Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
Witam,
Mam dość nietypowy problem.
Zarządzam serwerem poprzez putty'ego i zawsze trzeba było logować się za pomocą nawy użytkownika i właściwego hasła do serwera.
Ale pewnego dnia idylla się skończyła.
Teraz wystarczy wpisać nazwę istniejącego użytkownika serwera i dowolny ciąg znaków jako hasło (dla root'a też!!!)
Po przegrzebaniu historii sudo zauważyłem, że jeden z administratorów wpisał:
chown -hR mysql:mysql /
a potem
chown -hR root /
Część ustawień udało mi się odtworzyć bo min. sudo również nie działało.
Ale z logowaniem nie mogę sobie dać rady.
Dzięki za wszelką pomoc
Offline
Ciekawe. Co masz w logach (/var/log/auth*)? Czy nikt nie podmienił binarki sshd? Możesz porównać sumy kontrolne? Np. sshd z paczki debianowej i sshd u Ciebie na dysku (za pomocą polecenia md5sum).
Ostatnio edytowany przez urug (2009-04-07 19:48:03)
Offline
niestety, reinstall systemu
Offline
rychu napisał(-a):
niestety, reinstall systemu
prawda, system został skompromitowany
Offline
W logach jest dużo prób włamania ale na szczęście jeszcze im się nie udało.
Co do md5sum to jest różna ale nie jestem pewien czy wersja z serwera to ta sama, którą ściągnąłem z sieci
Offline
koza napisał(-a):
W logach jest dużo prób włamania ale na szczęście jeszcze im się nie udało.
koza napisał(-a):
Teraz wystarczy wpisać nazwę istniejącego użytkownika serwera i dowolny ciąg znaków jako hasło (dla root'a też!!!)
Że niby jak mogłoby się im to nie udać ? Rób backup danych i reinstaluj system.
Offline
koza, możesz sprawdzić za pomocą dpkg -l ..., ale wydaje mi się że koledzy wyżej rozsądnie CI podpowiadają, byś jednak przeinstalował. Odtworzenie oryginalnych uprawnień może być bardziej pracochłonne od reinstalacji i przywrócenia backupu. No i kwestia kompromitacji serwera jest dosyć istotna ;]
Offline
koza napisał(-a):
W logach jest dużo prób włamania ale na szczęście jeszcze im się nie udało.
skąd wiesz? przecież czyszczenie logów po włamaniu to zasada nr 0. innymi słowy: nie czyszczą logów tylko ci, którym się nie udało.
koza napisał(-a):
Co do md5sum to jest różna ale nie jestem pewien czy wersja z serwera to ta sama, którą ściągnąłem z sieci
no gdybyś był pewien, że wersja "z serwera" byłaby tą samą, którą ściągnąłeś "z sieci", to miałbyś chodzący dowód na to, że ci wsadzili backdoora
Offline
Strony: 1