Ubuntu 12.04 - Idegen belépett a gépembe!!!

Ubuntu Linux

Valami fura módon az ubuntu 12.04 az eddigi jelszóval nem enged belépni. Nincs hozzá más GUI, csak az openbox. Hogyan történhetett ez és hogyan tudnám visszaállítani a felhasználó és root jelszavát?

  • 9051 megtekintés

( peachman | 2012. 10. 17., sze – 18:14 )

Kijavítanom a hibát közben sikerült safe módban.

mount -rw -o remount /
passwd root

Inkább az érdekelne, hogy miként történhetett ez meg?

( peachman | 2012. 10. 17., sze – 20:07 )

Nos, közben kiderült a bash history-ból, hogy valaki belépett a gépembe és letöltött rá dolgokat, telepített, stb.
Valami védelem kellene, hogy ez legközelebb ne történhessen meg.
Nem vagyok nagy guru, csak alap dolgokat telepítettem rá. Valami tűzfal gondolom nem ártana.

Router mögött vagyok. Azt csinálta az illető, ahogy kivettem, hogy valahogy meg tudta oldani, hogy wget-el letöltött valamit a gépemre és abban a csomagban brute force módszerrel elkezdett próbálkozni. Van a csomagban egy passlist és abban benne van az én user:pass kombóm is.
Sudo-val szoktam terminálon dolgozni. A root-ot hogyan tudom eltüntetni?

IPtables kelleni fog. Gyakorlatilag elég lenne, ha egytlen gépről/IP-ről fogadna el a terminál kapcsolatot.

Hát azt hiszem én offline újrahúznám a gépet! Majd erősebb jelszóval védeném. Az ssh portot feljebb tolnám valahova, a szolgáltatásokat minimalizálnám, ill. netfilterrel védeném, valamint a fail2ban is bejeátszhatna.

Ha elemezni akarod mi történt akkor metés a fentiek előtt a gépről!

c

Online újrapakoltam az alaprendszert ubuntu 12.04 minimal cd-ről.
Egyelőre csak ssh van feltelepítve, de megy rá lirc, xbmc, samba, transmission-daemon, fglrx ati driver.
Azt a csomagot amit wget-el letöltött azt elmentettem, de sajnos a bash history-t már kitöröltem.
Szerencsére csak filmek és pár átlagos fotó volt most a gépen.

Segítség kellene a biztonság beállításában.

1. hogyan tegyem más portra az ssh-t
2. szeretném, ha csak a laptopomról (ip v. mac alapján) fogadna el az ssh kapcsolatot
3. valahogy a portokat is zárni kellene, csak az legyen nyitva ami tényleg kell

Az továbbra sem fér a fejembe, hogy hogyan tudott bármit telepíteni az előtt, hogy próbálgatta volna a felhasználó jelszavát. Esetleg a root-nak van valami alap jelszó beállítva telepítés után?

A routeren csinálj port forwanrdot mondjuk 9747-es wan oldali portot továbbítsd a lan oldalon a te géped-ipcime:22-es portra. Így az SSH-t távolról a kliensben a 9747-es prtra kell küldened.
De ez csak idő kérdése míg megtalálják.
Jó lenne azt is tudni, hogy melyik web-oldalról nyelted be a kapu nyitó fertőzést!
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

Sajnos már letöröltem az egész HDD-t, de a csomagot magát átmentettem. Ha érdekel valakit feltehetem valami ingyenes tárhelyre, ha mondtok valamit. Bár ha rossz kezekbe kerül ...

Amúgy nem fontos elérnem az ssh-t kívülről. Csak egy itthoni média lejátszó torrentel.

Annyira sajnálom h töröltem a bash history-t. Esetleg valami undelete nem tudja visszahozni?

1. /etc/ssh/sshd_config releváns sora.
2. valahogy így:

/sbin/iptables -A INPUT -p tcp --destination-port "ssh_portod_amit_fentebb_beállítottál" -m mac --mac-source "MAC_címed (00:00:00:00:00:00 formában)" -j ACCEPT
Persze legyen az alapértelmezés az input láncon DROP

/sbin/iptables -P INPUT DROP

3. iptables szabályokat felveszed.

iptables-persistent csomag esetleg jó lehet, de mindenek előtt olvass
iptables howto-kat.

Biztos van ubuntu alatt valamilyen kattogtatós megoldás is, de én nem ismerek olyat.

c

Azt gondolom, hogy az ufw és a fail2tab is az iptables-t használja elfedve annak nem teljesen egyszerű voltát. A fail2ban egy automatizmust visz be az iptables használatába úgy, hogy a sikertelen kisérletekről a logokból értesül figyelemmel kísérve annak tartalmát. Ha egy adott címról a kisérletek száma meghaladja a beállított értéket akkor jön a tiltás bizonyos időre.

c

Nem tudom elhangzott-e, de fontold meg a pubkey-only authentikaciot SSH-n. Ilyenkor jelszoval egyaltalan nem is lehet belepni, csak a privat kulcsoddal, amit ugy kell vedened, mintha a legbecsesebb testreszed volna. Ilyenkor elmehet a busba a brute-force modszerrel.

Az utolso kerdesedre: fogadok, hogy nem napi szinten telepitetted a frissiteseket.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

( peachman | 2012. 10. 17., sze – 21:45 )

Cozi, zolpet : nem értem amit írtatok

( bitvadasz | 2012. 10. 18., cs – 00:52 )

hálózati kapcsolatod ?:
vezetékes, wifi
mobilnet
dsl-pppoe

( gdavid v | 2012. 10. 18., cs – 08:11 )

eleve tiltom, hogy ssh-ra jelszoval be lehessen lepni. csak kulcs.

( peachman | 2012. 10. 18., cs – 08:33 )

Nos jelenleg ott tartok, hogy:

1. Root jelszó beállítvan elég meredekre
2. User név nem szokásos és a jelszó sem egyszerű
3. iptables-ben minden bejövő port tiltva ufw segítségével, kivétel ssh, transmission portja, samba szolgáltatás
4. ssh port áthelyezve 22-ről másikra (nem tudom van-e nagyon értelme)
5. Router-en nincs forwardolva az ssh portja

Amit még szeretnék megcsinálni, a fail2ban + iptables, hogy ip alapján bannoljam a 3. próbálkozás után az ssh-ról a behatolót.
Sajnos azonban szerintem nem működik a fail2ban. 3 helyett 6 próbálkozást enged és csak megszakítja a session-t, nem bannol.

/etc/fail2ban/jail.conf
[DEFAULT]
ignoreip = 127.0.0.1/8
bantime = 120
maxretry = 3

[ssh]
enabled = true
port = 11630
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
banaction = ufw-ssh

/etc/fail2ban/action.d/ufw-ssh.conf
[Definition]
actionban = iptables -I fail2ban- 1 -s -j DROP
actionunban = iptables -D fail2ban- -s -j DROP

/etc/fail2ban/filter.d/sshd.conf létezik eredeti állapotában, ahhoz nem nyúltam.

Mert gondolom alapból telepítés után be volt kapcsolva. Persze, lehet h ubuntu-n nem így van, még nem értek hozzá ennyire, de úgy tudom debian alatt igen. Ezért inkább megadtam neki valamit.

Előfordulhat olyan eset, hogy szükségem van ssh-ra kívülről. Ezért jobb lenne a login/pass páros.

( pityulaman1983 v | 2012. 10. 18., cs – 09:10 )

Én a helyedben nem engednék be kintről ssh-t. Ha olyasmi kell, akkor azt jobb otthon elvégezni, mint telefonról public wifin bessh-zni. A többihez webes ui.

-----------
"640GB sokmindenre elég"

en a samba-t sem igazan ertem...
De ha mar el akarod erni mashonnan:
egy vpn-t rakni a routerre (openvpn pl) es annak egy olyan portot megadni, mint pl a 443 tcp-n kommunikaltatni. a tuzfalon csak 443-at beengedni.
igy ra tudsz latni a routerre tavolrol (mintha mogotte lennel) latod a mogottes halozatot, es nyugodtabb vagy.

de ha a routerre nem tudsz vpn servert tenni akkor egy mogotte levore fel tudsz. a router meg iranyitsa a fenti portot a vpn server fogadojara.
a ssh root logint meg titsd le, es felejtsd el a root jelszot, ha nem muszaly vmi ok miatt, kulonben sudo su -
es mint fentebb mondtam csak kulcsos bejelentkezest engedelyezz.

de egy fontos dolog, miutan betortek a gepedre. valtoztass mindenhol jelszot. es ne egyformara! talakoztam mar en is olyan progival, ami megjegyezte a beutott jelszot (de nem a keyt) es elkuldte az emailt egy yahoos cimre (datum, cim, usernev, jelszo formaban) es azt is elkuldte, ha onnet tovabbment vki (hasonlo adatokkal). ezert kell jelszot valtoztatni es keyt hasznalni.

( mr shadow v | 2012. 10. 18., cs – 13:45 )

látom sokak említették, hogy ubuntun nincs root user, nos, ez nem igaz, van user, csak a jelszava üresjelszó, persze aki akarja, beállíthat neki. Sudo-zás véleményem szerint csökkenti a biztonságot, állíts be rootjelszót + sshd_configban "permit root login no" is legyen, de persze még jobb ha kulcsos auth is van ;) értelemszerűen a te useredre, ha root-ot kitiltod közvetlen ssh-n

--
"'The time has come,' the Walrus said"

Nem ures jelszo, hanem _le van tiltva_, _nem tud belepni_. Borzalmas nagy kulonbseget jelent a ketto!

A sudo-zas pedig szerintem noveli a biztonsagot - ha nem NOPASSWD -t hasznal, foleg kulcsos auth mellett. Igy ha meg el is lopjak a kulcsat, akkor is fel kell nyomniuk egy - remelhetoleg - minel hosszabb, bonyolultabb es veletlenszerubb jelszot.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

( Seaweed | 2012. 10. 18., cs – 14:01 )

Szia!

Nem tiszta ez még nekem teljesen, sok mindet csak kikövetkeztettem! Tehát volt nyitott ssh portod(?)! (Kellett, mert valahol be kellett jönni shell-ig) Ott letöltött egy programot amivel root jelszó meglett. Ez akkor mér csak eszköz, hiába van meg sokra nem mész vele.
Szerintem itt a kérdés az hogy hogy jött be! Volt jelszó nem root usereden? Router mögött levő gépre hogy tudott bejönni ssh-n?! Alap router beállításoknál ált. tiltva szokott lenni minden. Te nyitottal ssh-nak direkt portot?! Vagy netan routered van megtörve és azon át(/abba ment először) jött be hogy "nézdmar halón vagy egy gép, oszt még jelszava sincs..lessünk már be rá hátha kierőszakoljuk belőle a root jelszót"...szóval van még pár kérdés:

-Milyen router?! (firmware?!)
-Portok voltak általad nyitva, vagy pl gyári def. beállítások figyeltek rajta (amin ált. zárt minden port)
-Felhasználódnak volt jelszava?

Routeren forwardolva volt a 22-es port az ssh felé és még 1-2 port torrentnek, stb..
Volt jelszó a userhez, bár elég egyszerű sajnos.
Root-nak nem volt beállítva semmi. Hogy ez üres jelszót jelentett vagy kikapcsolt Root-ot nem tudom. Csak fel lett telepítve egy alaprendszer ablakkezelő nélkül.
Nem volt iptables konfigolva.

Gyakorlatilag tárt kapuk voltak egy folyamatosan működő letöltőgép esetén.
Valószínűleg portscan elárulta a nyitott portokat, passfile-ban lévő user:pass kombinációkat végigfuttatta és belépett. Aztán ott letöltötte a gépre a gzip-et, amiben benne van minden ami kellett neki. Többek között a passfile és portscan is, de még pár program. Aztán telepített még 1-2-t, majd távozott.

passfile eltéve emlékbe. :-D

Nah így már tiszta! Köszi a felvilágosítást :)

Akkor minden kezd sinen lenni. Végülis tök mind1 hogy nézzük, "kikapcsolt" vagy üres root jelszó. Bement userrel..onnan már könnyű dolga volt.
Kicsit birizgálja még a fantaziám az az 1-2 program!;) Rájöttél mik azok? Régen ugye szerettek irc botokat tenni gépre, manapság zombie hálóba kell a gép pl...ddos-hoz..stb.

VPN jó dolog, nagy +1 az előttem szólónak! Én is ajánlom inkább, mint a nyitott portok.

Nem értek a VPN-hez. Egyelőre tanulgatom a linux-ot még. Programokra nem jöttem rá mik lehetnek, de egy screen nevezetűt telepített a gépemre és az is benne van a csomagba. Portscan2 c forráskód is van, de lefordítva is benne. Majd később kielemzem. Most az ssh kulcs használatot próbálom összehozni, de még nem sikerül, kifog rajtam. Addig ssh nincs is forwardolva, kívülről nem elérhető.

A screen nem gázos, énis használom rendszeresen (bár közelsem annyit mint a régen, amikor még irc-ztem, és ebben voltak a csatik megnyitva :)).
http://www.gnu.org/software/screen/
Minden distronak alap része. Fenti linken olvashatsz róla bővebben.
(röviden: nagy előnye hogy "megszakítható" a shell, és bármikor visszatérhetsz hozzá, az fut a háttérben, és benne a program is)

"screen nem gázos"

Szerintem sem.
screen -ls
a detached screenekre:
screen -r

Franc tudja, hány screen fut/futott és azokban mi történik/történt.

Szerk.: Ez is bizonyíték lehet arra, hogy egy default Linux nem megfelelő kezekben sokkalta veszélyesebb és sérülékenyebb, mint egy Windows. (Nem akarok hitvitát nyitni, egyiket sem utálom jobban, mint a másikat)

-----------
"640GB sokmindenre elég"

( peachman | 2012. 10. 18., cs – 16:12 )

Sikerült összehoznom azt hiszem az ssh kulcs alapú belépést.
Win-ről Putty-t használok és nem sikerült az elején a pirate_key-t használnom vele.

1. Puttygen-el készítettem egy kulcsot, amit elmentettem ppk fájlba.
2. Ezt a kulcsot bemásoltam a /home/user_nev/.ssh/authorized_keys fájlba.
3. Kikapcsoltam az sshd_config-ban a jelszavas belépést.

Ennyi lenne?

( nextar | 2012. 10. 19., p – 13:18 )

Ha jól csinaltad, akkor felhasználó nevét kér, majd ha talál jó kulcsot, akkor beenged vagy ha nem akkor elhajt. No other authorization method available szerű üzenettel. Mellesleg rakd át az ssh portjat 1000 fölé ott a botok nem keresik (egyenlőre).
Pl. Port 2222 a konfigban

( uid_17626 | 2012. 10. 19., p – 15:24 )

df -h

(szerintem csak elfogyott a helyed, akkor is ez tünet)*

* nem olvastam végig a hozzászólásokat