[Redhat] Spontaal root password gewijzigd?

Log je toevallig in met telnet? Dan zijn nl. gewoon je wachtwoorden te zien als ze over het net heen gaan. Iemand met een sniffer kan ze dan zo oppikken. Werk je met SSL dan dat het probleem niet en heb ik niets getyped.

kijk eens wat voor tijdstip je password gewijzigd is.
Kijk dan in de cronlog of er uberhaupt iets kon lopen om die tijd wat dit zou kunnen doen.
Controleer ook degene die ingelogged waren.

Ik heb nog nooit een UNIX systeem haar eigen root password zijn wijzigen, dus ik denk eerder aan een bron van buitenaf

Misschien kun je met het "last" commando zien waarvandaan er rond die tijd ingelogd geweest is ?

Een /etc/shadow file die wijzigt zonder dat je enig idee hebt hoe dat heeft kunnen gebeuren lijkt me sowieso niet zo'n geweldig goed teken

Heb je toevallig vrienden/vage kennissen die een grapje uithalen of waarvan het best mogelijk is dat ze een keer hebben gezien dat je je wachtwoord intikte, of is het een te raden password, zoals de naam van je kat/hond, de geboortedatum of (voor)naam van jouzelf of je vriendin, of op welke manier dan ook makkelijk te raden ww ?

Wat voor internetverbinding heb je? Als je geen snelle upload hebt, is het onwaarschijnlijk dat het krakers boeit om er wat mee te gaan uitvoeren, maar who knows. 'k zou eerder denken aan iemand die een grap uithaalt - het gaat toch om een persoonlijk servertje, mag ik dat uit je verhaal opmaken? (nee dus blijkt verderop in de thread). In dat geval: je zult die bak dan ZEER zeker offline moeten halen en wel ASAP. En opnieuw installeren en patchen met die handel.

[ Voor 82% gewijzigd door Wilke op 10-10-2003 16:59 ]

Heb je SSH geupdate? Die heeft een tijdje terug een exploite gehad. Helaas even geen link van en wat de exacte exploit was

Wilke schreef op 10 October 2003 @ 16:48:
Een /etc/shadow file die wijzigt zonder dat je enig idee hebt hoe dat heeft kunnen gebeuren lijkt me sowieso niet zo'n geweldig goed teken

Sterker nog, dat is wel een teken om die bak offline te halen en opnieuw te gaan installeren als je niet weet hoe je dit soort dingen aan moet pakken

open-computing op zijn best heh.

Maar on-topic, ik zou in ieder geval die bak van het net trekken, om eens goed te inspecteren wat er gebeurt is. Als je trouwens een echt goeie hebt binnengehad, dan zijn de logfiles ook vakundig aangepast.
Als je het uiteindelijk toch niet vertrouwd, herinstalleren, en alle security patches er overheen gooien.
Veiligheid voor alles.

Emmeau schreef op 10 October 2003 @ 16:54:
[..] herinstalleren, en alle security patches er overheen gooien.

Veiligheid voor alles.

Inderdaad, Nelske zegt dat ook al, en ook de NOS FAQ zegt dat sinds kort (ja ja, da's ook niet toevallig hoor ):

NOS FAQ: Ik vermoed dat mijn systeem is gekraakt. Wat nu?

muis schreef op 10 October 2003 @ 16:57:
Ja veiligheid voor alles vind ik ook. Enige hier is dat het een webserver betreft met enkele websites, ftp, mail etc. Dus dat kan ik niet zomaar ff offline halen.

Nee die mensen zullen het helemaal niet erg vinden, dat hun gegevens ingezien/verwijderd kunnen worden etc.

Wat downtime om dat te voorkomen is inderdaad veel erger

Als iemand dit kan doen, zonder dat jij het weet en zonder dat je je er nu tegen verweerd hebt, dan kan dat ook wel een 2e keer

Wat zijn de rechten op je shadow bestand overigens?

[ Voor 12% gewijzigd door Verwijderd op 10-10-2003 17:00 ]

muis schreef op 10 October 2003 @ 16:57:


Ja veiligheid voor alles vind ik ook. Enige hier is dat het een webserver betreft met enkele websites, ftp, mail etc. Dus dat kan ik niet zomaar ff offline halen.

Reden te meer om hem NU van het net af te halen. De mail van je gebruikers bijvoorbeeld
is nu toegankelijk voor de hacker. Dan beter maar helemaal niet toegankelijk !
Beter downtime dan een hacker die bij je bedrijfs- en privacy-gevoelige data kan !




Uh, sneller typen, dus.

[ Voor 3% gewijzigd door u_nix_we_all op 10-10-2003 17:05 ]

muis schreef op 10 October 2003 @ 16:57:
Ja veiligheid voor alles vind ik ook. Enige hier is dat het een webserver betreft met enkele websites, ftp, mail etc. Dus dat kan ik niet zomaar ff offline halen.

Wat je hier niet zegt maar waarvan je je wel ontzettend goed moet realiseren dat je het hiermee in feite wel aangeeft, is dit:

• Dat je veel tijd over hebt om straks als er misbruik gemaakt wordt van je naar alle waarschijnlijkheid (nu ik hoor dat het dus wel om een 'echte' webserver gaat met ws. dus hoge bandbreedte) gekraakte bak de abuse-mails e.d. die je dan gaat ontvangen af te handelen
• Dat je het niet erg vind om door het halve internet geblacklist te worden als blijkt dat een spammer je systeem heeft overgenomen (op een blacklist komen is stukken eenvoudiger dan er weer af komen kan ik je verzekeren - gelukkig niet uit persoonlijke ervaring overigens )
• De implicaties van de WBP (Wet Bescherming Persoonsgegevens) wat betreft de gegevens op je machine die - zoals je nu niet meer naar redelijkheid kunt ontkennen - gelezen kunnen worden door mensen die er niets mee te maken hebben - en jouw bewijsbare nalatigheid als je daar niets aan gaat doen.
• Etcetera, etcetera

...lijken mij een goede reden, om er toch wel op korte termijn iets aan te gaan doen.

muis schreef op 10 October 2003 @ 17:35:
Uiteraard hebben jullie helemaal gelijk,
maar hier komt de maar.....

Ik heb bij het inrichten van de server(s) goed (naar mijn weten) gekeken naar de beveiliging ervan. Niet een programma staat erop zonder dat ik me had verdiept in de security ervan.

Dus ik kan nu heel leuk die bak offline halen en een nieuwe OS erop knallen maar wat dan?
Stel dat die bak gehackt is dan kan dat dus precies op dezelfde wijze nog een keer gebeuren.

Vandaar dat ik heel erg hard op zoek ben naar de oorzaak

Voor het zoeken van de oorzaak kun je net zo goed off-line zijn.
En alleen bij installatie naar security kijken is niet genoeg, je moet actief
de vunerabilities bijhouden en er tegen optreden.
En je zegt: stel dat die bak gehackt is........ Lijkt me duidelijk DAT die bak al gehacked is.

De vraag is of je nog sporen kunt vinden, en dan nog, of je er wat aan hebt.

Er is echter geen twijfel over dat de gegevens op de server groot gevaar lopen
zolang je de netwerkkabel er in hebt zitten, dus makkelijk zat :
TREK DIE UTP ERUIT !

muis schreef op 10 October 2003 @ 16:40:
Ik wilde vanmorgen ff inloggen op m'n servertje (redhat 7.3) en kon niet meer als root inloggen. M'n wachtwoord was niet goed meer.

Nu zag ik dat m'n /etc/shadow file wel was veranderd een aantal uur daarvoor. Maar alle andere accounts (telnet/ftp) werkten wel nog gewoon. Uit m'n logs heb ik ook geen vreemde commando's kunnen halen.

Dit ruikt naar een hack

rpm -Va > verify
grep bin verify

en daarvan effe de uitvoer posten.

Zet eens een betrouwbare set utilities op cdrom en probeer die te starten vanaf de cdrom. Dan weet je iig zeker dat je niet met trojaned binaries werkt. Je wilt op z'n minst de volgende utils:

ifconfig
route
netstat
lsof
tcpdump
last
useradd / adduser
passwd
rpm (helaas heb je geen off-line backup van je rpm database)
bash (of een andere shell)

Als je wilt onderzoeken, dan raad ik je iig aan om een complete bitcopy te maken van je harddisk, om deze op een later tijdstip te gaan analyseren. Op de korte termijn lijkt het mij iig van belang dat je iig de machine opnieuw installed, of op z'n minst alle patches installed.

Hou er, als je 'trusted binaries' draait rekening mee dat deze wellicht helemaal niet 'getrojaniseerd' zijn.

Een simpele kernelmodule laden is genoeg om files, processen, TCP-verbindingen, etc. te verbergen, en dat gebeurt tegenwoordig steeds meer.. Hoewel veel kiddies nog steeds binaries overschrijven met trojan-versies, hoeft het dus niet zo te zijn dat als je niks ziet met je trusted 'ps' of 'netstat', dat het er dan ook niet is..

je moet zorgen dat je van elke service die je draait de veiligste versie hebt, doorgaans is dit de nieuwste versie. Dit ruikt idd naar een hack, wat je kunt doen is dingen opzoeken die niks met je bak te maken hebben. Hacker zetten meestal dingen op plekken neer waar niemand zo maar naar toe browsed.

Wat krijg je als je ps aux in tikt?

muis schreef op 11 October 2003 @ 16:41:
bij "ps aux" krijg ik zooi services die draaien waarbij ik ook geen gekke dingen kan ontdekken

Deze server draait pas week of 8 en heb toen alle nieuwste software erop gegooid. Alle services die dus met de buitenwereld communciren zijn de nieuwste versies (tenzij er tussen 8 weken geleden en nu weer nieuwe versie is gekomen)

Tussen 8 weken geleden en nu?
Wat dacht je van:
http://www.linuxsecurity....redhat_advisory-3644.html
http://www.linuxsecurity....redhat_advisory-3666.html
http://www.linuxsecurity....redhat_advisory-3645.html

Ik kan natuurlijk niet raden wat je draait, maar OpenSSH draai je bijna zeker volgens mij. En daar is de afgelopen 8 weken nog al wat mis mee bevonden.
Linux moet je ook regelmatig updaten. In 8 weken kan er veel gebeuren.

Als je opnieuw installeert kan je denk ik ook gelijk kiezen voor een wat nieuwere redhat want ik denk dat voor redhat 7. 3 niet zo heel lang meer updates uitkomen!

muis: Dus wat er is gebeurd is dat /etc/shadow gewijzigd is? Die reboot, kun je die verklaren?

Als alleen /etc/shadow is gewijzigd kan dat bijv. ook door een filesystem-foutje gebeurd zijn. Al is dat niet heel waarschijnlijk, want dan zou de file een hoop troep bevatten. En normaalgesproken is de file alleen geopend bij logins, dus niet tijdens normaal gebruik (maar misschien was er net zo'n ftp-sessie aan de gang).

euhm, misschien password expiration? (that is, als je remote inlogged, want als je op de console inlogt krijg je dan een melding en passwd wijzig prompt)