Strona 1 z 1
Zhackowany Debian - zmienone hasło root
: 03 lutego 2013, 17:14
autor: ficu
Witam.
W dwóch różnych lokalizacjach miałem zainstalowane dwa Debiany bez środowisk graficznych na starych komputerach x86, które udostępniały DVB-T w LAN-ie (miały też wyjście na świat). Na obu zainstalowany SSH - i tak nimi zarządzałem (domyślne porty wyprowadzone na zewnątrz).
- Serwer - hasło roota zmienione, udało mi się do niego zalogować przez użytkownika i zobaczyłem napis:
- Serwer - hasło roota i użytkownika zmienione - nie udało mi się do niego zalogować.
Mam dziwne podejrzenia, że ktoś użył moich Debianów do spamowania/ataków. Jak zmienić hasło mając fizyczny dostęp do dysków? Jak sprawdzić czy ktoś nie uruchomił tam żadnych spamerów? Czego mogę się jeszcze spodziewać?
Nie jestem w stanie określić kiedy serwery zostały zaatakowane, nie miałem na nich nic nadzwyczaj ważnego, chciałbym je przywrócić do pracy i porządniej zabezpieczyć.
Nie spodziewałem się, że ktoś zaatakuje mój domowy serwer?
Pozdrawiam.
: 03 lutego 2013, 17:18
autor: Van Pytel
Możesz ściągnąć jakiegoś live-cd Linuksa, a następnie użyć środowiska chroot (czyli ten Twój Debian) i tak zmienisz hasło.
Można i tak:
http://blog.r3gi.net/2010/04/reset-hasla-roota-debian/
: 03 lutego 2013, 17:56
autor: lessmian2
Jeśli masz fizyczny dostęp do sprzętu, to dodajesz w grubie/lilo jako parametr do uruchomienia systemu init=/bin/bash i już. Od razu dostajesz powłokę i możesz zmienić hasło.
: 03 lutego 2013, 18:30
autor: kodama
http://debian.linux.pl/threads/26380-Wł ... do-systemu z autopsji.
Nie zalecam wystawiania domyślnych portów SSH na zewnątrz, ani pozwolenia na logowanie roota
Do tego zdecydowanie jakieś mocne hasło, fail2ban...
: 03 lutego 2013, 18:39
autor: ficu
Czyli zmiana portów i dobre hasło i powinno wystarczyć.
Teraz, jak sprawdzić, czy nikt tam nie podrzucił jakiegoś syfu?
: 04 lutego 2013, 09:52
autor: lun
Czyli zmiana portów i dobre hasło i powinno wystarczyć.
Nie do końca. Na skanery portów i próby typu ,,brute force'' na standardowe konta może i pomoże, ale jak ktoś się uprze, to jest to moim zdaniem zbyt mało.
Po pierwsze wyłącz możliwość logowania na konto roota przez SSH. Następnie zmień standardowy port SSH, zainstaluj fail2ban (koniecznie), zmień hasło roota na jakieś ciężkie do złamania. Jeśli łączysz się do tych serwerów tylko z LAN-u, ogranicz ruch na port SSH tylko do adresów z sieci lokalnej (iptables), jeśli musisz się do nich dostawać z internetu, ogranicz pulę adresów tylko do swojego dostawcy.
Jeśli chodzi o sprawdzenie, czy ktoś nie wrzucił syfu, pomoże ci
rkhunter. Oprócz tego podejrzyj netstatem, czy jakieś dziwne porty nie są pootwierane przez jakieś dziwne programy. Jeśli jakiś syf podpiął się pod standardowe porty, zawsze zostaje Ci analiza ruchu sieciowego.
: 08 lutego 2013, 11:47
autor: sethiel
Rkhunter Ci pomoże jedynie rozpoznać "typowego" robaka. Nie rozpozna czy ktoś nie zmienił właściwości kont systemowych powodując ich inne zachowanie i możliwość logowania się z zewnątrz. Czy jakichkolwiek autorskich pomysłów na backdory.
System - absolutnie! - nadaje się do zaorania. Zostawiasz tylko dane prywatne i ewentualnie te pliki konfiguracyjne które znasz a reszta w kanał, włącznie ze sprawdzeniem czy ktoś w bios śmieci nie wrzucił.
To nawet jest dalekie od paranoi, paranoik wyrzuciłby komputer - bo firmware można było podmienić, ale tak daleko bym nie szedł. To zależy gdzie było włamanie.
Jakby to było w miejscu zgromadzenia dużej ilości danych osobowych to bez wątpienia optowałbym za wyrzuceniem sprzętu do działań całkowicie odizolowanych. Oznaczyć jako "corrupted" i pogodzić się ze stratą.