Ubuntu 12.04 - Idegen belépett a gépembe!!!

 ( peachman | 2012. október 17., szerda - 17:01 )

Valami fura módon az ubuntu 12.04 az eddigi jelszóval nem enged belépni. Nincs hozzá más GUI, csak az openbox. Hogyan történhetett ez és hogyan tudnám visszaállítani a felhasználó és root jelszavát?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Kijavítanom a hibát közben sikerült safe módban.

mount -rw -o remount /
passwd root

Inkább az érdekelne, hogy miként történhetett ez meg?

cat /var/log/auth.log
cat /var/log/syslog

Nézem, de sokat nem mondanak az adatok.
Mondjuk ezt találtam: 94-52-91-58.next-gen.ro

:))

+1

Nos, közben kiderült a bash history-ból, hogy valaki belépett a gépembe és letöltött rá dolgokat, telepített, stb.
Valami védelem kellene, hogy ez legközelebb ne történhessen meg.
Nem vagyok nagy guru, csak alap dolgokat telepítettem rá. Valami tűzfal gondolom nem ártana.

Ha kinnt vagy a neten, akkor eleve ne legyen root user, használj sudo-t, felhasználónak meg vmi cakkosabbat. Mondjuk egy iptables nem árthat. :)
Vagy netezz router mögül.

Router mögött vagyok. Azt csinálta az illető, ahogy kivettem, hogy valahogy meg tudta oldani, hogy wget-el letöltött valamit a gépemre és abban a csomagban brute force módszerrel elkezdett próbálkozni. Van a csomagban egy passlist és abban benne van az én user:pass kombóm is.
Sudo-val szoktam terminálon dolgozni. A root-ot hogyan tudom eltüntetni?

IPtables kelleni fog. Gyakorlatilag elég lenne, ha egytlen gépről/IP-ről fogadna el a terminál kapcsolatot.

Hát azt hiszem én offline újrahúznám a gépet! Majd erősebb jelszóval védeném. Az ssh portot feljebb tolnám valahova, a szolgáltatásokat minimalizálnám, ill. netfilterrel védeném, valamint a fail2ban is bejeátszhatna.

Ha elemezni akarod mi történt akkor metés a fentiek előtt a gépről!

c

Online újrapakoltam az alaprendszert ubuntu 12.04 minimal cd-ről.
Egyelőre csak ssh van feltelepítve, de megy rá lirc, xbmc, samba, transmission-daemon, fglrx ati driver.
Azt a csomagot amit wget-el letöltött azt elmentettem, de sajnos a bash history-t már kitöröltem.
Szerencsére csak filmek és pár átlagos fotó volt most a gépen.

Segítség kellene a biztonság beállításában.

1. hogyan tegyem más portra az ssh-t
2. szeretném, ha csak a laptopomról (ip v. mac alapján) fogadna el az ssh kapcsolatot
3. valahogy a portokat is zárni kellene, csak az legyen nyitva ami tényleg kell

Az továbbra sem fér a fejembe, hogy hogyan tudott bármit telepíteni az előtt, hogy próbálgatta volna a felhasználó jelszavát. Esetleg a root-nak van valami alap jelszó beállítva telepítés után?

Ubin asszem ubin nincs root... Próbálj vmi bonyásabb user nevet.

Vmi portscant végigfuttathatnál az ip-dre, mi van még nyitva?
Portot az sshd_configban állíthatsz, de ez sokat nem számít.

Nem tudom van-e root alapban vagy van csak használaton kívül, de a sudo passwd root paranccsal be tudtam állítani neki egy elég komoly jelszót.

Csak saját megnyugtatásomra átállítom valami más portra.

Átrakhatod más portra, de ne nyugodj meg. Nem lesz semmivel se jobb.

A routeren csinálj port forwanrdot mondjuk 9747-es wan oldali portot továbbítsd a lan oldalon a te géped-ipcime:22-es portra. Így az SSH-t távolról a kliensben a 9747-es prtra kell küldened.
De ez csak idő kérdése míg megtalálják.
Jó lenne azt is tudni, hogy melyik web-oldalról nyelted be a kapu nyitó fertőzést!
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

Sajnos már letöröltem az egész HDD-t, de a csomagot magát átmentettem. Ha érdekel valakit feltehetem valami ingyenes tárhelyre, ha mondtok valamit. Bár ha rossz kezekbe kerül ...

Amúgy nem fontos elérnem az ssh-t kívülről. Csak egy itthoni média lejátszó torrentel.

Annyira sajnálom h töröltem a bash history-t. Esetleg valami undelete nem tudja visszahozni?

Az jó lenne ha feldobnád, meglesném.

1. /etc/ssh/sshd_config releváns sora.
2. valahogy így:

/sbin/iptables -A INPUT -p tcp --destination-port "ssh_portod_amit_fentebb_beállítottál" -m mac --mac-source "MAC_címed (00:00:00:00:00:00 formában)" -j ACCEPT
Persze legyen az alapértelmezés az input láncon DROP

/sbin/iptables -P INPUT DROP

3. iptables szabályokat felveszed.

iptables-persistent csomag esetleg jó lehet, de mindenek előtt olvass
iptables howto-kat.

Biztos van ubuntu alatt valamilyen kattogtatós megoldás is, de én nem ismerek olyat.

c

Nem használok GUI-t, jó lesz ez. Megpróbálom beállítani, ahogy írtad.

ufw: https://help.ubuntu.com/community/UFW

sudo ufw enable
sudo ufw limit SSH_PORT/tcp

Szerk.:
Illetve a /etc/default/ufw-ben az IPV6=no beállítása meggondolandó.

♲♻♲

Egyszerűnek tűnik. Köszönöm, kipróbálom.

Még egyfail2ban is meggondolandó... 2 próbálkozás/ip, utána 60 perc ban az adott ip-re. Ezzel pöppet be lehet lassítni a dolgokat. :)

Ötletes, ezt is ráteszem. :) Bár example-t hirtelen csak iptables-hez talaltam, de gondolom ufw alá is megoldható.

Azt gondolom, hogy az ufw és a fail2tab is az iptables-t használja elfedve annak nem teljesen egyszerű voltát. A fail2ban egy automatizmust visz be az iptables használatába úgy, hogy a sikertelen kisérletekről a logokból értesül figyelemmel kísérve annak tartalmát. Ha egy adott címról a kisérletek száma meghaladja a beállított értéket akkor jön a tiltás bizonyos időre.

c

Értem. Akkor az ufw egy frontend az iptables-nek. Vagyis az example amit találtam fali2ban-hoz az iptables-t használhatja nyugodtan. Szuper. Már ma este rengeteget tanultam.

Nem tudom elhangzott-e, de fontold meg a pubkey-only authentikaciot SSH-n. Ilyenkor jelszoval egyaltalan nem is lehet belepni, csak a privat kulcsoddal, amit ugy kell vedened, mintha a legbecsesebb testreszed volna. Ilyenkor elmehet a busba a brute-force modszerrel.

Az utolso kerdesedre: fogadok, hogy nem napi szinten telepitetted a frissiteseket.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

iptables+ssh+opie. Akkor nehezebben jönnek be, esetleg az ssh portot áttenni valahova máshova.

Nem. Engem a next-gen.ro román szolgáltató hálózatából talált be valaki.

Jaja, tényleg Molnár F. Árpád kategória. Össze kellene őket hozni egy közös videóra...

"anyád tudja, hogy ilyen vagy?.." :D

Itt látható az úriember, akinek 500M USD értékű jogvédett adat van a nevén, de épp munkát keres és lehallgatják a hotmailes emailjeit is...

"és lopják a fizetési felszólításokat!"

Köszi, hogy megosztottad, tanulságos, megrázó és elkeserítő.
(Állítólag megint lesz valami hasonló az OPNI helyett, kiderült, hogy mégis kár volt bezárni..)

subs.

[Feliratkozás]

+1

+1

+1

----------
Az Örömtündér minden évben ellátogat a Földre és akit megérint a pálcájával az Boldog lesz! De esetleg az is megtörténhet, hogy kiveri belőled még a sz*rt is... (by radcsong)

Cozi, zolpet : nem értem amit írtatok

Feliratkoztunk, hogy értesüljünk az új hozzászólásokról (subscribe, rövidítve).

És tényleg ... thx.

+

hálózati kapcsolatod ?:
vezetékes, wifi
mobilnet
dsl-pppoe

Digi LAN 80/25 Mbit (96/70Mbit) PPPOE

eleve tiltom, hogy ssh-ra jelszoval be lehessen lepni. csak kulcs.

Nos jelenleg ott tartok, hogy:

1. Root jelszó beállítvan elég meredekre
2. User név nem szokásos és a jelszó sem egyszerű
3. iptables-ben minden bejövő port tiltva ufw segítségével, kivétel ssh, transmission portja, samba szolgáltatás
4. ssh port áthelyezve 22-ről másikra (nem tudom van-e nagyon értelme)
5. Router-en nincs forwardolva az ssh portja

Amit még szeretnék megcsinálni, a fail2ban + iptables, hogy ip alapján bannoljam a 3. próbálkozás után az ssh-ról a behatolót.
Sajnos azonban szerintem nem működik a fail2ban. 3 helyett 6 próbálkozást enged és csak megszakítja a session-t, nem bannol.

/etc/fail2ban/jail.conf
[DEFAULT]
ignoreip = 127.0.0.1/8
bantime = 120
maxretry = 3

[ssh]
enabled = true
port = 11630
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
banaction = ufw-ssh

/etc/fail2ban/action.d/ufw-ssh.conf
[Definition]
actionban = iptables -I fail2ban- 1 -s -j DROP
actionunban = iptables -D fail2ban- -s -j DROP

/etc/fail2ban/filter.d/sshd.conf létezik eredeti állapotában, ahhoz nem nyúltam.

én eddig csak egyet nem értek (lehet, hogy leírtad, csak elkerülte a figyelmem). minek a rootnak jelszót adni?

az ssh deamon-nak még megadnék egy DenyUsers root-ot (ha nincs, nem tudom mi a default) illetve a kulcs alapú bejelentkezést nem árt megfontolni.

Mert gondolom alapból telepítés után be volt kapcsolva. Persze, lehet h ubuntu-n nem így van, még nem értek hozzá ennyire, de úgy tudom debian alatt igen. Ezért inkább megadtam neki valamit.

Előfordulhat olyan eset, hogy szükségem van ssh-ra kívülről. Ezért jobb lenne a login/pass páros.

ha olyan helyen mész fel ahol nem biztonságos a pubkey auth akkor a login/pass sem (keylogger).

ubuntu-n ki van ütve:

root:!:14332:0:99999:7:::

Sambat biztos ki akarod engedni?
Ha fent van ssh, tudsz hasznalni scp-t. Esetleg ha fontos a samba, talan tunnelen keresztul is elerheto.

--
My gold plated butt-plug business is being sued by Apple.
Apparently they have a patent for overpriced crap for arseholes.

Samba kell a lokális hálón. Router-en nincs kiengedve.

Én a helyedben nem engednék be kintről ssh-t. Ha olyasmi kell, akkor azt jobb otthon elvégezni, mint telefonról public wifin bessh-zni. A többihez webes ui.

-----------
"640GB sokmindenre elég"

Inkább fordítva. Webes UI-t semmit, SSH-t engedni inkább kulccsal, és ha kell a web UI, akkor tunelezzen haza és csináljon port forward-ot.

en a samba-t sem igazan ertem...
De ha mar el akarod erni mashonnan:
egy vpn-t rakni a routerre (openvpn pl) es annak egy olyan portot megadni, mint pl a 443 tcp-n kommunikaltatni. a tuzfalon csak 443-at beengedni.
igy ra tudsz latni a routerre tavolrol (mintha mogotte lennel) latod a mogottes halozatot, es nyugodtabb vagy.

de ha a routerre nem tudsz vpn servert tenni akkor egy mogotte levore fel tudsz. a router meg iranyitsa a fenti portot a vpn server fogadojara.
a ssh root logint meg titsd le, es felejtsd el a root jelszot, ha nem muszaly vmi ok miatt, kulonben sudo su -
es mint fentebb mondtam csak kulcsos bejelentkezest engedelyezz.

de egy fontos dolog, miutan betortek a gepedre. valtoztass mindenhol jelszot. es ne egyformara! talakoztam mar en is olyan progival, ami megjegyezte a beutott jelszot (de nem a keyt) es elkuldte az emailt egy yahoos cimre (datum, cim, usernev, jelszo formaban) es azt is elkuldte, ha onnet tovabbment vki (hasonlo adatokkal). ezert kell jelszot valtoztatni es keyt hasznalni.

látom sokak említették, hogy ubuntun nincs root user, nos, ez nem igaz, van user, csak a jelszava üresjelszó, persze aki akarja, beállíthat neki. Sudo-zás véleményem szerint csökkenti a biztonságot, állíts be rootjelszót + sshd_configban "permit root login no" is legyen, de persze még jobb ha kulcsos auth is van ;) értelemszerűen a te useredre, ha root-ot kitiltod közvetlen ssh-n

--
"'The time has come,' the Walrus said"

Nem ures jelszo, hanem _le van tiltva_, _nem tud belepni_. Borzalmas nagy kulonbseget jelent a ketto!

A sudo-zas pedig szerintem noveli a biztonsagot - ha nem NOPASSWD -t hasznal, foleg kulcsos auth mellett. Igy ha meg el is lopjak a kulcsat, akkor is fel kell nyomniuk egy - remelhetoleg - minel hosszabb, bonyolultabb es veletlenszerubb jelszot.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Szia!

Nem tiszta ez még nekem teljesen, sok mindet csak kikövetkeztettem! Tehát volt nyitott ssh portod(?)! (Kellett, mert valahol be kellett jönni shell-ig) Ott letöltött egy programot amivel root jelszó meglett. Ez akkor mér csak eszköz, hiába van meg sokra nem mész vele.
Szerintem itt a kérdés az hogy hogy jött be! Volt jelszó nem root usereden? Router mögött levő gépre hogy tudott bejönni ssh-n?! Alap router beállításoknál ált. tiltva szokott lenni minden. Te nyitottal ssh-nak direkt portot?! Vagy netan routered van megtörve és azon át(/abba ment először) jött be hogy "nézdmar halón vagy egy gép, oszt még jelszava sincs..lessünk már be rá hátha kierőszakoljuk belőle a root jelszót"...szóval van még pár kérdés:

-Milyen router?! (firmware?!)
-Portok voltak általad nyitva, vagy pl gyári def. beállítások figyeltek rajta (amin ált. zárt minden port)
-Felhasználódnak volt jelszava?

Juteszembe okkulásként azt a hátrahagyott pass filet, amiben a te jelszavad is benne volt feldobhatnád valahova ;) pl pastebin.

De gonosz vagy.... :D
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Jó az ő jelszavát kiveheti ;) (amúgy tényleg kiváncsi vagyok mivel próbálkoznak)

Routeren forwardolva volt a 22-es port az ssh felé és még 1-2 port torrentnek, stb..
Volt jelszó a userhez, bár elég egyszerű sajnos.
Root-nak nem volt beállítva semmi. Hogy ez üres jelszót jelentett vagy kikapcsolt Root-ot nem tudom. Csak fel lett telepítve egy alaprendszer ablakkezelő nélkül.
Nem volt iptables konfigolva.

Gyakorlatilag tárt kapuk voltak egy folyamatosan működő letöltőgép esetén.
Valószínűleg portscan elárulta a nyitott portokat, passfile-ban lévő user:pass kombinációkat végigfuttatta és belépett. Aztán ott letöltötte a gépre a gzip-et, amiben benne van minden ami kellett neki. Többek között a passfile és portscan is, de még pár program. Aztán telepített még 1-2-t, majd távozott.

passfile eltéve emlékbe. :-D

Nah így már tiszta! Köszi a felvilágosítást :)

Akkor minden kezd sinen lenni. Végülis tök mind1 hogy nézzük, "kikapcsolt" vagy üres root jelszó. Bement userrel..onnan már könnyű dolga volt.
Kicsit birizgálja még a fantaziám az az 1-2 program!;) Rájöttél mik azok? Régen ugye szerettek irc botokat tenni gépre, manapság zombie hálóba kell a gép pl...ddos-hoz..stb.

VPN jó dolog, nagy +1 az előttem szólónak! Én is ajánlom inkább, mint a nyitott portok.

Nem értek a VPN-hez. Egyelőre tanulgatom a linux-ot még. Programokra nem jöttem rá mik lehetnek, de egy screen nevezetűt telepített a gépemre és az is benne van a csomagba. Portscan2 c forráskód is van, de lefordítva is benne. Majd később kielemzem. Most az ssh kulcs használatot próbálom összehozni, de még nem sikerül, kifog rajtam. Addig ssh nincs is forwardolva, kívülről nem elérhető.

A screen nem gázos, énis használom rendszeresen (bár közelsem annyit mint a régen, amikor még irc-ztem, és ebben voltak a csatik megnyitva :)).
http://www.gnu.org/software/screen/
Minden distronak alap része. Fenti linken olvashatsz róla bővebben.
(röviden: nagy előnye hogy "megszakítható" a shell, és bármikor visszatérhetsz hozzá, az fut a háttérben, és benne a program is)

"screen nem gázos"

Szerintem sem.
screen -ls
a detached screenekre:
screen -r

Franc tudja, hány screen fut/futott és azokban mi történik/történt.

Szerk.: Ez is bizonyíték lehet arra, hogy egy default Linux nem megfelelő kezekben sokkalta veszélyesebb és sérülékenyebb, mint egy Windows. (Nem akarok hitvitát nyitni, egyiket sem utálom jobban, mint a másikat)

-----------
"640GB sokmindenre elég"

+1

Az attached screen-ekre: screen -dr.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Sikerült összehoznom azt hiszem az ssh kulcs alapú belépést.
Win-ről Putty-t használok és nem sikerült az elején a pirate_key-t használnom vele.

1. Puttygen-el készítettem egy kulcsot, amit elmentettem ppk fájlba.
2. Ezt a kulcsot bemásoltam a /home/user_nev/.ssh/authorized_keys fájlba.
3. Kikapcsoltam az sshd_config-ban a jelszavas belépést.

Ennyi lenne?

Biztosan jól állítottad be a pirate keyt?

Ügye a kulcspár publikus felét másoltad a szerveredre?

c

Persze. A puttygen azt ki is jelöli ctrl+c/ctrl+v másolásra, a private key pedig kerül ppk fájlba amit használ.
Ez így rendben akkor?
Be is lép szépen, csak logint kérdez. Illetve a szokott módon login/pass kombóval nem enged.
Kikapcsoltam ssh-ban a root-ot is.

Az normális ilyenkor, h logint kérdez. :)

Nem normális. Viszont az ssh háklis a könyvtárak és a fájlok elérési jogaira. Ha túl sok nem használja. Meg kell nézni a logot.

Jogos, hamut szórok a fejemre, nem kérdez.

Csak a puttyban kell belőni az alapértelmezett felhasználónevet, és máris nem kérdez. Amúgy kell kérdeznie, mivel nem tudja kinek a nevében kell a kulcsot küldeni...

pirate_key
lol.

Ha jól csinaltad, akkor felhasználó nevét kér, majd ha talál jó kulcsot, akkor beenged vagy ha nem akkor elhajt. No other authorization method available szerű üzenettel. Mellesleg rakd át az ssh portjat 1000 fölé ott a botok nem keresik (egyenlőre).
Pl. Port 2222 a konfigban

Inkabb legyen valami random, pl 2597... Es nem 1000 hanem 1024 fole. onnet mennek a nonprivileged portok.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

ssh-nak legyen inkább 2223.
Ha mi futtatunk egy portscant a cégnél, akkor a 2222 is benne van az alap keresett portok között. Ha nem a 22-es porton figyel az ssh akkor az esetek 95%-ban a 2222 lesz az :)

Ha nem, akkor meg erdemes 2200-2399 kozt scannelni, mert a maradek 5%-bol 3-ban ott van.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

subs
"a vegtelenbe es tovabb..."

df -h

(szerintem csak elfogyott a helyed, akkor is ez tünet)*

* nem olvastam végig a hozzászólásokat