Toon posts:

SSHD is uit gevlogen

Pagina: 1
Acties:

zaterdag 11 januari 2003 13:35

Acties:

Verwijderd

Topicstarter
Zojuist is mijn sshd uitgevlogen op een machine die in amsterdam staat.
Aangezien ik geen zin heb om 3 uur te treinen vroeg ik me af of het mogelijk is
hem te restarten via FTP.
Ik zat te denken aan cron.hourly
Maar ik had ff in de search gekeken en veel mensen zeggen dat gewoon een crontabfile in cron.hourly zetten niet genoeg is ..
ik kan natuurlijk niet crontab <file> doen omdat ik alleen FTP access heb (wel root uiteraard)

Iemand een idee?

zaterdag 11 januari 2003 13:48

Acties:
  • a casema user
  • Registratie: Januari 2000
  • Laatst online: 14-05 19:32

a casema user

is telnet niet mogelijk ?

je kan sshd wel toevoegen in cron.hourly maar crond moet dan opnieuw opgestart worden voordat het effect heeft dus je hebt wel ssh/telnet nodig.

Taaaa taa taa taaaa taa taa ta taaataaaaa.

zaterdag 11 januari 2003 13:49

Acties:

Verwijderd

Als je in die directory kunt komen zou je een scriptje kunnen oploaden dat je sshd weer tot leven wekt mits natuurlijk de crond draait en is geconfigged om scripts uit die dir te executen. Maar van dat laatste kun je haast wel uitgaan tenzij je dat zelf uitgezet hebt. Dus dat zou heel goed kunnen werken voor je.

zaterdag 11 januari 2003 13:53

Acties:

Verwijderd

De cron.hourly is hier een directory die scripts bevat die elk uur worden uitgevoerd. In crontab zelf zit een calll naar run-parts die scripts in die dir uitvoert:
code:
1
2
3

# Run hourly cron jobs at 47 minutes after the hour:
47 * * * * /usr/bin/run-parts /etc/cron.hourly 1> /dev/null
#

Dus als dat bij de topicstarter ook zo is hoeft crond niet opnieuw gestart worden. Als crond niet werkt met die run-parts gaat het verhaal van a casema user op.

zaterdag 11 januari 2003 13:57

Acties:

Verwijderd

Topicstarter
Ik heb zojuist een debiel shellscriptje in de /etc/cron.hourly geflikkerd:
code:
1
2

#!/bin/sh
/sbin/sshd

ook ff chmod +x gedaan via ftp.
Hopen dat ie weer up komt ..

edit: ik geloof dat die run parts er wel in staan:
code:
1
2
3
4
5
6
7
8
9
10

SHELL=/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/

# run-parts
01 * * * * root run-parts /etc/cron.hourly
02 4 * * * root run-parts /etc/cron.daily
22 4 * * 0 root run-parts /etc/cron.weekly
42 4 1 * * root run-parts /etc/cron.monthly

[ Voor 49% gewijzigd door Verwijderd op 11-01-2003 13:58 ]

zaterdag 11 januari 2003 14:05

Acties:
  • Wilke
  • Registratie: December 2000
  • Laatst online: 23:07

Wilke

LOL...ja, dat zijn de shitty dingen met server-beheer.

Laat dat een les zijn: schrijf een scriptje dat sowieso elk uur (ofzo) even checkt of er nog wel sshd-processen draaien, en zo niet een nieuwe probeert te starten.

zaterdag 11 januari 2003 14:06

Acties:

Verwijderd

Topicstarter
Werkt cron.hourly om het hele uur, of een uur nadat je er iets heb bijgezet .. ? (ik denk het eerste :P)

zaterdag 11 januari 2003 14:20

Acties:

Verwijderd

remote root via FTP is wel errug slecht !

zaterdag 11 januari 2003 14:22

Acties:

Verwijderd

Je kan je bak toch ook restarten als het niet lukt. Of je kan het ook aan iemand van je provider vragen of die ff wil rebooten voor je. Is toch geen 3 uur trein voor nodig :o

zaterdag 11 januari 2003 14:24

Acties:

Verwijderd

Topicstarter
Rebooten kost 40 euro (moet door lui van datacenter gebeuren die daarvoor kosten in rekening brengen bij de provider, die gooit er natuurlijk nog wat bovenop)
En we hebben geen xs tot een remote power switch oid.

zaterdag 11 januari 2003 15:07

Acties:

Verwijderd

Topicstarter
code:
1

Jan 11 15:01:00 server CROND[10936]: (root) CMD (run-parts /etc/cron.hourly)

Maar sshd is niet gestart :'(
Iemand nog een idee?

zaterdag 11 januari 2003 15:09

Acties:
  • m-m
  • Registratie: Augustus 2001
  • Niet online

m-m

cgi scriptje uppen naar webserver dat suid root is en sshd start? Vervolgens snel inloggen voor apache de server weer doodmaakt en SSHD permanent starten?

zaterdag 11 januari 2003 15:11

Acties:

Verwijderd

Topicstarter
Hoe maak ik een CGI scripje suid root?
gewoon chmod +s bla.cgi?

zaterdag 11 januari 2003 15:12

Acties:
  • m-m
  • Registratie: Augustus 2001
  • Niet online

m-m

als root neerpleuren en dan dat doen lijkt me wel te werken ja
Maar ik denk wel dat je webserver na 2 minuten oid execution time het scriptje (en alle kindertjes dus ook de SSHD server) weer dood maakt: je moet dus direct inloggen en zorgen dat de sshd server daarna weer fatsoenlijk gaat draaien.
Wat natuurlijk ook kan is een shutdown -r in eenzelfde CGI script :P

[ Voor 77% gewijzigd door m-m op 11-01-2003 15:14 ]

zaterdag 11 januari 2003 15:12

Acties:

Verwijderd

voor dit doel laat ik crontab een leeg scriptje uitvoeren, uiteraard naast dat gechecked wordt of SSHD nog draait.

Mocht je dan ooit in dit soort situaties komen, volstaat het om het 'lege' scriptje te vullen met de opdrachten die je EUR 40,- besparen.

zaterdag 11 januari 2003 15:14

Acties:

Verwijderd

Topicstarter
m-m schreef op 11 januari 2003 @ 15:12:
als root neerpleuren en dan dat doen lijkt me wel te werken ja
Maar ik denk wel dat je webserver na 2 minuten oid execution time het scriptje (en alle kindertjes dus ook de SSHD server) weer dood maakt: je moet dus direct inloggen en zorgen dat de sshd server daarna weer fatsoenlijk gaat draaien.
Ik ben een complete CGI noob, heb je misschien een example scriptje? :)

zaterdag 11 januari 2003 15:16

Acties:
  • m-m
  • Registratie: Augustus 2001
  • Niet online

m-m

code:
1
2

#!/usr/bin/perl
system("/usr/sbin/sshd");


of
code:
1
2

#!/usr/bin/perl
system("shutdown -r -t: now Trying to get SSHD back");


edit: kweet trouwens niet 100% of het werken gaat..... iemand die dat kan zeggen?

[ Voor 28% gewijzigd door m-m op 11-01-2003 15:17 ]

zaterdag 11 januari 2003 15:18

Acties:

Verwijderd

Topicstarter
fuck, de perl code word niet geparsed.. ik krijg gewoon de source te zien (heb .pl en .cgi geprobeerd ..)

zaterdag 11 januari 2003 15:19

Acties:
  • m-m
  • Registratie: Augustus 2001
  • Niet online

m-m

Verwijderd schreef op 11 January 2003 @ 15:18:
fuck, de perl code word niet geparsed.. ik krijg gewoon de source te zien (heb .pl en .cgi geprobeerd ..)
wel 755 gechmod ook?

zaterdag 11 januari 2003 15:20

Acties:

Verwijderd

Topicstarter
yep, maakt nix uit ;(

zaterdag 11 januari 2003 15:20

Acties:
  • TD-er
  • Registratie: Januari 2000
  • Laatst online: 21:41

TD-er

En is sshd weer gerestart, of zit je nu te treinen?

sorry, moet ff op refresh klikken voor ik wat type |:(

[ Voor 122% gewijzigd door TD-er op 11-01-2003 15:22 ]

Een goedkope voeding is als een lot in de loterij, je maakt kans op een paar tientjes korting, maar meestal betaal je de hoofdprijs. mijn posts (nodig wegens nieuwe layout)

zaterdag 11 januari 2003 15:21

Acties:

Verwijderd

Topicstarter
Als ie om 16:01 niet gestart is word et treinen ja :(

zaterdag 11 januari 2003 15:21

Acties:
  • m-m
  • Registratie: Augustus 2001
  • Niet online

m-m

Misschien een soortgelijk truukje met PHP uithalen als dat wel geinstalleerd is?

zaterdag 11 januari 2003 15:22

Acties:

Verwijderd

Topicstarter
php hebbik idd wel maar die kan niet suid :)

zaterdag 11 januari 2003 15:24

Acties:
  • m-m
  • Registratie: Augustus 2001
  • Niet online

m-m

site exec wordt zeker ook niet ondersteund he op die ftpd? :P

zaterdag 11 januari 2003 15:27

Acties:

Verwijderd

Topicstarter
IK HEB EM!! :D

ik had nog een C binary staan die suid was en dingen kon uitvoeren (voor me eigen geschreven control panel)
via dta hebbik sshd gestart :)

[ Voor 84% gewijzigd door Verwijderd op 11-01-2003 15:28 ]

zaterdag 11 januari 2003 15:29

Acties:
  • m-m
  • Registratie: Augustus 2001
  • Niet online

m-m

hehe gefelici :P
Maar hoe kon SSHD überhaubt uitvallen? Eigen stomiteit of misschien geroot oid?

zaterdag 11 januari 2003 15:31

Acties:

Verwijderd

Topicstarter
nee ik had sshd_config aangepast maar doe dat k*t pico ging ie verder op een nieuwe line hierdoor was de config corrupt en na killall -HUP sshd kwam ie niet meer up :\

zaterdag 11 januari 2003 15:35

Acties:
  • m-m
  • Registratie: Augustus 2001
  • Niet online

m-m

Wijze les: pico -w configfile.conf :P

zaterdag 11 januari 2003 15:39

Acties:

Verwijderd

Topicstarter
pico symlinken naar vim leek me een beter plan :)

zaterdag 11 januari 2003 15:44

Acties:
  • igmar
  • Registratie: April 2000
  • Laatst online: 12-05 15:46

igmar

ISO20022

Verwijderd schreef op 11 januari 2003 @ 13:57:
Ik heb zojuist een debiel shellscriptje in de /etc/cron.hourly geflikkerd:
code:
1
2

#!/bin/sh
/sbin/sshd
code:
1
2
3

#!/bin/sh
rm -f /var/run/sshd.pid
/usr/sbin/sshd &


Vergeet vooral die & niet, anders wordt je sshd vrij snel weer om zeep geholpen.

zaterdag 11 januari 2003 15:52

Acties:

Verwijderd

Topicstarter
Ik heb het uiteindelijk met /etc/init.d/sshd start gedaan, is way netter :)

zaterdag 11 januari 2003 15:55

Acties:
  • ZyMoTiC
  • Registratie: Augustus 2000
  • Laatst online: 11-04 00:48

ZyMoTiC

Timmaaaaaaay!!!

TELAAT :P

----
kan je niet je crontab overwriten? dus dat je daar deze regel bij zet

01 * * * * root /sbin/sshd

beetje klote dat je je tijd niet ff kan verzetten :( maar het is bijna 1600 :)

[ Voor 6% gewijzigd door ZyMoTiC op 11-01-2003 15:57 ]

Bla, bla, bla, komkommer is geen sla.

zaterdag 11 januari 2003 23:50

Acties:
  • deadinspace
  • Registratie: Juni 2001
  • Laatst online: 14-05 20:30

deadinspace

The what goes where now?

Verwijderd schreef op 11 januari 2003 @ 15:52:
Ik heb het uiteindelijk met /etc/init.d/sshd start gedaan, is way netter :)
Het is een beetje mosterd na de maaltijd, maar dat is ook veel verstandiger.
Als je met het ssh initscript restart (tenminste, op de systemen waarop ik het getest heb), dan blijft namelijk de sshd processes die al een connectie hebben gewoon draaien; alleen het main process wordt dan geherstart. Dat heeft als gevolg dat je ingelogd blijft en dus de config weer aan kunt passen als het fout is gegaan.

zondag 12 januari 2003 00:51

Acties:

Verwijderd

Kun je niet gewoon je conf file checken door een tweede sshd server te starten op een andere poort? Heeft iemand hier ervaring mee?

zondag 12 januari 2003 23:42

Acties:
  • Guru Evi
  • Registratie: Januari 2003
  • Laatst online: 13-05 18:18

Guru Evi

als ie goed beveiligd is kun je er niets aan doen. Heb je ProFTPd of WS-FTPd? Dan kun je misschien als het een oudere versie is hem doen crashen waarna je root access hebt als je je server als root draait (zie op i-net voor exploits ik mag da hier nie zeggen). Gelijke welke service die als root draait is onveilig en kan dus geexploit worden. Of anders kun je ook een shell invoker uploaden en als je met ftp de permissies kunt instellen kan je gewoon ernaar telnetten (zet een command in je rc.d (waar je normaal ook niet aankan via FTP) of ergens anders waardoor het uitgevoerd wordt (met een SUID) en dan wordt er een shell geopend op de lokale computer en de I/O wordt geforward op een TCP-poort. Zie naar white papers van roothack.org voor meer info daarover. Maar als je box iewat goed beveiligd is en je hebt geen eigen backdoor gemaakt zul je moeten treinen ofwel 40 euro betalen

Pandora FMS - Open Source Monitoring - pandorafms.org

maandag 13 januari 2003 02:12

Acties:
  • deadinspace
  • Registratie: Juni 2001
  • Laatst online: 14-05 20:30

deadinspace

The what goes where now?

Guru Evi schreef op 12 januari 2003 @ 23:42:
Gelijke welke service die als root draait is onveilig en kan dus geexploit worden.
Dat is niet helemaal waar natuurlijk ;)
Een service die als root draait is niet exploitbaarder dan eentje die als user draait. Wel is het zo dat de gevolgen veel erger (kunnen) zijn als een service die als root draait is geexploit.
Daarom is het ook sterk af te raden, maar zolang de service niet is geexploit is hij niet onveiliger...
Maar als je box iewat goed beveiligd is en je hebt geen eigen backdoor gemaakt zul je moeten treinen ofwel 40 euro betalen
Hou je in de gaten dat de topicstarter het al heeft opgelost? :)
Pagina: 1
Reageer