PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : LOGIN trotz rootpasswortänderung



trust_m
07.07.02, 01:50
hallo leute...

hab da ein kleine sproblem. habe mich vor kurzem von meinem techniker getrennt, da er angefangen hat zu schludern...;)

habe auch entsprechend das root passwort vom server geändert, und musste leider feststellen, dass der techniker sich trotzdem noch als root auf der maschine per ssh einloggen kann.

natürlich habe ich ihn sofort zur rede gestellt, und er meinnte nur ich sollte mich mit SSH Key Exchange ausseinandersetzten.

leider komme ich da irgendwie nicht weiter...

habt ihr eine idee wie ich das verhindern kann?

wie gesagt, ich habe das root passwort geändert, und komme selbst nur
noch mit dem neuen rein...

danke vorab!

corresponder
07.07.02, 02:13
und was für ne distribution ?

trust_m
07.07.02, 04:19
da ist RedHat drauf!

trust_m
07.07.02, 04:25
System Linux porky.devel.redhat.com 2.4.5-7smp #1 SMP Tue Jun 26 14:19:49 EDT 2001 i686 unknown
Build Date Aug 27 2001
Configure Command './configure' 'i386-redhat-linux' '--prefix=/usr' '--exec-prefix=/usr' '--bindir=/usr/bin' '--sbindir=/usr/sbin' '--sysconfdir=/etc' '--datadir=/usr/share' '--includedir=/usr/include' '--libdir=/usr/lib' '--libexecdir=/usr/libexec' '--localstatedir=/var' '--sharedstatedir=/usr/com' '--mandir=/usr/share/man' '--infodir=/usr/share/info' '--prefix=/usr' '--with-config-file-path=/etc' '--disable-debug' '--enable-pic' '--disable-rpath' '--enable-inline-optimization' '--with-apxs=/usr/sbin/apxs' '--with-bz2' '--with-curl' '--with-db3' '--with-dom' '--with-exec-dir=/usr/bin' '--with-gd' '--with-gdbm' '--with-gettext' '--with-jpeg-dir=/usr' '--with-mm' '--with-openssl' '--with-png' '--with-regex=system' '--with-ttf' '--with-zlib' '--with-layout=GNU' '--enable-debugger' '--enable-ftp' '--enable-magic-quotes' '--enable-safe-mode' '--enable-sockets' '--enable-sysvsem' '--enable-sysvshm' '--enable-track-vars' '--enable-yp' '--enable-wddx' '--without-mysql' '--without-unixODBC' '--without-oracle' '--without-oci8' '--with-pspell' '--with-xml'

BeaTtheMeaT666
07.07.02, 04:27
bist du ganz sicher, daß der sich direkt über ssh als root anmeldet ?

ich meine nur, wenn du dich von ihm "getrennt" ;) hast is der vielleicht sauer und hat ein hintertürchen eingebaut (rootkit oder so)

trust_m
07.07.02, 04:32
hm... das mit dem hintertürchen wäre möglich...

als er sich eingeloggt hat, sah der eintrag unter /var/log/messages genauso aus, als wenn ich mich selbst als root über ssh einlogge.

soll ich mal nach irgendetwas bestimmten suchen?
ein laufender prozess, der da nix zu suchen hat oder sowas?

immerhin hat er noch nix böses angestellt, aber ich will da kein risiko eingehen.

danke schonmal..;)

BeaTtheMeaT666
07.07.02, 04:46
hmmm,

hab selbst keine große erfahrung mit rootkits, aber wenn dein techniker vorher root-access hatte, is wohl einiges möglich :confused:

ich würd auf jeden fall erstma sämtliche log-files im auge behalten und evtl. ein bischen sniffen, aber dazu würd ich mal nach verschiedenen rootkits suchen und gucken, wie die so funktionieren....

mehr kann ich jetzt auch net dazu sagen, is ja auch schon spät/früh ;)

ach ja: für die zukunft solltest du vielleicht "tripwire" installieren, das überwacht gravierende änderungen in wichtigen system-dateien, aber bringt halt nur was vor einem angriff........


n8 !

carpe noctem !

muchmarc
07.07.02, 07:27
solltest du dir wirklich ein Rootkit
eingefangen haben, dann schau dir
die iX von Juli 2002 an. Da ist
ein umfassender Artikel über Rootkits,
deren Erkennung und Beseitigung.
In der c't & iX kurz davor waren
ein paar kurze Artikel über Tripwire.

mfg
muchmarc

iX-Inhalt-link:
http://www.heise.de/ix/inhalt.shtml

aycaramba
07.07.02, 09:28
hey der benutzt höchstwahrscheinlich gar kein rootkit, sondern einfach nur Schlüssel. Guck Dir mal die Datei /root/.ssh/autorized_keys an, oder schau in der /etc/ssh/sshd_config nach dem Eintrag AuthorizedKeysFile (die Datei, die dort angegeben ist enthält die Schlüssel mit denen man sich OHNE Passwort einloggen kann). Wenn Du überhaupt nicht willst, dass dieses Verfahren genutzt wird ansonsten schalte es einfach in der /etc/ssh/sshd_config aus. (PasswordAuthentication yes --> no).

Gruss Marc

trust_m
07.07.02, 17:20
hm... ich glaube da kommen wir der sache schon näher;)

in der datei /etc/ssh/sshd_config ist folgende position zu sehen:

PasswordAuthentication yes

Kann ich hier also einfach nur aus dem yes ein no machen, und schon ist das Problem vom tisch?

hab nur ein bisschen angst mich selbst auszusperren, deshalb frag ich nochmal;)

übrigens sind im ordner /root/.ssh/ folgende zwei dateien zu finden:

authorized_keys known_hosts2

in beiden stehen auch die besagten schlüssel drinn. unter anderem ist hier auch eine mir sehr bekannte domain gefolgt von einem zeichenwirrwar zu finden. sieht aus wie die domain seines servers...

scheint so, alsob wir hier dem problem ziemlich nah wären;)


hier nocheinmal die kompletten einträge der sshd_config, denn vielleicht sind hier ja noch ein paar sachen nicht so wie sie sollten:



<---schnipp--->

Port 22
#Protocol 2,1
#ListenAddress 0.0.0.0
#ListenAddress ::
HostKey /etc/ssh/ssh_host_key
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
ServerKeyBits 768
LoginGraceTime 600
KeyRegenerationInterval 3600
PermitRootLogin yes
#
# Don't read ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes
StrictModes yes
X11Forwarding yes
X11DisplayOffset 10
PrintMotd yes
#PrintLastLog no
KeepAlive yes

# Logging
SyslogFacility AUTHPRIV
LogLevel INFO
#obsoletes QuietMode and FascistLogging

RhostsAuthentication no
#
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
#
RSAAuthentication yes
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes
PermitEmptyPasswords no

# Uncomment to disable s/key passwords
#ChallengeResponseAuthentication no

# Uncomment to enable PAM keyboard-interactive authentication
# Warning: enabling this may bypass the setting of 'PasswordAuthentication'
#PAMAuthenticationViaKbdInt yes

# To change Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#AFSTokenPassing no
#KerberosTicketCleanup no

# Kerberos TGT Passing does only work with the AFS kaserver
#KerberosTgtPassing yes

#CheckMail yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net
#ReverseMappingCheck yes

Subsystem sftp /usr/libexec/openssh/sftp-server

<--schnapp--->

nochmal danke für eure hilfe;)

aycaramba
07.07.02, 17:30
Ups sorry, das war ein Fehler meinerseits:

Auf keinen Fall "PasswordAuthentication" auf no setzen.

Der Eintrag, den ich meinte nennt sich "PubkeyAuthentication", den kannst Du auf no setzten und dann den sshd neustarten.

Damit wäre ein Login mit Schlüsseln nicht mehr möglich.

Die Datei /root/.ssh/authorized_keys deutet darauf hin, dass der Kerl dieses verfahren benutzt, und übrigens auch in der Lage ist das root-pw zu ändern. Also die Datei solltest Du ebenfalls entfernen.

Wenn Du allerdings Schlüssel zum Anmelden nutzen möchtest solltest Du nur diese Datei entfernen und nicht den Eintrag in der Konfigurationsdatei ändern.

Nach den Änderungen solltest Du überprüfen, ob die andere Person noch eingeloggt ist und seine Sitzung(en) killen. Danach empfiehlt es sich ein weiteres Mal das root-pw zu ändern.

Welche Version des SSH-Daemon nutzt Du denn ?


Gruss

Marc

trust_m
07.07.02, 18:19
hm.. war ja klar, dass es nicht einfach wird;=))))

also leider finde ich in der sshd_config keine zeile die PubkeyAuthentication beinhaltet...? weder yes noch no... auch nicht auskommentiert...

mir wäre am liebsten, wenn man die ganze key geschichte komplett ausschalten könnte, denn ich kann den kram ja eh nicht nutzen.

mich irritieren hier diese ganzen dateien:

inhalt aus dem ordner /etc/ssh/

primes
sshd_config
ssh_host_dsa_key.pub
ssh_host_key.pub
ssh_host_rsa_key.pub
ssh_config ssh_host_dsa_
key ssh_host_key
ssh_host_rsa_key

inhalt aus dem ornder /root/.ssh/

authorized_keys
known_hosts2

wie gesagt, in der authorized_keys ist eine ewig lange zahlenfolge in einer zeile

und in der known_hosts2 sind insgesamt drei domains drinn, die jeweils von einer zahlenbuchstabenkombi gefolgt werden. alle drei domains sagen mir auch was... zwei davon stammen von meinen anderen zwei servern, und eine davon ist von dem alten techniker

wie gesagt, mir wäre es am liebsten, wenn mann sich nur noch auf die ganz normale art und weise als root und mit dem entsprechenden passwort auf dem server einloggen könnte - der ganze key kram kann kommplett deaktiviert werden.... weiss eh nicht wofür das gut sein soll?

danke für die hilfe - jetzt komme ich wenigsten mit großen schritten weiter - google alleine hilft auch nicht weiter;))))

trust_m
07.07.02, 18:20
sshd version OpenSSH_2.9p2

aycaramba
07.07.02, 18:23
und welche RedHat Version ? Eventuell könntest Du den SSH Daemon selbst ebenfalls updaten, dort gab es in letzter Zeit einige Sicherheitspatches...

Marc

trust_m
07.07.02, 18:33
da sit redhat 7.2 drauf...

ich weiss nur nicht genau, ob ich das mit dem update selbst hinbekomme??

aycaramba
07.07.02, 18:40
das ist nicht so schwer.

Lade Dir mal diese beiden Dateien (sind von einem offiziellen Mirror):

ftp://ftp-stud.fht-esslingen.de/pub/Mirrors/ftp.redhat.com/redhat/linux/updates/7.2/en/os/i386/openssh-3.1p1-6.i386.rpm
ftp://ftp-stud.fht-esslingen.de/pub/Mirrors/ftp.redhat.com/redhat/linux/updates/7.2/en/os/i386/openssh-server-3.1p1-6.i386.rpm

und update dann mit diesem Befehl Deine bestehenden Pakete:

rpm -Uvh openssh-3.1p1-6.i386.rpm openssh-server-3.1p1-6.i386.rpm

sollte dies ohne Probleme funktionieren kannst Du den sshd einfach neustarten. Ansonsten melde Dich halt nochmal. Wenn Du das nicht allein machen willst, dann schreib mir ne Mail, ich mache das dann wohl. Zudem könnte man evtl. ein paar Einträge in der Config abändern. Naja wenn Du möchtest, dann schreib mir einfach an marc-web@gmx.net.

Gruss

Marc

trust_m
07.07.02, 18:44
kling wirklich recht einfach;)

zudem ist das mit den rpm paketen eigentlich wirklich recht simpel!

wenn ich das update mache, sind dann automatisch alle alten einstellungen die der kerl mit dem ssh gemacht hat gelöscht???

auch die ganze key geschichte?

wenn ja, dann wir das wohl das beste sein, wenn nein, dann wäre es mir schon lieber, wenn sich das ein fachmann nochmal anscheun könnte;))

aycaramba
07.07.02, 18:53
Nein, manuelle Einstellungen, die gemacht wurden bleiben erhalten, nur dass die neue Version nicht bzw. nicht mehr so stark anfällig gegen exploits ist.

Marc

pcdog
21.04.03, 00:57
hey, schau mal unter /root/.ssh/
es gibt ein verfahren wo schlüssel generiert werden damit man kein passwort mehr eingeben muss
möglicherweise sind diese dort gespeichert.
das verzeichnis kannst du einfach löschen wenn du die known_hosts rettest und so gleich überprüfen solltest.....
(musst einfach alles bestätigen wie wenn du ein system neu installiert hast, solange biss er alle ssh-hosts kennt)

DaGrrr
21.04.03, 01:12
Hallo,

bei der ganzen sache habt Ihr eines Vergessen, wenn man den Verdacht hat, das jemand anderes im System herumwurschtelt:

Entweder das System vom Netz trennen und erstmal aufräumen (sicherste Methode) oder zumindest erstmal Port 22 (SSH) sperren, damit er sich nicht mehr einloggen kann.

Grüße
DaGrrr