[Debian] Oops. Hele root account e.d. naar de haaien :(

Hoi
Ik draai hier al een tijdje Debian als workstation. Ik doe vaak voorzichtig en probeer linux te behandelen zoals het hoort. Tot gister, omg, wat vaag en stom van me.

Ik wilde een keer de scriptkidd0 uithangen en wilde intern (gewoon thuis dus) een bak rooten. Puur voor de lol
Ik dus een exploit downloaden en spelen ermee enzo...
Op een gegeven moment download ik een exploit van een 100% wazige site. Die exploit hoefde ik niet eens te compilen.. Dus ik had al iets van

Whatever ik ermee klooien en nog een binary exploit van die site getrokken.. ook gerunned.. tot op een gegeven moment ik "ls" intik:
"Segmentation fault"..
WTF?!

Dus ik (ff andere dingen proberen):
#chmod 770 foo
#Segmentation fault
wtf...

Hmm ik van alles proberen maar steeds meer dingen gaven de geest..
Naja, leuk. Files in /bin zijn dus corrupt gemaakt ofzo.
Vandaar dat die exploit binary was.. dan kon je niet in de source zien dat ie ook meteen het systeem van de scriptkiddie zelf om zeep ging helpen
Ik kon mezelf dus wel voor me kop slaan

Ok, reboot dan maar..
Knoppix d'r in. Ff booten d'r mee in runlevel 2.
#mount /dev/hda1 /mnt/hda1
#mkdir /mnt/hda1/home/cell/binbackup
#mv /mnt/hda1/bin/* /mnt/hda1/home/cell/binbackup
#cp /bin/* /mnt/hda1/bin

Reboot...
Ole! Werkt

Alle commando's werken ook weer.
Alleen kan ik geen root meer worden nu.
$su
Password:
Authentication failed.

Damn.. wat nu? Naja Knoppix weer geboot. Schijf gemount. Ff /etc/passwd eerste regel van root passwd ge-edit. Ff eerste regel uit /etc/shadow weggegooid. Reboot.
Nu werkt het nog niet! Backups van passwd en shadow weer teruggezet..

Nou kan ik het verhaal nog veeel langer gaan maken maar dat gaat niet opschieten. Ik heb daarna van ALLES zitten proberen en misschien nog meer kapot gemaakt. Ook met chroot e.d. veel geprobeerd.
Op een gegeven moment heb ik een nieuwe root user aangemaakt. En die een uid van 0 gegeven.

Nu zit ik weer gewoon in Xfce en als ik nu een Eterm open en de volgende dingen probeer krijg ik de volgende output:




Een apt-get install sudo en daarna:



Is allemaal leuk en aardig maar het komt erop neer dat


de root die ik nu heb een root account is die zelf is aangemaakt door mij op exotische wijze.

Heel veel ligt zoals je ziet nu door elkaar.
Daarom wil ik jullie vragen:

Mijn enige homeuser 'cell' werkt gewoon nog op en top.
Alleen de user 'root' moet nu gewoon verwijderd worden en weer opniew worden aangemaakt! Gewoon weer een nieuwe verse root user wil ik Dit is niet goed

Btw nog een raar iets, al doe ik $ssh -l root 127.0.0.1 dan werkt het wel weer gewoon!
Hoe vaag..

Maar weet iemand hoe ik dus gewoon weer zoals bij een nieuwe install mijn echte rootuser weer terug kan krijgen? Thanks!

Een tevree GNU/Linux gebruiker.

PAM weet ik niet. Ik kan dus wel root worden. Maar ik heb het gevoel dat het niet de echte root is.

Als ik 'groups' draai als root staat er 'users'. Dus dat klopt niet.
Ik voeg nu de user root ff in de root groep en de user cell in de wheel group toe.

#groups
users
#usermod -g root root
#groups
users

Hmm..
Ff gedraaid wat imdos zei maar ik krijg nog steeds als ik als user 'login' draai:

No utmp entry. You must exec "login" from the lowest level "sh"

$su
-bash: /bin/su: Permission denied

Ja ik kan root worden!
Weet je wat helemaar raar is (imho).

Als ik nu ctrl+alt+F1 doe... kan ik gewoon als root inloggen.
Als ik eerst als user cell inlog en vervolgens 'login' tik krijg ik:
No utmp entry. You must exec "login" from the lowest level "sh"
Als ik dan als user cell 'exec login' tik krijg ik:
debain login:
root
Password:
***********
Auth. failed.

Vreemd toch?

m.a.w. wat is het verschil tussen 'login' en 'exec login' ?

Als ik btw ctrl+alt+f1 druk en ik login als cell WERKT su WEL WEER! Terwijl ik hier in Xfce permission denied krijg
Alleen als ik dan met su in console inlog ben ik ook echt; root@debian#:
Normaal is dat gewoon debian~#:

Dus dat is nu ook anders

[ Voor 40% gewijzigd door DeMoN op 09-01-2004 19:56 ]

frim schreef op 09 januari 2004 @ 19:59:
je had toch een nieuwe user aangemaakt? Die zal de standaard variabelen in .bashrc hebben meegekregen toen je die aanmaakte. Die heeft als home-map misschien ook wel /home/root ipv /root... heb je wel rootrechten (maw, ben je wel uid 0? )

ls /home geeft alleen cell aan. Dus dat zal wel kloppen.
Hoe kan ik zien welke uid ik ben? whoami geeft alleen tekst output...

Maar hier zit hem het wel in ja. Hier zit ergens de fout. Ik heb het gevoel dat de root die ik nu gebruik geen 0 is. Alleen hoe zie ik dat?

[ Voor 14% gewijzigd door DeMoN op 09-01-2004 20:03 ]

Ryceck schreef op 09 januari 2004 @ 20:55:
[...]

En wat hebben we nu geleerd

Niet meer kutten met precompiled script kiddy rootkit proggels... eikel (nofi )

rofl laat me nou ff spele joh

smoking2000 schreef op 09 januari 2004 @ 22:58:
su is als ik mij niet vergis onderdeel van de login package:

apt-get install --reinstall login

Ik heb em nog niet gereinstalled. Ik zal dit nog eens proberen.

Maar het lijkt erop dat elke keer als ik mijn bak boot hij mijn /bin corrupt maakt.
Iemand enig idee hoe ik misschien erachter kan komen WAT er in godsnaam voor zorgt dat me /bin steeds naar de eeuwige jachtvelden is?
Elke keer paste ik nu de /bin van de knoppix cd erover heen en dan kan ik weer 1x booten

Ik ga nu pitten, morgen een uitje met mijn werk. Ik kan op zijn vroegst zondag avond weer reply'en
Maar het zou fijn zijn als iemand nog een tip had om dat progsel dat me /bin ombrengt ff te killen.


* DeMoN gaat slapen en pakt zijn tux-knuffel stevig vast

Om toch nog ff hierop terug te komen... (das wel zo leuk voor de mensen die behulpzaam zijn geweest )

Ik heb alles wat met login e.d. te maken heeft dmv dpkg-reconfigure weer recht gezet. Ook heb ik een dist-upgrade gedaan..
Root heet ook weer de juiste uid en gid
Ik heb er toen een rebootje aan gewaagd.. en het werkt weer

Nog wat rare dingetjes nu zoals dit:
cell@debian:~$ login
No utmp entry. You must exec "login" from the lowest level "sh"

Nog steeds Ik heb die utmp files e.d. al een keer opgeschoond, delete en noem maar op. Krijg dat niet meer goed

Ook is nog vaag dat:

cell@debian:~$ su
Password:
root@debian:/home/cell#

Dit er anders uitziet. Normaal zou het ipv root@debian:/home/cell# gewoon debian~:# zijn....
Dit komt waarschijnlijk omdat ikzelf een nieuwe root user heb gemaakt denk ik.

Misschien dat iemand nog een tip heeft, maar opzich ben ik zelf wel tevree nu.
Het is mijn werkstation achter een router die alleen ssh draait als service.
Ook netstat -ln geeft geen rare dingen aan. Chkrootkit vind ook niks.

Ik vertrouw mijn bak nog wel.. maar als ik het echt als server zou gebruiken had ik wel een reinstall gedaan. Voor nu is het gewoon ff teveel werk aangezien ik echt ALLES net aan de praat had wat je onder Windows ook zou kunnen en MEER

DeMoN schreef op 13 januari 2004 @ 23:31:
Het is mijn werkstation achter een router die alleen ssh draait als service.
Ook netstat -ln geeft geen rare dingen aan. Chkrootkit vind ook niks.

Jup

Maar goed.. als er een shell zou draaien zou die ook een port moeten open zetten naar buiten voor een evt. netcat connectie oid. En dit zie ik ook helemaal niet gebeuren.
Dus er zal nog wel iets rot zijn in mijn systeem..

[ Voor 3% gewijzigd door DeMoN op 13-01-2004 23:46 ]

DiedX schreef op 14 januari 2004 @ 00:05:
Ik zou 'm reinstallen

Wat je zou kunnen doen is iets van Tripwire installeren, en die database naar buiten hengelen. Volgens mij kan je dan met TCT (The Coroners Toolkit) een check doen. Kan je zien wat er allemaal gebeurd

Verder: leuk experiment. Volgende keer maar een ghost draaien

Thx voor de tip, ga ik een keer mee spelen als er tijd is

Maar ik vraag me toch af waarom ik deze bak zou reinstallen. Ik zit hier achter een NAT. Het is een workstation. Geen rare porten open. Geen rootkits. Niks vreemds in top of ps te zien. Geen abnormaal dataverkeer. Alles up-to-date.

Iemand een heeel goede reden om mij te overtuigen dat een reinstall echt nodig zal zijn in mijn geval (nogmaal, normaal ben ik er ook voor hoor.. maar nu zie ik het nut niet zo omdat ik voor een 'cracker' niet zo'n boeiende target zal zijn..)

O M F G!!!!!!!!!!!!!!



Heb dus al die tijd (check laatste post tijd) met een virus gezeten






http://www.viruslibrary.com/virusinfo/Linux.OSF.8759.htm

Damn niet zo mooi. Wilde dit ff aan jullie laten weten...
Hoe ik erachter kwam dat er waarschijnlijk een virus op mijn system stond?

Ik wilde Quake 3 van mijn werkstation naar mijn laptopje kopieeren. Toen ik daarmee klaar was en "ls" intikte op mijn laptop kreeg ik... ja hoor:


Maar ff gescanned dus op laptop en werkstation....
omg

[ Voor 4% gewijzigd door DeMoN op 25-10-2004 14:43 ]