URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 32707
[ Назад ]

Исходное сообщение
"Сломали сервер"

Отправлено Sky , 25-Июл-03 10:05 
Здравствуйте господа!

Вот меня и взломали.....сменили пароль на рута....
Кто подскажет как вернуть его ?
Есть 3 локальных пользователя без прав рута.
Могу войти под ними.

Есть предложения ?

С уважением Максим


Содержание

Сообщения в этом обсуждении
"Сломали сервер"
Отправлено DogEater , 25-Июл-03 10:55 
тип ОС?

"Сломали сервер"
Отправлено KsI_korobanov , 25-Июл-03 11:07 
>Здравствуйте господа!
>
>Вот меня и взломали.....сменили пароль на рута....
>Кто подскажет как вернуть его ?
>Есть 3 локальных пользователя без прав рута.
>Могу войти под ними.
>
>Есть предложения ?
>
>С уважением Максим

Если linux то и restricted в lilo.conf не стоит
init=/bin/bash
потом mount -o remount,rw /
passwd root

Если restricted есть,то подключай винт к другому ПК и переписывай лило
делай chroot и т.п.

Регардсов
P.S. секурь сервер и патчуй!!!!


"Сломали сервер"
Отправлено Alex , 25-Июл-03 11:07 
>Здравствуйте господа!
>
>Вот меня и взломали.....сменили пароль на рута....
>Кто подскажет как вернуть его ?
>Есть 3 локальных пользователя без прав рута.
>Могу войти под ними.
>
>Есть предложения ?
>
>С уважением Максим

Нужен тип ОС.
Если это Linux, то нужно грузится в single mode.
И править файлик /etc/shadow


"Сломали сервер"
Отправлено Sky , 25-Июл-03 11:40 
>>Здравствуйте господа!
>>
>>Вот меня и взломали.....сменили пароль на рута....
>>Кто подскажет как вернуть его ?
>>Есть 3 локальных пользователя без прав рута.
>>Могу войти под ними.
>>
>>Есть предложения ?
>>
>>С уважением Максим
>
>Нужен тип ОС.
>Если это Linux, то нужно грузится в single mode.
>И править файлик /etc/shadow


ОС Linux Mandrake 8.2


"Сломали сервер"
Отправлено Alexey , 25-Июл-03 11:45 
>>>Здравствуйте господа!
>>>
>>>Вот меня и взломали.....сменили пароль на рута....
>>>Кто подскажет как вернуть его ?
>>>Есть 3 локальных пользователя без прав рута.
>>>Могу войти под ними.
>>>
>>>Есть предложения ?
>>>
>>>С уважением Максим
>>
>>Нужен тип ОС.
>>Если это Linux, то нужно грузится в single mode.
>>И править файлик /etc/shadow
>
>
>ОС Linux Mandrake 8.2


boot: linux single (помоему single)
грузишься в single mode попадаешь сразу в shell, и удаляешь из /etc/shadow пароль рута и усе...


"Сломали сервер"
Отправлено KsI_korobanov , 25-Июл-03 11:46 
>>>Здравствуйте господа!
>>>
>>>Вот меня и взломали.....сменили пароль на рута....
>>>Кто подскажет как вернуть его ?
>>>Есть 3 локальных пользователя без прав рута.
>>>Могу войти под ними.
>>>
>>>Есть предложения ?
>>>
>>>С уважением Максим
>>
>>Нужен тип ОС.
>>Если это Linux, то нужно грузится в single mode.
>>И править файлик /etc/shadow
>
>
>ОС Linux Mandrake 8.2

Ну вот тебе уже 3 способа как восстановить рута подсказали.
Регардсов.
Самое простое IMHO chroot сделать.


"Сломали сервер"
Отправлено Sky , 25-Июл-03 11:46 
>>>Здравствуйте господа!
>>>
>>>Вот меня и взломали.....сменили пароль на рута....
>>>Кто подскажет как вернуть его ?
>>>Есть 3 локальных пользователя без прав рута.
>>>Могу войти под ними.
>>>
>>>Есть предложения ?
>>>
>>>С уважением Максим
>>
>>Нужен тип ОС.
>>Если это Linux, то нужно грузится в single mode.
>>И править файлик /etc/shadow
>
>
>ОС Linux Mandrake 8.2


Если linux то и restricted в lilo.conf не стоит
init=/bin/bash
потом mount -o remount,rw /
passwd root

говорит нет прав. :(

Не хочу переустанавливать сервер...дисков под рукой нет......давно бы сделал....

Как загрузится в single mode ?

С уважением Максим


"Сломали сервер"
Отправлено Sky , 25-Июл-03 11:50 
>>>>Здравствуйте господа!
>>>>
>>>>Вот меня и взломали.....сменили пароль на рута....
>>>>Кто подскажет как вернуть его ?
>>>>Есть 3 локальных пользователя без прав рута.
>>>>Могу войти под ними.
>>>>
>>>>Есть предложения ?
>>>>
>>>>С уважением Максим
>>>
>>>Нужен тип ОС.
>>>Если это Linux, то нужно грузится в single mode.
>>>И править файлик /etc/shadow
>>
>>
>>ОС Linux Mandrake 8.2
>
>
>Если linux то и restricted в lilo.conf не стоит
>init=/bin/bash
>потом mount -o remount,rw /
>passwd root
>
>говорит нет прав. :(
>
>Не хочу переустанавливать сервер...дисков под рукой нет......давно бы сделал....
>
>Как загрузится в single mode ?
>
>С уважением Максим


lilo.conf править не могу. Permission denied.

С уважением Максим


"Сломали сервер"
Отправлено KsI_korobanov , 25-Июл-03 11:50 
>>>>Здравствуйте господа!
>>>>
>>>>Вот меня и взломали.....сменили пароль на рута....
>>>>Кто подскажет как вернуть его ?
>>>>Есть 3 локальных пользователя без прав рута.
>>>>Могу войти под ними.
>>>>
>>>>Есть предложения ?
>>>>
>>>>С уважением Максим
>>>
>>>Нужен тип ОС.
>>>Если это Linux, то нужно грузится в single mode.
>>>И править файлик /etc/shadow
>>
>>
>>ОС Linux Mandrake 8.2
>
>
>Если linux то и restricted в lilo.conf не стоит
>init=/bin/bash
>потом mount -o remount,rw /
>passwd root
>
>говорит нет прав. :(
Ух ты!
...

консоль #
??
uid 0


"Сломали сервер"
Отправлено Sky , 25-Июл-03 11:51 
>>>>>Здравствуйте господа!
>>>>>
>>>>>Вот меня и взломали.....сменили пароль на рута....
>>>>>Кто подскажет как вернуть его ?
>>>>>Есть 3 локальных пользователя без прав рута.
>>>>>Могу войти под ними.
>>>>>
>>>>>Есть предложения ?
>>>>>
>>>>>С уважением Максим
>>>>
>>>>Нужен тип ОС.
>>>>Если это Linux, то нужно грузится в single mode.
>>>>И править файлик /etc/shadow
>>>
>>>
>>>ОС Linux Mandrake 8.2
>>
>>
>>Если linux то и restricted в lilo.conf не стоит
>>init=/bin/bash
>>потом mount -o remount,rw /
>>passwd root
>>
>>говорит нет прав. :(
>Ух ты!
>...
>
>консоль #
>??
>uid 0


Секунду господа....схожу к серверу :)


"Сломали сервер"
Отправлено Sky , 25-Июл-03 11:56 
>>>>>>Здравствуйте господа!
>>>>>>
>>>>>>Вот меня и взломали.....сменили пароль на рута....
>>>>>>Кто подскажет как вернуть его ?
>>>>>>Есть 3 локальных пользователя без прав рута.
>>>>>>Могу войти под ними.
>>>>>>
>>>>>>Есть предложения ?
>>>>>>
>>>>>>С уважением Максим
>>>>>
>>>>>Нужен тип ОС.
>>>>>Если это Linux, то нужно грузится в single mode.
>>>>>И править файлик /etc/shadow
>>>>
>>>>
>>>>ОС Linux Mandrake 8.2
>>>
>>>
>>>Если linux то и restricted в lilo.conf не стоит
>>>init=/bin/bash
>>>потом mount -o remount,rw /
>>>passwd root
>>>
>>>говорит нет прав. :(
>>Ух ты!
>>...
>>
>>консоль #
>>??
>>uid 0
>
>
>Секунду господа....схожу к серверу :)


Зашел с консоли tty1
Бесполезно. не хочет. :(

С уважением Максим


"Сломали сервер"
Отправлено Sky , 25-Июл-03 11:59 
>>>>>>>Здравствуйте господа!
>>>>>>>
>>>>>>>Вот меня и взломали.....сменили пароль на рута....
>>>>>>>Кто подскажет как вернуть его ?
>>>>>>>Есть 3 локальных пользователя без прав рута.
>>>>>>>Могу войти под ними.
>>>>>>>
>>>>>>>Есть предложения ?
>>>>>>>
>>>>>>>С уважением Максим
>>>>>>
>>>>>>Нужен тип ОС.
>>>>>>Если это Linux, то нужно грузится в single mode.
>>>>>>И править файлик /etc/shadow
>>>>>
>>>>>
>>>>>ОС Linux Mandrake 8.2
>>>>
>>>>
>>>>Если linux то и restricted в lilo.conf не стоит
>>>>init=/bin/bash
>>>>потом mount -o remount,rw /
>>>>passwd root
>>>>
>>>>говорит нет прав. :(
>>>Ух ты!
>>>...
>>>
>>>консоль #
>>>??
>>>uid 0
>>
>>
>>Секунду господа....схожу к серверу :)
>
>
>Зашел с консоли tty1
>Бесполезно. не хочет. :(
>
>С уважением Максим


Могу напечатать в студию файл lilo.conf

С уважением Максим


"Сломали сервер"
Отправлено KsI_korobanov , 25-Июл-03 12:15 
>>>>>
>>>>>говорит нет прав. :(
>>>>Ух ты!
>>>>...
>>>>
>>>>консоль #
>>>>??
>>>>uid 0
>>>
>>>
>>>Секунду господа....схожу к серверу :)
>>
>>
>>Зашел с консоли tty1
>>Бесполезно. не хочет. :(
>>
>>С уважением Максим
>
>
>Могу напечатать в студию файл lilo.conf


а lilo то тебе зачем?
init=/bin/bash при загрузке как параметр ядра передается
тоже самое с single.
без прав рута ты понятно lilo.conf отредактировать не сможешь.
а если ты их получил то зачем тебе его редактировать?
у меня на него 600 стоят IMHO.


"Сломали сервер"
Отправлено lavr , 25-Июл-03 12:04 
>>>>>>>Здравствуйте господа!
>>>>>>>
>>>>>>>Вот меня и взломали.....сменили пароль на рута....
>>>>>>>Кто подскажет как вернуть его ?
>>>>>>>Есть 3 локальных пользователя без прав рута.
>>>>>>>Могу войти под ними.
>>>>>>>
>>>>>>>Есть предложения ?
>>>>>>>
>>>>>>>С уважением Максим
>>>>>>
>>>>>>Нужен тип ОС.
>>>>>>Если это Linux, то нужно грузится в single mode.
>>>>>>И править файлик /etc/shadow
>>>>>
>>>>>
>>>>>ОС Linux Mandrake 8.2
>>>>
>>>>
>>>>Если linux то и restricted в lilo.conf не стоит
>>>>init=/bin/bash
>>>>потом mount -o remount,rw /
>>>>passwd root
>>>>
>>>>говорит нет прав. :(
>>>Ух ты!
>>>...
>>>
>>>консоль #
>>>??
>>>uid 0
>>
>>
>>Секунду господа....схожу к серверу :)
>
>
>Зашел с консоли tty1
>Бесполезно. не хочет. :(
>
>С уважением Максим

# cat /etc/fstab - записать на листочек

создать rescue или загрузочную дискету, хагрузиться с нее, подмонтировать
FS="/" и отредактировать-поправить shadow, выкинуть оттуда пароль

Все, перегружаешься как обычно и имеешь root'а

PS. Зачем все это, если сломали и на телеге всего ТРИ пользователя:
правильно будет: новая установка, установка всех последних updates и
security-patches, все - дальше можно пользовать.


"Сломали сервер"
Отправлено Sky , 25-Июл-03 12:08 
># cat /etc/fstab - записать на листочек
>
>создать rescue или загрузочную дискету, хагрузиться с нее, подмонтировать
>FS="/" и отредактировать-поправить shadow, выкинуть оттуда пароль
>
>Все, перегружаешься как обычно и имеешь root'а
>
>PS. Зачем все это, если сломали и на телеге всего ТРИ пользователя:
>
>правильно будет: новая установка, установка всех последних updates и
>security-patches, все - дальше можно пользовать.


Я понимаю....но сейчас под рукой нет ни одного дистрибутива Linux.
Все лежит дома. А оставлять сервер до понедельника в таком состоянии совершенно не хочется.

С уважением Максим


"Сломали сервер"
Отправлено lavr , 25-Июл-03 12:40 
>># cat /etc/fstab - записать на листочек
>>
>>создать rescue или загрузочную дискету, хагрузиться с нее, подмонтировать
>>FS="/" и отредактировать-поправить shadow, выкинуть оттуда пароль
>>
>>Все, перегружаешься как обычно и имеешь root'а
>>
>>PS. Зачем все это, если сломали и на телеге всего ТРИ пользователя:
>>
>>правильно будет: новая установка, установка всех последних updates и
>>security-patches, все - дальше можно пользовать.
>
>
>Я понимаю....но сейчас под рукой нет ни одного дистрибутива Linux.
>Все лежит дома. А оставлять сервер до понедельника в таком состоянии совершенно
>не хочется.

Это нонсенс, дистрибутивы, rescue, backup'ы и подобное - всегда должны
быть под рукой! (просто совет на будущее)

>С уважением Максим

Удачи


"Сломали сервер"
Отправлено Alexey , 25-Июл-03 12:47 
>>># cat /etc/fstab - записать на листочек
>>>
>>>создать rescue или загрузочную дискету, хагрузиться с нее, подмонтировать
>>>FS="/" и отредактировать-поправить shadow, выкинуть оттуда пароль
>>>
>>>Все, перегружаешься как обычно и имеешь root'а
>>>
>>>PS. Зачем все это, если сломали и на телеге всего ТРИ пользователя:
>>>
>>>правильно будет: новая установка, установка всех последних updates и
>>>security-patches, все - дальше можно пользовать.
>>
>>
>>Я понимаю....но сейчас под рукой нет ни одного дистрибутива Linux.
>>Все лежит дома. А оставлять сервер до понедельника в таком состоянии совершенно
>>не хочется.
>
>Это нонсенс, дистрибутивы, rescue, backup'ы и подобное - всегда должны
>быть под рукой! (просто совет на будущее)
>
>>С уважением Максим
>
>Удачи

Так а че в single mode не грузится чтоли или я че-то пропустил :) ???


"Сломали сервер"
Отправлено KsI_korobanov , 25-Июл-03 13:19 

>Так а че в single mode не грузится чтоли или я че-то
>пропустил :) ???

Похоже чел чего-то неправильно делает
Зачем ему lilo.conf править до сих пор не пойму.
Похоже он не понял что параметры передаются в bootprompt
single соответствует 1-му уровню.

как писал Алексей

boot:linux init 1

или
boot: linux init=/bin/bash

или
boot:linux init=s
т.е. Почему он до сих пор не залогинился науке неизвестно.

Регардсов!


"Сломали сервер"
Отправлено Sky , 25-Июл-03 13:23 
>
>>Так а че в single mode не грузится чтоли или я че-то
>>пропустил :) ???
>
>Похоже чел чего-то неправильно делает
>Зачем ему lilo.conf править до сих пор не пойму.
>Похоже он не понял что параметры передаются в bootprompt
>single соответствует 1-му уровню.
>
>как писал Алексей
>
>boot:linux init 1
>
>или
>boot: linux init=/bin/bash
>
>или
>boot:linux init=s
>т.е. Почему он до сих пор не залогинился науке неизвестно.
>
>Регардсов!


Спасибо господа за помощь :)
Восстановил пароль рута :)

строка boot : linux single
потом passwd root

Еще раз спасибо :)

Кому интересно могу выслать на мыло исходники какой-то интересной вещи которую хакер оставил в своем домашнем каталоге :)

Надо ?:)

С уважением Максим


"Сломали сервер"
Отправлено Sky , 25-Июл-03 13:25 
седня дома буду писать копии дисков :)

"Сломали сервер"
Отправлено Sky , 25-Июл-03 13:26 
>седня дома буду писать копии дисков :)


А может проще перейти сразу на FreeBSD ? :)



"Сломали сервер"
Отправлено KsI_korobanov , 25-Июл-03 13:33 
>>седня дома буду писать копии дисков :)
>
>
>А может проще перейти сразу на FreeBSD ? :)


Админ (т.е. ТЫ!) строит безопасность а секурных дистрибов не бывает!
если у тебя qpopper или sendmail дырявый то буть у тебя fbsd linux или еще что то ничего не поможет!
Не страдай фигней. На бздю солярис чпукс и т.п. читай багтреки секурь дистр.
P.S. скинь закладку вражью на мой мэйл, интересно ^-^). ksi_korobanov@pochta.ru

Регардсов.


"Сломали сервер"
Отправлено Alex_M , 25-Июл-03 14:32 
>>
>>>Так а че в single mode не грузится чтоли или я че-то
>>>пропустил :) ???
>>
>>Похоже чел чего-то неправильно делает
>>Зачем ему lilo.conf править до сих пор не пойму.
>>Похоже он не понял что параметры передаются в bootprompt
>>single соответствует 1-му уровню.
>>
>>как писал Алексей
>>
>>boot:linux init 1
>>
>>или
>>boot: linux init=/bin/bash
>>
>>или
>>boot:linux init=s
>>т.е. Почему он до сих пор не залогинился науке неизвестно.
>>
>>Регардсов!
>
>
>Спасибо господа за помощь :)
>Восстановил пароль рута :)
>
>строка boot : linux single
>потом passwd root
>
>Еще раз спасибо :)
>
>Кому интересно могу выслать на мыло исходники какой-то интересной вещи которую хакер
>оставил в своем домашнем каталоге :)
>
>Надо ?:)
>
>С уважением Максим

Ну, если ты не большой гуру в вопросах безопасности, и не можешь грамотно обезвредить вражеский rootkit (а судя по тому, что этот вопрос вообще появился ты не гуру ;-)), то ИМХО единственно правильно - восстановить систему из бэкапа (у тебя ведь он есть ;-)) или переустановить с дистрибутива (даже если для этого придётся до понедельника отрубить сервак от инета :-) Вот и вся правда жизни ;-)


"Сломали сервер"
Отправлено globus , 25-Июл-03 14:04 
такой вот совет дам, из личного опыта (ломали другона у меня).
скорей всего там у тебя руткит стоит у понта от смены пароля рута не будет никакого !
Так что (как сказали выше) бакап должен быть ! Дистриб должен быть !
тачку от сети отрубай .... и содись за восстановление.

ЗЫ самое главное сейчас, понять где была дыра, проверить логи (шанс что они остались 20%, но все же)


"Сломали сервер FreeBSD 4.8"
Отправлено illya , 25-Июл-03 21:30 
>>Здравствуйте господа!
>>
>>Вот меня и взломали.....сменили пароль на рута....
>>Кто подскажет как вернуть его ?
>>Есть 3 локальных пользователя без прав рута.
>>Могу войти под ними.
>>
>>Есть предложения ?
>>
>>С уважением Максим
>
>Нужен тип ОС.
>Если это Linux, то нужно грузится в single mode.
>И править файлик /etc/shadow
Ну вот. Линукс обсудили, а как тоже самое сделать в FreeBSD
У меня возникала проблема: бахнулся /etc/pw...
После этого войти нельзя было ни под каким юзером.


"Сломали сервер"
Отправлено Free , 25-Июл-03 20:21 
Я уже поверил :))))

Решил пацан поиграться, пока папа оставил ему сервачок. Вот папа прийдет и будет сюрприз :))))

Оставить не хочет сервер до понедельника :))) Ну так выключи его :))


"Сломали сервер"
Отправлено Sky , 28-Июл-03 05:43 
>Я уже поверил :))))
>
>Решил пацан поиграться, пока папа оставил ему сервачок. Вот папа прийдет и
>будет сюрприз :))))
>
>Оставить не хочет сервер до понедельника :))) Ну так выключи его :))
>


Если бы я хотел поиграться то я бы уже давным давно его испоганил.
ptrace не помогает у меня на /proc/self стоит атрибут 700

С уважением Максим


"Сломали сервер"
Отправлено skydion , 27-Июл-03 21:08 
>Здравствуйте господа!
>
>Вот меня и взломали.....сменили пароль на рута....
>Кто подскажет как вернуть его ?
>Есть 3 локальных пользователя без прав рута.
>Могу войти под ними.
>
>Есть предложения ?
>
>С уважением Максим

Ну если ядро 2.4.х тогда из под юзера эксплоит для
ptrace и будеш иметь рута, а там ищи что и где править.