[SSH] Kan ineens niet meer inloggen - Linux en overige clients

woensdag 17 maart 2004 23:35

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Ik zit net lekker met ssh (putty) op mijn server te werken, wordt ineens putty afgesloten met een melding 'connection closed by host' oid. Vanaf dat moment kan ik niet meer inloggen: ik krijg login scherm, type usernaam en wachtwoord, druk op enter en scherm weg! Met secure ftp kan ik ook niet inloggen, maar gewoon ftp wel... (zelfde account). Hoe kan dat nou, en wat nu??

Uit het feit dat ik wel een loginscherm krijg maak ik op dat sshd nog actief is. Zou ik nou gehackt zijn? (Inloggen op computer zelf is nu niet mogelijk omdat deze zonder toetsenbord en beeldscherm in een kast staat, maar ik zal 'm er zo toch uit moeten halen vrees ik...)

woensdag 17 maart 2004 23:51

Acties:

0 Henk 'm!

Kees

Serveradmin / BOFH / DoC

sluit je putty eens niet direct af, maar kijk welke error hij geeft?

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

woensdag 17 maart 2004 23:59

Acties:

0 Henk 'm!

Stacium

Perfect Molecular Chaos

het lijkt me sterk, maar misschien heeft dit er iets mee te maken. Aangezien sftp het ook al niet doet..

kreeg het deze avond binnen via mail

- CAN-2004-0079 - null-pointer assignment in the
do_change_cipher_spec() function. A remote attacker could perform
a carefully crafted SSL/TLS handshake against a server that used
the OpenSSL library in such a way as to cause OpenSSL to crash.
Depending on the application this could lead to a denial of
service.

[ Voor 44% gewijzigd door Stacium op 18-03-2004 00:00 ]

It seemed like a good idea at the time

donderdag 18 maart 2004 00:11

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Putty zegt: 'Connection closed by remote host'.

Heb logging volledig aangezet, laatste stukje:

code:

1_MSG_IGNORE)
  00000000  00 00 00 0f 8a d2 a5 bf 64 d7 2e 69 dc 9a e9 14  ........d..i....
  00000010  33 9f c4                                         3..
Event Log: Sending password with camouflage packets
Event Log: Sent password
Incoming packet type 14 / 0x0e (SSH1_SMSG_SUCCESS)
Event Log: Authentication successful
Outgoing packet type 10 / 0x0a (SSH1_CMSG_REQUEST_PTY)
  00000000  00 00 00 05 78 74 65 72 6d 00 00 00 18 00 00 00  ....xterm.......
  00000010  50 00 00 00 00 00 00 00 00 00                    P.........
Incoming packet type 14 / 0x0e (SSH1_SMSG_SUCCESS)
Event Log: Allocated pty
Outgoing packet type 12 / 0x0c (SSH1_CMSG_EXEC_SHELL)
Event Log: Started session

begin dan toch te vrezen dat ik een van de eerste slachtoffers van die exploit ben... zou 't kwaad kunnen om er een paar dagen niks aan te doen? Want t komt nu echt heel slecht uit...

donderdag 18 maart 2004 00:17

Acties:

0 Henk 'm!

Verwijderd

Damn ik heb vandaag net hetzelfde meegemaakt.... Inloggen lukt en meteen daarna conneciton closed. Het probleem heeft zichzelf echter opgelost na een aantal minuten. Server bleek moeilijk bereikbaar. (HTTP, IMAP-SSL) En dat is ook wat die exploit doet, neem ik aan? DOS attack?

[ Voor 4% gewijzigd door Verwijderd op 18-03-2004 00:19 ]

donderdag 18 maart 2004 01:52

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Hmm, misschien paniek om niks: sshd opnieuw gestart en alles lijkt weer te werken, kan zo gauw ook geen vreemde toegang van iemand vinden. Toch maar wel even patchen morgen!

donderdag 18 maart 2004 09:14

Acties:

0 Henk 'm!

Swat|IA

FreeBSD Kicks Ass :)

Verwijderd schreef op 18 maart 2004 @ 00:17:
Damn ik heb vandaag net hetzelfde meegemaakt.... Inloggen lukt en meteen daarna conneciton closed. Het probleem heeft zichzelf echter opgelost na een aantal minuten. Server bleek moeilijk bereikbaar. (HTTP, IMAP-SSL) En dat is ook wat die exploit doet, neem ik aan? DOS attack?

Hoe probeer je in te loggen? Met welke user?

Bij mij is het namelijk zo dat de root standaard niet mag inloggen, als ik dat toch doe, connect ie wel, maar zodra de prompt verschijnt wordt ik weer gedisconnect.

Never sleep with anyone crazier than yourself | Now running ws @ Debian Lenny

donderdag 18 maart 2004 09:33

Acties:

0 Henk 'm!

Verwijderd

Swat schreef op 18 maart 2004 @ 09:14:
[...]

Hoe probeer je in te loggen? Met welke user?

Bij mij is het namelijk zo dat de root standaard niet mag inloggen, als ik dat toch doe, connect ie wel, maar zodra de prompt verschijnt wordt ik weer gedisconnect.

Met gelijk welke user. Het inloggen lukt, maar zodra je de shell prompt krijgt geeft hij connection closed by remote host. Sinds gisteren midag doet het probleem zich niet meer voor en heb gisteren avond updated openssl packages van security.debian.org geinstalleerd. Ik laat het wel horen als het zich alsnog zou voodoen.

donderdag 18 maart 2004 12:11

Acties:

0 Henk 'm!

Wilke

Zie ik nu iets ontzettend over het hoofd als ik zeg dat OpenSSH != OpenSSL

donderdag 18 maart 2004 12:53

Acties:

0 Henk 'm!

Kees

Serveradmin / BOFH / DoC

jah, openssh is gebouwd tegen openssl en zal een aantal dingen rechtstreeks doorsturen naar openssl. hierdoor is het mogelijk om openssl via ssh te laten crashen (maar ook via bijvoorbeeld mod_ssl)

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

donderdag 18 maart 2004 13:11

Acties:

0 Henk 'm!

Spider.007

* Tetragrammaton

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0079
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0112

[ Voor 78% gewijzigd door Spider.007 op 18-03-2004 13:12 ]

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate

donderdag 18 maart 2004 16:59

Acties:

0 Henk 'm!

igmar

ISO20022

Kees schreef op 18 maart 2004 @ 12:53:
jah, openssh is gebouwd tegen openssl en zal een aantal dingen rechtstreeks doorsturen naar openssl. hierdoor is het mogelijk om openssl via ssh te laten crashen (maar ook via bijvoorbeeld mod_ssl)

Niet in dit geval : OpenSSH gebruikt alleen de crypto functies, en geen TLS / SSL, waar het probleem in zit.

donderdag 18 maart 2004 17:40

Acties:

0 Henk 'm!

Jelmer

Kun je via SSH2 inloggen? Zo ja, geef eens voor de gein als remote command bijv /bin/ls op (wel even never Close window on exit aanvinken he)
Krijg je dan output te zien van ls?

maandag 22 maart 2004 13:16

Acties:

0 Henk 'm!

Verwijderd

Hij doet het weer

code:

[jo@localhost jo]$ ssh routey.dyndns.org
jo@routey.dyndns.org's password:
Linux routey 2.4.18-jayv-iptables #1 Tue Feb 17 23:01:21 CET 2004 i686 unknown
 
Most of the programs included with the Debian GNU/Linux system are
freely redistributable; the exact distribution terms for each program
are described in the individual files in /usr/share/doc/*/copyright
 
Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
You have mail.
Last login: Mon Mar 22 13:08:30 2004 from 212.35.114.75
Connection to routey.dyndns.org closed by remote host.
Connection to routey.dyndns.org closed.
[jo@localhost jo]$

En dan ook:

code:

[jo@localhost jo]$ ssh routey.dyndns.org ps fax
jo@routey.dyndns.org's password:
Connection to routey.dyndns.org closed by remote host.


[jo@localhost jo]$ ssh routey.dyndns.org uptime
jo@routey.dyndns.org's password:
 13:13:38 up 33 days, 11:55,  0 users,  load average: 0.48, 0.23, 0.11
[jo@localhost jo]$

Heb dus die security packages van debian er sinds het eerste voorval op staan. Dit weekend heb ik nog remote ingelogd en vanalles gedaan en nu plots begint ie terug raar te doen. IMAP-SSL timeout ook regelmatig tot het crashen van Evolution als gevolg...

Iemand een idee?

maandag 22 maart 2004 15:28

Acties:

0 Henk 'm!

Jelmer

Je shell is kaduk/wordt niet gestart. Probeer eens /bin/bash mee te geven. Als je een shell krijgt is je /etc/passwd of /etc/shells niet meer op orde.
Als je dan nog geen shell krijgt:
su -c "apt-get install bash"

(je kunt evt gewoon een editor starten hoor (via remote command parameter), want SSH doet het verder zo te zien wel gewoon goed.)

maandag 22 maart 2004 15:32

Acties:

0 Henk 'm!

Verwijderd

TJah het vreemde is dat ik nu terug kan inloggen precies of er is niets aan de hand. Ook is het wel vreemd dat mijn Exim een aantal frozen messages staan had... (via fetchmail ontvangen) Die heb ik er nu uit gequeued met "runq -qqff"... dus voor zover ik het nu kan zien lijkt alles terug in orde. Ik kan er niet aan uit... dat is nu al de 2e keer dat dit gebeurt en vanzelf opgelost raakt.

maandag 22 maart 2004 15:49

Acties:

0 Henk 'm!

Wilke

Verder niets te zien in errorlog, ook geen half-gare harddisk ofzo

Dit probleem is echt wazig..

maandag 22 maart 2004 16:19

Acties:

0 Henk 'm!

wzzrd

The guy with the Red Hat

Post anders je password en je IP even, dan kunnen we allemaal even zelf kijken

maandag 22 maart 2004 17:00

Acties:

0 Henk 'm!

Verwijderd

Wilke schreef op 22 maart 2004 @ 15:49:
Verder niets te zien in errorlog, ook geen half-gare harddisk ofzo

Dit probleem is echt wazig..

Nope... precies of m'n netwerk eruit lag... DOS??? Hier en daar een FTP connect op pure-ftpd die na een aantal seconden logout geeft. Voor de rest hopen iptables deny logs.

Aan de logs kan ik zien dat er gedurende een uur enkel interne netwerk traffic geweest is. (Enkel hotwayd logins door fetchmail) terwijl het normaal vol staat met iptables deny logs, DHCP Requests van m'n access point en workstations, en imap-ssl connects van mij vanop het werk.

De HDD is vrij nieuw, geen kernel meldingen over bad sectors/read errors... en er is nog voldoende ruimte vrij dus aan een volle schijf ligt het ook niet.

Beats me... heb een vermoeden dat die openssl patch niet alle DOS attacks kan stoppen.

EDIT: Fetchmail is er dus blijkbaar uit gevlogen...
EDIT2: Apache en MySQL zijn blijkbaar ook doodgegaan

[ Voor 27% gewijzigd door Verwijderd op 22-03-2004 23:30 ]

maandag 22 maart 2004 21:20

Acties:

0 Henk 'm!

Verwijderd

Het ${HOME} filesysteem is niet meer gemount of zo?

De shell wordt wel gestart, maar zodra er een .profile (of whatever) geladen moet worden is het afgelopen.

Uptime doet het wel. Die staat in /usr/bin. Wat er met ps mis ging weet ik ook niet.

maandag 22 maart 2004 21:25

Acties:

0 Henk 'm!

Wilke

Tijd om chkrootkit eens uit de kast te trekken dan

maandag 22 maart 2004 22:49

Acties:

0 Henk 'm!

Jelmer

laat anders tcpdump eens een tijdje lopen todat het weer optreed:
tcpdump -i <eth_extern> -w output.tcpdump port 22

Vervolgens kun je met ethereal zien of er wat geks gebeurd.

Laat ook iptables eens loggen, weet je meteen wie er allemaal op je port 22 probeert te connecten:
iptables -I INPUT -m state --state new -p tcp --dport 22 -j LOG --log-prefix sshlog

[ Voor 39% gewijzigd door Jelmer op 22-03-2004 22:52 ]

maandag 22 maart 2004 23:13

Acties:

0 Henk 'm!

Verwijderd

Wilke schreef op 22 maart 2004 @ 21:25:
Tijd om chkrootkit eens uit de kast te trekken dan

All clear....

maandag 22 maart 2004 23:22

Acties:

0 Henk 'm!

Verwijderd

Verwijderd schreef op 22 maart 2004 @ 21:20:
Het ${HOME} filesysteem is niet meer gemount of zo?

De shell wordt wel gestart, maar zodra er een .profile (of whatever) geladen moet worden is het afgelopen.

HOME filesystem staat rechtsreeks in de root (geen afzonderlijke partitie) , het is wel een linux LVM partitie dus missch onder druk van een DOS attack dat de kernel niet tijdig respons kan geven aan het filesystem. Wat me ook opvalt is dat de load 0.4 is terwijl dit meestal 0 is en er echt niets op de server aan het gebeuren was buiten ik die enkel via IMAP-SSL werk en fetchmail die elke paar minuten wat pop boxes en de lokale hotwayd leegzuigt. Maar dit kan onmogelijk 0.4 trekken (Celly400, 128MB). Al zeker omdat ik nu een apt-get upgrade gedaan heb van 50 meg aan packages en dit trok het systeem maar in 0.15 load dus er moet toch echt wel wat serieus fout lopen. Load is nu dus terug 0.0

Is er in de afgelopen maand een exploit gevonden op de 2.4.18 source? Ik heb over een maand van de toen up to date debian kernel source een custom kernel gebakken met wat iptables patches voor time based matching. Iemand die hier iets over weet?

[ Voor 10% gewijzigd door Verwijderd op 22-03-2004 23:40 ]

Pagina: 1

Reageer