Sie sind nicht angemeldet.

1

02.10.2011, 00:59

Kein zugriff auf root mehr

Tag die Damen und Herren,

ich hab mit meinem Gentoo ein ganz gewaltiges Problem. Und zwar folgendes
Ich hab hier nen Gentoo Rechner hier hauptsächlich als samba fileserver laufen, allerdings läuft auch ein mysql, lighttpd, nfs und ftp server drauf.
Heute mittag konnte ich mich noch ganz normal als root anmelden. Ich hab das System geupdated und danach ein neustart gemacht weil ich auch den Kernel aktuallisiert habe.
Gerade eben wollte ich mich wieder als root anmelden. Merkwürdiger weiße funktioniert das nicht mehr, weder per su noch am standart login prompt. und per ssh auch nicht.
Ich habs bestimmt schon 15 mal probiert. Das Passwort ist auch 100%ig richtig geschrieben. Es funktioniert trozdem nicht.
Normalerweiße sollte sowas ja nicht passieren. Meine Vermutung ist, das ein Hacker in mein System eingedrungen ist und das root passwort geändert hat.
Das ist zumindest das einzige das irgendwie sinn ergibt weil von allein oder durch ein update ändert sich ja kein passwort. Meine ebuilds hab ich auch alle vom offiziellen portage tree und nicht aus overlays. Und da mein lighttpd server per port forwarding am router nach ausen geleitet wird ist es schon denkbar das dort jemand eingedrungen ist.
Ich hab den Rechner erstmal vom Internet getrennt.
Was mir auch noch aufgefallen ist, ist das laut htop das programm "ttymon" läuft. Das war vor ein paar tagen auf jedenfall noch nicht so. Ich weiß nicht ob das durch das update gekommen ist.

Naja ist jetzt ja eigentlich auch egal, am wichtigsten ist jetzt erstmal das ich wieder root zugriff auf den PC bekomme.
Gibts da irgendwelche möglichkeiten das passwort zu ändern ohne das ich selbst root zugriff habe?
Eigentlich dürfte das ja aus Sicherheitstechnischen gründen nicht gehen. Kann ich da aber evtl. von einer LiveCD booten und dann so mein Passwort ändern?

Und wie finde ich raus ob wirklich ein Hacker auf dem PC war, und was er angerichtet hat?
Freiheit ist mehr, als nur keine Unterwäsche zu tragen :D

2

02.10.2011, 09:26

Moin Chris!
Hacker? Klingt nach einer windowsvorlastigen Ich-habe-da-irgendwas-verpeilt-das-war-wohl-ein-Hacker-Phobie *G*
Lokal auf ein System zu kommen ist Kinderteller, von außen gerade bei linux doch eher unwahrscheinlich.
A propos lokal: Du nimmst eine LiveCD mit der gleichen Architektur, vermutlich x86 oder amd64 oder x86_64, mountest deine root-tragende Partition und chrootest in das System rein und änderst das Passwort zurück.
Danach darfste rebooten.
Ersetze sdaX mit dem betreffendem Device:

Quellcode

1
2
3
4
5
6
mount /dev/sdaX/ /mnt/gentoo
mount -o bind /dev /mnt/gentoo/dev
mount -t proc none /mnt/gentoo/proc
chroot /mnt/gentoo /bin/bash
passwd
reboot


fertig :thumbup:
System:
i7 P2600 @ 3,4GHz
jabber: poedel@jabber.ccc.de

3

02.10.2011, 11:04

rein theoretische müsste es so klappen

Live-CD starten dort mal das neue Passwort generieren lassen mit

Quellcode

1
 openssl passws -1


ein Passwort-Hash erzeugen. Den String "$1$...." mal kopieren

dann /etc/shadow suchen (am Rechner logischerweise ;-) ) mit dem Editor aufmachen und dort eben bei root den String austauschen...

Speichern und neu starten ... (der neu erzeugte Passwort-Hash ist dann das neue Passwort....

ob es klappt weiß ich nicht hab gerade keine Linux Maschine bei der Hand

was mir noch so einfällt wäre wenn es möglich ist eben per Live-CD einen User zu erstellen und den versuchen in die root Gruppe zu stellen ... wie gesagt müsste man testen aber vorher die Daten sichern die man editiert :-)

mfg schatti
''''''''''''''''''''''''''''''''''''''''''''''''
Gentoo-Linux
der G-Punkt eines Pc´s

''''''''''''''''''''''''''''''''''''''''''''''''

4

02.10.2011, 11:07

/offtopic on/

Quellcode

1
....-wohl-ein-Hacker-Phobie *G



Naja sind die Leute die in fremde Systeme ein dringen nicht eher

Quellcode

1
Cracker
also zu meiner anfangst Zeit in den 90iger Jahre war es so noch ...


Hacker --> hackt auf die Tastatur ein deshalb Hacker ...
Cracker -> knackt System oder Programme . ala Panzerknacker ...

/offtopic off/
''''''''''''''''''''''''''''''''''''''''''''''''
Gentoo-Linux
der G-Punkt eines Pc´s

''''''''''''''''''''''''''''''''''''''''''''''''

5

02.10.2011, 14:25

So Poedels weg hat funktioniert.
Nach dem anmelden als root hab ich gesehen "Last login: Sat Oct 1 19:32:49 CEST 2011 from 72.199.217.87.dynamic.jazztel.es on pts/1"
"72.199.217.87.dynamic.jazztel.es" ist definitv kein Rechner von dem ich aus zugegriffen hat. Also Tipp ich jetzt schon mal auf Cracker/Hacker.
So auf die schnelle is mir noch aufgefallen das "/var/log/tallylog" existiert und dort nen haufen ip adressen stehen bzw. zeugs wie mail.ppda.go.ug.

Gibts irgendwie die möglichkeit die festplatte überprüfen zu lassen welche dateien von Portage geschrieben wurden und welche evtl manuell eingefügt worden sind? so könnte man ja schauen was an meinen PC verändert wurde.
Oder gibts da bessere wege?


So ich hab mal chkrootkit durchlaufen lassen. Der meldet mir
"Warning: Possible Showtee Rootkit installed"
"Warning: Possible LKM Trojan installed"
und
"You have 29 process hidden for ps command"

Ich hab mal nach Showtee Rootkit gegoogled. Der macht sich bemerkbar duch
diverse dateien auf dem system so z.b. auch "/usr/include/proc.h" oder "/usr/include/file.h"
welche ich auch auf meinem System habe. Laut qfile gehören sie auch zu nichts was ich per Portage installiert habe.

Was kann ich jetzt tun um das Rootkit zu entfernen?
Freiheit ist mehr, als nur keine Unterwäsche zu tragen :D

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »CHRlS« (02.10.2011, 15:08)


6

02.10.2011, 15:32

Hi Chris
Huh.., das ist ja ärgerlich...
Was kann ich jetzt tun um das Rootkit zu entfernen?

Ich würde gar nicht erst versuchen das System zu bereinigen, vermeintlich verseuchte Systeme gehören entsorgt!
Spiele doch besser ein letztes gesundes Backup ein.
Sofern du keines hast würde ich das System besser neu aufsetzen.

7

02.10.2011, 16:53

hmm okay. Na dann weiß ich ja was ich in nächster Zeit zu tun hab ^^
Freiheit ist mehr, als nur keine Unterwäsche zu tragen :D