forum.opennet.ru - "В Linux не зайти под рутом!!!" (6)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"В Linux не зайти под рутом!!!"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"В Linux не зайти под рутом!!!"
Сообщение от Константин on 23-Янв-02, 19:24 (MSK)
Я сисадмин и вообще единственный в компании, кто работает с веб-сервером. И вдруг сегодня захожу по SSH на сервак КАК ВСЕГДА, ввожу рутовый пароль, и он мне говорит "incorrect password". То же самое - при попытке работать непосредственно с машиной (то есть, не через сеть) Меня сейчас даже не столько интересует, как это могло произойти, сколько вообще КАК ТЕПЕРЬ БЫТЬ! Как я теперь могу войти в систему с рутовыми правами, если там каким-то непонятным образом сменился пароль?? Или теперь остается только систему переустанавливать?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: В Linux не зайти под рутом!!!, Жмурик, 19:29 , 23-Янв-02, (1)
RE: В Linux не зайти под рутом!!!, lavr, 20:10 , 23-Янв-02, (2)
RE: В Linux не зайти под рутом!!!, Евгений, 21:03 , 23-Янв-02, (3)
RE: В Linux не зайти под рутом!!!, Don, 13:07 , 24-Янв-02, (4)
- RE: В Linux не зайти под рутом!!!, Константин, 18:00 , 24-Янв-02, (5)
  - RE: В Linux не зайти под рутом!!!, lavr, 18:11 , 24-Янв-02, (6)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: В Linux  не зайти под рутом!!!"

Сообщение от Жмурик on 23-Янв-02, 19:29  (MSK)

Зайди в однопользовательском режиме.
Linux:
        left-alt для lilo
        boot: linux -b rw sushell=/sbin/sash single
        (можно init=/bin/sh)

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: В Linux  не зайти под рутом!!!"

Сообщение от lavr on 23-Янв-02, 20:10  (MSK)

>Я сисадмин и вообще единственный в
>компании, кто работает с веб-сервером.
>
>И вдруг сегодня захожу по SSH
>на сервак КАК ВСЕГДА, ввожу
>рутовый пароль, и он мне
>говорит "incorrect password". То же
>самое - при попытке работать
>непосредственно с машиной (то есть,
>не через сеть)
>Меня сейчас даже не столько интересует,
>как это могло произойти, сколько
>вообще КАК ТЕПЕРЬ БЫТЬ!
>Как я теперь могу войти в
>систему с рутовыми правами, если
>там каким-то непонятным образом сменился
>пароль??
>Или теперь остается только систему переустанавливать?
>
для этого есть загрузочные или страховочные дискеты, смотришь /etc/fstab - записываешь
устройство где "root-fs", грузишься с дискеты
и редактором правишь shadow - выкусываешь оттуда
пароль, перегружаешься и задаешь новый.
PS. либо сам поменял и забыл, либо взломали, либо мудацкая шутка :(

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: В Linux  не зайти под рутом!!!"

Сообщение от Евгений on 23-Янв-02, 21:03  (MSK)

>Меня сейчас даже не столько интересует,
>как это могло произойти, сколько
>вообще КАК ТЕПЕРЬ БЫТЬ!
"Как быть" - уже выяснили, пора озаботится вопросом, "как это могло произойти".
если еще не заменил пароль на руте: ls -l passwd, смотри время модификации; дальше: last -20, смотришь последних входивших в систему юзеров (горе-хакеры, бывает, забывают логи за собой вытереть)
систему нужно проверить на отсутствие закладок: если по-простому, найдя find'ом все исполняемые файлы, измененные за последние сутки, скажем (а лучше - бинарным сравнением с дистрибутивом); проверить отсутствие "лишних" товарисчей в базе паролей с UID=0 и новых SUID файлов и т.д.
На такие вещи нужно реагировать быстро и жестко, иначе можно крупно попасть...

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: В Linux  не зайти под рутом!!!"

Сообщение от Don on 24-Янв-02, 13:07  (MSK)

Блин это просто тенденция какая-то у меня сегодня то же самое :(

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: В Linux  не зайти под рутом!!!"

Сообщение от Константин on 24-Янв-02, 18:00  (MSK)

Всем спасибо за помощь!
Пароль рута поменял, доступ к SSHD извне пока закрыл.
В мой сервак проник какой-то придурок, воспользовавшись недавно обнаруженной дыркой в SSH. К счастью, он только немного побаловался.
А дыра эта позволяет выполнять действия с привилегиями рута, не больше и не меньше!
Если у кого еще схожие проблемы - обновляйте свой SSHD!
Здесь можно найти информацию по этому поводу:
http://www.cert.org/incident_notes/IN-2001-12.html
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html
http://www.kb.cert.org/vuls/id/945216

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: В Linux  не зайти под рутом!!!"

Сообщение от lavr on 24-Янв-02, 18:11  (MSK)

>Всем спасибо за помощь!
>Пароль рута поменял, доступ к SSHD
>извне пока закрыл.
>В мой сервак проник какой-то придурок,
>воспользовавшись недавно обнаруженной дыркой в
>SSH. К счастью, он только
>немного побаловался.
>А дыра эта позволяет выполнять действия
>с привилегиями рута, не больше
>и не меньше!
>Если у кого еще схожие проблемы
>- обновляйте свой SSHD!
>Здесь можно найти информацию по этому
>поводу:
>http://www.cert.org/incident_notes/IN-2001-12.html
>http://www.cert.org/tech_tips/win-UNIX-system_compromise.html
>http://www.kb.cert.org/vuls/id/945216
администратор должен быть подписан на списки
рассылки security, уж на CERT 100%
SSH заменить на OpenSSH 3.x portable и отключить
первый протокол.
firewall, сетевые мониторы - без этого уже никак.
Еще лучше, иметь службу computer-security

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: В Linux не зайти под рутом!!!"
Сообщение от Жмурик on 23-Янв-02, 19:29 (MSK)
Зайди в однопользовательском режиме. Linux: left-alt для lilo boot: linux -b rw sushell=/sbin/sash single (можно init=/bin/sh)
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

2. "RE: В Linux не зайти под рутом!!!"
Сообщение от lavr on 23-Янв-02, 20:10 (MSK)
>Я сисадмин и вообще единственный в >компании, кто работает с веб-сервером. > >И вдруг сегодня захожу по SSH >на сервак КАК ВСЕГДА, ввожу >рутовый пароль, и он мне >говорит "incorrect password". То же >самое - при попытке работать >непосредственно с машиной (то есть, >не через сеть) >Меня сейчас даже не столько интересует, >как это могло произойти, сколько >вообще КАК ТЕПЕРЬ БЫТЬ! >Как я теперь могу войти в >систему с рутовыми правами, если >там каким-то непонятным образом сменился >пароль?? >Или теперь остается только систему переустанавливать? > для этого есть загрузочные или страховочные дискеты, смотришь /etc/fstab - записываешь устройство где "root-fs", грузишься с дискеты и редактором правишь shadow - выкусываешь оттуда пароль, перегружаешься и задаешь новый. PS. либо сам поменял и забыл, либо взломали, либо мудацкая шутка :(
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

3. "RE: В Linux не зайти под рутом!!!"
Сообщение от Евгений on 23-Янв-02, 21:03 (MSK)
>Меня сейчас даже не столько интересует, >как это могло произойти, сколько >вообще КАК ТЕПЕРЬ БЫТЬ! "Как быть" - уже выяснили, пора озаботится вопросом, "как это могло произойти". если еще не заменил пароль на руте: ls -l passwd, смотри время модификации; дальше: last -20, смотришь последних входивших в систему юзеров (горе-хакеры, бывает, забывают логи за собой вытереть) систему нужно проверить на отсутствие закладок: если по-простому, найдя find'ом все исполняемые файлы, измененные за последние сутки, скажем (а лучше - бинарным сравнением с дистрибутивом); проверить отсутствие "лишних" товарисчей в базе паролей с UID=0 и новых SUID файлов и т.д. На такие вещи нужно реагировать быстро и жестко, иначе можно крупно попасть...
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

4. "RE: В Linux не зайти под рутом!!!"
Сообщение от Don on 24-Янв-02, 13:07 (MSK)
Блин это просто тенденция какая-то у меня сегодня то же самое :(
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "RE: В Linux не зайти под рутом!!!"
	Сообщение от Константин on 24-Янв-02, 18:00 (MSK)
	Всем спасибо за помощь! Пароль рута поменял, доступ к SSHD извне пока закрыл. В мой сервак проник какой-то придурок, воспользовавшись недавно обнаруженной дыркой в SSH. К счастью, он только немного побаловался. А дыра эта позволяет выполнять действия с привилегиями рута, не больше и не меньше! Если у кого еще схожие проблемы - обновляйте свой SSHD! Здесь можно найти информацию по этому поводу: http://www.cert.org/incident_notes/IN-2001-12.html http://www.cert.org/tech_tips/win-UNIX-system_compromise.html http://www.kb.cert.org/vuls/id/945216
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "RE: В Linux не зайти под рутом!!!"
	Сообщение от lavr on 24-Янв-02, 18:11 (MSK)
	>Всем спасибо за помощь! >Пароль рута поменял, доступ к SSHD >извне пока закрыл. >В мой сервак проник какой-то придурок, >воспользовавшись недавно обнаруженной дыркой в >SSH. К счастью, он только >немного побаловался. >А дыра эта позволяет выполнять действия >с привилегиями рута, не больше >и не меньше! >Если у кого еще схожие проблемы >- обновляйте свой SSHD! >Здесь можно найти информацию по этому >поводу: >http://www.cert.org/incident_notes/IN-2001-12.html >http://www.cert.org/tech_tips/win-UNIX-system_compromise.html >http://www.kb.cert.org/vuls/id/945216 администратор должен быть подписан на списки рассылки security, уж на CERT 100% SSH заменить на OpenSSH 3.x portable и отключить первый протокол. firewall, сетевые мониторы - без этого уже никак. Еще лучше, иметь службу computer-security
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх