisał(-a):
niestety, reinstall systemu

prawda, system został skompromitowany

koza · 2009-04-07 20:46:53

W logach jest dużo prób włamania ale na szczęście jeszcze im się nie udało.

Co do md5sum to jest różna ale nie jestem pewien czy wersja z serwera to ta sama, którą ściągnąłem z sieci

pasqdnik · 2009-04-07 20:50:32

koza napisał(-a):
W logach jest dużo prób włamania ale na szczęście jeszcze im się nie udało.

koza napisał(-a):
Teraz wystarczy wpisać nazwę istniejącego użytkownika serwera i dowolny ciąg znaków jako hasło (dla root'a też!!!)

Że niby jak mogłoby się im to nie udać ? Rób backup danych i reinstaluj system.

urug · 2009-04-07 20:53:37

koza, możesz sprawdzić za pomocą dpkg -l ..., ale wydaje mi się że koledzy wyżej rozsądnie CI podpowiadają, byś jednak przeinstalował. Odtworzenie oryginalnych uprawnień może być bardziej pracochłonne od reinstalacji i przywrócenia backupu. No i kwestia kompromitacji serwera jest dosyć istotna ;]

rychu · 2009-04-08 03:25:34

koza napisał(-a):
W logach jest dużo prób włamania ale na szczęście jeszcze im się nie udało.

skąd wiesz? przecież czyszczenie logów po włamaniu to zasada nr 0. innymi słowy: nie czyszczą logów tylko ci, którym się nie udało.

koza napisał(-a):
Co do md5sum to jest różna ale nie jestem pewien czy wersja z serwera to ta sama, którą ściągnąłem z sieci

no gdybyś był pewien, że wersja "z serwera" byłaby tą samą, którą ściągnąłeś "z sieci", to miałbyś chodzący dowód na to, że ci wsadzili backdoora

Forum Debian Users Gang

Ogłoszenie

#1 2009-04-07 19:07:26

koza - Nowy użytkownik

Użytkownicy mogą logować się z dowolnym hasłem

#2 2009-04-07 19:43:32

urug - Członek DUG

Re: Użytkownicy mogą logować się z dowolnym hasłem

#3 2009-04-07 20:01:25

rychu - elektryk dyżurny

Re: Użytkownicy mogą logować się z dowolnym hasłem

#4 2009-04-07 20:08:19

azhag - Admin łajza

Re: Użytkownicy mogą logować się z dowolnym hasłem

rychu napisał(-a):

#5 2009-04-07 20:46:53

koza - Nowy użytkownik

Re: Użytkownicy mogą logować się z dowolnym hasłem

#6 2009-04-07 20:50:32

pasqdnik - Pijak ;-P

Re: Użytkownicy mogą logować się z dowolnym hasłem

koza napisał(-a):

koza napisał(-a):

#7 2009-04-07 20:53:37

urug - Członek DUG

Re: Użytkownicy mogą logować się z dowolnym hasłem

#8 2009-04-08 03:25:34

rychu - elektryk dyżurny

Re: Użytkownicy mogą logować się z dowolnym hasłem

koza napisał(-a):

koza napisał(-a):

Stopka forum