Hi !!

Leider wurde mein Rootserver gehackt und das rootpw geändert !! Was kann ich tun um das PW rauszubekommen ohne mich an den teuren Support zu wenden??

Mfg Bad Soldier

betriebsystem neu installieren und vorsorgen...

Bei vorhandener serieller Konsole: "init=/bin/sh" im Bootloader in die Parameterliste für den Kernel aufnehmen und dann die /etc/shadow bearbeiten.

Alternativ die Festplatte im Rescue-System einbinden und /etc/shadow bearbeiten.

Das wird dir allerdings nur bedingt etwas bringen, denn der Angreifer kommt über die vorhandene Lücke jederzeit wieder auf das System. Daher: Daten sichern und das System neu aufsetzen.

Wenn der Server gehackt wurde musst Du ihn eh plätten. Dann kannst Du ja ein neues vergeben und Dir Gedanken über eine sichere Konfiguration machen...


Kreol

john

Dazu brauchst Du aber Leserechte für die /etc/shadow und die hast Du aus gutem Grund normalerweise eben nicht.

Grüße.
craano

Bei vorhandener serieller Konsole: "init=/bin/sh" im Bootloader in die Parameterliste für den Kernel aufnehmen und dann die /etc/shadow bearbeiten.

Alternativ die Festplatte im Rescue-System einbinden und /etc/shadow bearbeiten.

Das wird dir allerdings nur bedingt etwas bringen, denn der Angreifer kommt über die vorhandene Lücke jederzeit wieder auf das System. Daher: Daten sichern und das System neu aufsetzen.Als berechtigter User und mit physikalischem Zugriff kann man auch mit der von Dir genannten Option booten und einfach mit "passwd" ein neues root-pw setzen.

Von aussen braucht man halt das root-pw, zum einen zum Ändern des Bootloaders zum anderen um passwd auszuführen bzw. die /etc/shadow zu editieren. In Anlehnung an craano: "Und das ist auch gut so". Hoffen wir mal, daß die Sicherheitslücke von Bad Soldier nicht auch noch so weit gegangen ist :ugly:


Kreol

Ich hab ja garkein zugriff auf irgentwas ich steh eigentlich leer da ohne irgentwas im grunde bezahle ich für den root und kann ihn nicht nutzen

Dann schalte ihn (über den ISP) schnellstmöglich ab und mach Dir dann Gedanken, wie Du ihn neu und sicher aufsetzt. Zur Zeit hältst Du den Kopf dafür hin, was der Server macht ohne das zu wissen oder zu kontrollieren...

Also mir wäre da sehr mulmig...


Kreol

Ich denke ich werd wohl doch ne Supportmail schreiben müssen das die den Server abschalten und neu aufsetzen!! Thx für eure Hilfe auch wenns nich viel gebracht hat !!

Mfg

Bei welchem anbieter bist Du? Meist kann man einen server über eine Webseite neu initialisieren... Sonst würden jeden Tag hunderte Kunden mails wegen sowas schreiben...

mfg
cane

Hat sich gerade geklärt weiss nicht wiso aber das alte Rootpw funktioniert wieder und werde jetzt mal den Server ein bisschen sichern.

Thx für eure Hilfe auch wenns nich viel gebracht hat !!Du verstehst wirklich immer noch nicht, worum es hier geht, oder?

Du bist Inhaber eines Rootservers, den Du nicht kontrollierst. Gleichwohl bleibst Du für alles, was von diesem Server ausgeht, verantwortlich. Und da ist ein Mißbrauch als Spamschleuder noch das Geringste.
Wenn derjenige, der gerade über Deinen Server verfügt strafbare Inhalte verbreitet bist Du dafür erst mal verantwortlich. Viel Spaß beim rausreden...

Und was da neben der strafrechtlichen Relevanz auch an zivilrechtlichen (Schadensersatz-)ansprüchen auf Dich zukommen kann ist noch eine ganz andere Frage...

Ein Server, der einmal korrumpiert worden ist, wird nicht mehr sicher werden, schon gar nicht, wenn man (wie ich jetzt mal unterstelle) davon keine Ahnung hat.

Die Empfehlung "Nimm ihn vom Netz, lerne und setze ihn neu und sicher auf" ist die einzig Hilfreiche.

Ganz abgesehen davon: Erwartest Du hier im Ernst eine Anleitung, wie man einen Server entert?


Kreol

Sagmal, bist du sicher, das man dich "gehackt hatte" oder war vielleicht doch nur Caps-Lock an ...?
Ein "plötzlich" wieder funktionierendes Passwort schreit ja geradezu danach. ;-)

Sagmal, bist du sicher, das man dich "gehackt hatte" oder war vielleicht doch nur Caps-Lock an ...?
Ein "plötzlich" wieder funktionierendes Passwort schreit ja geradezu danach. ;-)Pssst... Wenn Bad Soldier dieses Vorkommnis zum Anlaß nimmt, sich (endlich?) mit dem Thema "Rootserver und Sicherheit" zu beschäftigen ist es doch gut. Von Neu Aufsetzen hält er ja eh nichts, also...


Kreol

Pssst... Wenn Bad Soldier dieses Vorkommnis zum Anlaß nimmt, sich (endlich?) mit dem Thema "Rootserver und Sicherheit" zu beschäftigen ist es doch gut. Von Neu Aufsetzen hält er ja eh nichts, also...


Kreol


Ich denke eher, er sollte sich mit dem Thema "managed Server" beschäftigen...

gruesse
zara

Du verstehst wirklich immer noch nicht, worum es hier geht, oder?

Du bist Inhaber eines Rootservers, den Du nicht kontrollierst. Gleichwohl bleibst Du für alles, was von diesem Server ausgeht, verantwortlich. Und da ist ein Mißbrauch als Spamschleuder noch das Geringste.
Wenn derjenige, der gerade über Deinen Server verfügt strafbare Inhalte verbreitet bist Du dafür erst mal verantwortlich. Viel Spaß beim rausreden...

Und was da neben der strafrechtlichen Relevanz auch an zivilrechtlichen (Schadensersatz-)ansprüchen auf Dich zukommen kann ist noch eine ganz andere Frage...

Ein Server, der einmal korrumpiert worden ist, wird nicht mehr sicher werden, schon gar nicht, wenn man (wie ich jetzt mal unterstelle) davon keine Ahnung hat.

Die Empfehlung "Nimm ihn vom Netz, lerne und setze ihn neu und sicher auf" ist die einzig Hilfreiche.

Ganz abgesehen davon: Erwartest Du hier im Ernst eine Anleitung, wie man einen Server entert?


Kreol
Ja ich bin mir im Klaren, dass wenn was passiert das ich der gearschte bin und ja der Root war gehackt bzw. das rootpw wurde geändert!! Der root ist wieder in meiner Kontrolle und werde heute was dagegen machen das so etwas nicht noch einmal passiert!! Am ende ist es meine Sache was mit dem Root passiert und was nicht und ihr brauch mich nicht gleich dumm anzumachen und meinen das ich das auf die leichte Schulter nehme denn das tuh ich nämlich nicht.


Mfg Bad Soldier

Am ende ist es meine Sache was mit dem Root passiert und was nicht und ihr brauch mich nicht gleich dumm anzumachen und meinen das ich das auf die leichte Schulter nehme denn das tuh ich nämlich nicht.


Wenn am Ende Massenweise Spam von diesem Server in meinem Postfach landet ist es sicher nicht mehr nur deine Sache.

Gruß,
Ace

Der root ist wieder in meiner Kontrolle und werde heute was dagegen machen das so etwas nicht noch einmal passiert!!
Ah. Und du bist gut genug, um sämtliche Hintertüren, die sich da so einbauen lassen, verläßlich zu entdecken und auszuschalten?
Dann verdienst du wahrscheinlich im 3stelligen Tausenderbereich in deinem Job als IT Security consultant - da kann man sich die eine oder andere Klage schon mal leisten.


Am ende ist es meine Sache was mit dem Root passiert und was nicht und ihr brauch mich nicht gleich dumm anzumachen und meinen das ich das auf die leichte Schulter nehme denn das tuh ich nämlich nicht.
Wenn von deinem Server aus Spam an mich verschickt wird, oder mein Rechner angegriffen wird, ist das sehr wohl nicht nur dein Problem.
Wenn du also die Sache nicht auf die leichte Schulter nehmen willst, setz' den Server einmal neu und sauber auf. Was da wer rumgebastelt hat, während du ihn nicht sehen konntest, ist im Nachhinein (fast) nicht mehr rauszubekommen.

Bei so Kerlchen wie dir würde ich am liebsten jede IP die ich über Spams/Bruteforce Attacken herausfinden kann anzeigen.

Verdient hättest du es meiner Meinung nach!

Ganz abgesehen davon: Erwartest Du hier im Ernst eine Anleitung, wie man einen Server entert?


Kreol
Den Eindruck hatte ich schon, als ich die Überschrift gelesen hatte, und er hat sich auch bis jetzt nicht verflüchtigt. Dummerweise (oder glücklicherweise) sind aber die Leute, die hier schreiben, nicht so unbedarft, dass sie eine solche Anleitung mal eben raustun.

Also mal so ganz unter uns: ein bisschen schräg sieht das ja schon aus, erst PW geknackt, dann kein Zugang zum Server, aber nicht den Support anmailen, und auf einmal, hokus pokus, ist das PW wieder da und tut es auch. Ja, so ist das Leben, hart aber ungerecht.

Kann die Forumsleitung denn dieses Thema dann mal schließen?