Автор Тема: Голям проблем с root паролата !  (Прочетена 2613 пъти)

eNcLaVe

  • Напреднали
  • *****
  • Публикации: 88
    • Профил
Та решавам да се логна от работната ми машина в линукс машината ми (които са в C клас мрежа) през ssh.... и.... не ми приема root паролата !!! '<img'> Много добре си я знам, ползвам я от 2 години насам и наистина нямам пристъпи на амнезия, че да я забравя, пиша си я абсолютно същата и все едно и също "access denied" ! Сядам си на самата линукс машина и там не я приема, ребутнах компа, пробвам да се логна на tty1 и пак не става ! Стотици опити направих и просто НЕЗНАМ ! Та отсега да кажа, паролата не е лесна, абсолютно безсмислена произволна комбинация от букви и цифри е, с дължина 19 символа, тази парола е само руут парола на тази машина и не я ползвам никъде другаде (нито мейлове, нито форуми, нито скайп, etc.) абе никъде - само за руут парола и за нищо друго - АБСУРД да бъде налучкана ! Също и съм уверен, че никой не я знае ! Та въпроса ми е какво мога да направя, освен есте преинсталация на линукса, което е тъпо, освен това няма да преинсталирам, докато не разбера причината за това невероятно поведение на компа. Има ли някакъв начин линукса сам да си е сменил руут паролата, без аз да съм му давал команда ? Незнам какво да правя... как да се логна ? искам също да стигна до /var/log/messages и /var/log/secure. Надявам се, че там ще открия някво обяснение за цялата тази простотия ама как да стигна там, като просто не мога да се логна не само през ssh, ми и физически от машината ! Да спомена, че иначе всичко си е наред, след ребуут машината си зарежда както обикновенно, стартира си ми процесите, всичко друго е ОК овен това че не мога да се логна. Ползвам slackware 10.2 с кернел 2.4.31 на въпросната щайга... чакам някакви отговори ! Честно, отчаян съм '<img'>
Активен

Schranz and gabba rule the world !

kdpetkov

  • Напреднали
  • *****
  • Публикации: 40
    • Профил
Голям проблем с root паролата !
« Отговор #1 -: Nov 07, 2006, 22:26 »
От друга машина, на която знаеш някаква парола маунтваш твоят хард и копираш хеша на паролата, която знаеш от /etc/shadow мисля (или /etc/password) на другата машина в /etc/shadow на твоят хард. После пускаш твоят хард на твоята машина и паролата е като тази която знаеш за другата машина.
Активен

Keep Walking!

GoodT

  • Напреднали
  • *****
  • Публикации: 361
    • Профил
Голям проблем с root паролата !
« Отговор #2 -: Nov 07, 2006, 22:42 »
Или просто я изтрива от накое LiveCD или от WinXP-то.
По интересна е причината за проблема. Преди да се получи нещо "различно" да си правил?
Активен

deltaplaner

  • Напреднали
  • *****
  • Публикации: 104
  • Distribution: Debian GNU/Linux
  • Window Manager: KDE
    • Профил
Голям проблем с root паролата !
« Отговор #3 -: Nov 07, 2006, 22:43 »
Малко по-долу прочети темата Root pass



Активен

P4 2.66 GHz (533Mhz); 2x1GB DDR2 (533Mhz) RAM; GF 8600GT 256MB DDR3; SATA2 MAXTOR 80 GB HDD; SATA2 SEAGATE 320 GB HDD

urud

  • Напреднали
  • *****
  • Публикации: 59
    • Профил
Голям проблем с root паролата !
« Отговор #4 -: Nov 07, 2006, 22:50 »
Ако си с лило след като ти излезе boot prompt-a на lilo-то пишеш
Цитат
linux init=/bin/sh
след което си сменяш паролата с
Цитат
passwd
и си готов
Активен

eNcLaVe

  • Напреднали
  • *****
  • Публикации: 88
    • Профил
Голям проблем с root паролата !
« Отговор #5 -: Nov 07, 2006, 23:10 »
Мда, с Lilo съм, ама тъй като нямам друга ОС на онази машина (която ми работи и като рутър за интернета) не ми излиза промпта, защото съм го нагласил да зарежда директно линукс, без да пита или чака.... ще пробвам да монтирам дяловете и да стигна до /var/log през Knoppix livecd. Освен това ако все пак се стигне до преинсталация, може ли да мина направо на стъпката по начално конфигуриране на линукса, без да форматира дялове и копира пакетите наново ??
Активен

Schranz and gabba rule the world !

GoodT

  • Напреднали
  • *****
  • Публикации: 361
    • Профил
Голям проблем с root паролата !
« Отговор #6 -: Nov 07, 2006, 23:27 »
Не мисля, че е необходима преинсталация.
Щом имаш Knoppix, монтирай дяла (rw) и изтрий root паролата от /etc/passwd и /etc/shadow или с chroot.
Активен

eNcLaVe

  • Напреднали
  • *****
  • Публикации: 88
    • Профил
Голям проблем с root паролата !
« Отговор #7 -: Nov 08, 2006, 01:37 »
Цитат (kdpetkov @ Ноември 07 2006,23:26)
От друга машина, на която знаеш някаква парола маунтваш твоят хард и копираш хеша на паролата, която знаеш от /etc/shadow мисля (или /etc/password) на другата машина в /etc/shadow на твоят хард. После пускаш твоят хард на твоята машина и паролата е като тази която знаеш за другата машина.

Да, точно така направих, взех хеш-а на дифолт паролата на слакс-а която е toor, (нещо кнопикса "увисна" на реда, в който трябваше да сканне харда ми за дялове и да създаде fstab файла) та се наложи да ползвам Слакс лайв дистро... както и да е, логнах се вече в мойта машина с toor и после с passwd си смених руут паролата, дори логаутнах на няколко пъти и ребутнах 3 пъти, за да се уверя, че с новата парола няма проблеми - и наистина засега няма. Мерси на всички за отговорите, както и за помоща !!! сега значи някой беше питал дали съм правил нещо "нестандартно" от последния ми успешен логин насам преди случката - еми не, никакви ескперименти, никакви нови пакети не съм качвал, не съм променял никакви настройки - нищо радикално не съм правил, там е работата !

Обаче, все още се чудя, що стана така.... и имам няколко въпроса към някой по-запознат:

1. Ако приемем, че все пак някой е набарал паролата и я е сменил, би трябвало времето MTime (колонката MTime под mc, мисля че това е т.н. "modify time" когато последно файла е бил променян) на файла /etc/shadow да се промени и съвпадне с времето, когато последно е използвана командата passwd, в смисъл когато някой през ssh умишлено смени руут паролата или било то аз самия, mtime на /etc/shadow трябва да бъде променено '<img'> поне аз мисля така.... но не съм запознат, затова питам някой който в по-навътре... всъщност когато видях файла /etc/shadow още през слакс-а също така и забелязах, че mtime беше от 14 септември, а това е мисля датата, в която инсталирах линукса на тази машина и съответно деня, в който съм и сетнал руут паролата при първоначалните настройки..... дори и да не е това датата на инсталацията, то определено съм се логвал хиляди пъти оттогава успешно.....

2. във файла /var/log/messages всичките успешни логини за руут юзър, които са приемани през ssh са от 192.168.0.2 - айпито на работната машина, през която си влизам през ssh в рутъра, от никакви други ip-та не е имало успешен логин !

3. нещото което ме притесни и забелязах във /var/log/messages е някаква доста силна и продължителна атака (от 00:20:46 на 4 ноември до 01:47:17 на 4 ноември) с цел налучкване на пароли... свикнал съм да гледам редовно такива тъпи опити във /var/log/messages ама никога толкова продължително като време (почти час и половина) като всеки опит е с интервал от една секунда !!!

Примерен код

Nov  4 01:17:56 eNcLaVe sshd[9727]: Failed password for root from 87.119.194.99
port 38786 ssh2
Nov  4 01:17:57 eNcLaVe sshd[9730]: Failed password for root from 87.119.194.99
port 38880 ssh2
Nov  4 01:17:58 eNcLaVe sshd[9733]: Failed password for root from 87.119.194.99
port 38972 ssh2
Nov  4 01:17:58 eNcLaVe sshd[9736]: Failed password for root from 87.119.194.99
port 39051 ssh2
Nov  4 01:17:59 eNcLaVe sshd[9739]: Failed password for root from 87.119.194.99
port 39136 ssh2
Nov  4 01:18:00 eNcLaVe sshd[9742]: Failed password for root from 87.119.194.99
port 39230 ssh2

това е много малка част от това.... също така по-нататъка има и опити с разни други измислени юзъри
Примерен код

Nov  4 01:20:01 eNcLaVe sshd[10228]: Invalid user harry from 87.119.194.99
Nov  4 01:20:01 eNcLaVe sshd[10228]: Failed password for invalid user harry from
 87.119.194.99 port 53447 ssh2
Nov  4 01:20:02 eNcLaVe sshd[10231]: Invalid user jessica from 87.119.194.99
Nov  4 01:20:02 eNcLaVe sshd[10231]: Failed password for invalid user jessica fr
om 87.119.194.99 port 53540 ssh2
Nov  4 01:20:03 eNcLaVe sshd[10234]: Invalid user magician from 87.119.194.99
Nov  4 01:20:03 eNcLaVe sshd[10234]: Failed password for invalid user magician f
rom 87.119.194.99 port 53626 ssh2

и т.н.. няма смисъл да копирам повече... та моля някой който е добре запознат с трейсване на ip-та да ми каже какво е това ip - прокси ли е, реално ли е, откъде е ??  ':huh:'

последно съм се логвал на 2-ри ноември, така че може и тази атака да е проблема.... но както казах не видях успешен руут логин нито от това айпи, нито от кое да е друго, освен от 192.168.0.2 което си е нормално.... и бях попитал, има ли начин линукса сам да смени руут паролата (звучи ми малко тъпо, ама все пак да питам), може би като някакъв вид защита при такива атаки ? '<img'> Предварително благодаря !



Активен

Schranz and gabba rule the world !

VladSun

  • Напреднали
  • *****
  • Публикации: 2166
    • Профил
Голям проблем с root паролата !
« Отговор #8 -: Nov 08, 2006, 02:28 »
Ето ти whois от ripe.net
http://www.ripe.net/whois?f....=Search

По отношение на защитата:
1. махни си root достъпа през sshd '<img'> - влизаш с нормален потребител и след това su ...
2. за bruteforce атаки от този тип - http://www.linux-bg.org/cgi-bin....5185851
успех '<img'>

ПС: Случайно в лога ти има ли лог за успешно влизане през ssh? Т.е. в изхода на
grep "Accepted password for root" /var/log/messages
има ли подозрителни ИП-та? Виж и messages.1, messages.2 ...



Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

dad

  • Напреднали
  • *****
  • Публикации: 127
    • Профил
Голям проблем с root паролата !
« Отговор #9 -: Nov 10, 2006, 17:32 »
Добре де, не е ли възможно някой чисто физически да се е добрал до машината ти и да ти е сменил паролата? За това са достатъчни 1-2 минути...
Активен