Титла: Голям проблем с root паролата !
Публикувано от: eNcLaVe в Nov 07, 2006, 22:06
Та решавам да се логна от работната ми машина в линукс машината ми (които са в C клас мрежа) през ssh.... и.... не ми приема root паролата !!! 
Много добре си я знам, ползвам я от 2 години насам и наистина нямам пристъпи на амнезия, че да я забравя, пиша си я абсолютно същата и все едно и също "access denied" ! Сядам си на самата линукс машина и там не я приема, ребутнах компа, пробвам да се логна на tty1 и пак не става ! Стотици опити направих и просто НЕЗНАМ ! Та отсега да кажа, паролата не е лесна, абсолютно безсмислена произволна комбинация от букви и цифри е, с дължина 19 символа, тази парола е само руут парола на тази машина и не я ползвам никъде другаде (нито мейлове, нито форуми, нито скайп, etc.) абе никъде - само за руут парола и за нищо друго - АБСУРД да бъде налучкана ! Също и съм уверен, че никой не я знае ! Та въпроса ми е какво мога да направя, освен есте преинсталация на линукса, което е тъпо, освен това няма да преинсталирам, докато не разбера причината за това невероятно поведение на компа. Има ли някакъв начин линукса сам да си е сменил руут паролата, без аз да съм му давал команда ? Незнам какво да правя... как да се логна ? искам също да стигна до /var/log/messages и /var/log/secure. Надявам се, че там ще открия някво обяснение за цялата тази простотия ама как да стигна там, като просто не мога да се логна не само през ssh, ми и физически от машината ! Да спомена, че иначе всичко си е наред, след ребуут машината си зарежда както обикновенно, стартира си ми процесите, всичко друго е ОК овен това че не мога да се логна. Ползвам slackware 10.2 с кернел 2.4.31 на въпросната щайга... чакам някакви отговори ! Честно, отчаян съм
Много добре си я знам, ползвам я от 2 години насам и наистина нямам пристъпи на амнезия, че да я забравя, пиша си я абсолютно същата и все едно и също "access denied" ! Сядам си на самата линукс машина и там не я приема, ребутнах компа, пробвам да се логна на tty1 и пак не става ! Стотици опити направих и просто НЕЗНАМ ! Та отсега да кажа, паролата не е лесна, абсолютно безсмислена произволна комбинация от букви и цифри е, с дължина 19 символа, тази парола е само руут парола на тази машина и не я ползвам никъде другаде (нито мейлове, нито форуми, нито скайп, etc.) абе никъде - само за руут парола и за нищо друго - АБСУРД да бъде налучкана ! Също и съм уверен, че никой не я знае ! Та въпроса ми е какво мога да направя, освен есте преинсталация на линукса, което е тъпо, освен това няма да преинсталирам, докато не разбера причината за това невероятно поведение на компа. Има ли някакъв начин линукса сам да си е сменил руут паролата, без аз да съм му давал команда ? Незнам какво да правя... как да се логна ? искам също да стигна до /var/log/messages и /var/log/secure. Надявам се, че там ще открия някво обяснение за цялата тази простотия ама как да стигна там, като просто не мога да се логна не само през ssh, ми и физически от машината ! Да спомена, че иначе всичко си е наред, след ребуут машината си зарежда както обикновенно, стартира си ми процесите, всичко друго е ОК овен това че не мога да се логна. Ползвам slackware 10.2 с кернел 2.4.31 на въпросната щайга... чакам някакви отговори ! Честно, отчаян съм Титла: Голям проблем с root паролата !
Публикувано от: kdpetkov в Nov 07, 2006, 22:26
От друга машина, на която знаеш някаква парола маунтваш твоят хард и копираш хеша на паролата, която знаеш от /etc/shadow мисля (или /etc/password) на другата машина в /etc/shadow на твоят хард. После пускаш твоят хард на твоята машина и паролата е като тази която знаеш за другата машина.
Титла: Голям проблем с root паролата !
Публикувано от: GoodT в Nov 07, 2006, 22:42
Или просто я изтрива от накое LiveCD или от WinXP-то.
По интересна е причината за проблема. Преди да се получи нещо "различно" да си правил?
По интересна е причината за проблема. Преди да се получи нещо "различно" да си правил?
Титла: Голям проблем с root паролата !
Публикувано от: deltaplaner в Nov 07, 2006, 22:43
Титла: Голям проблем с root паролата !
Публикувано от: urud в Nov 07, 2006, 22:50
Ако си с лило след като ти излезе boot prompt-a на lilo-то пишеш
след което си сменяш паролата с
и си готов
| Цитат |
| linux init=/bin/sh |
| Цитат |
| passwd |
Титла: Голям проблем с root паролата !
Публикувано от: eNcLaVe в Nov 07, 2006, 23:10
Мда, с Lilo съм, ама тъй като нямам друга ОС на онази машина (която ми работи и като рутър за интернета) не ми излиза промпта, защото съм го нагласил да зарежда директно линукс, без да пита или чака.... ще пробвам да монтирам дяловете и да стигна до /var/log през Knoppix livecd. Освен това ако все пак се стигне до преинсталация, може ли да мина направо на стъпката по начално конфигуриране на линукса, без да форматира дялове и копира пакетите наново ??
Титла: Голям проблем с root паролата !
Публикувано от: GoodT в Nov 07, 2006, 23:27
Не мисля, че е необходима преинсталация.
Щом имаш Knoppix, монтирай дяла (rw) и изтрий root паролата от /etc/passwd и /etc/shadow или с chroot.
Щом имаш Knoppix, монтирай дяла (rw) и изтрий root паролата от /etc/passwd и /etc/shadow или с chroot.
Титла: Голям проблем с root паролата !
Публикувано от: eNcLaVe в Nov 08, 2006, 01:37
| Цитат (kdpetkov @ Ноември 07 2006,23:26) |
| От друга машина, на която знаеш някаква парола маунтваш твоят хард и копираш хеша на паролата, която знаеш от /etc/shadow мисля (или /etc/password) на другата машина в /etc/shadow на твоят хард. После пускаш твоят хард на твоята машина и паролата е като тази която знаеш за другата машина. |
Да, точно така направих, взех хеш-а на дифолт паролата на слакс-а която е toor, (нещо кнопикса "увисна" на реда, в който трябваше да сканне харда ми за дялове и да създаде fstab файла) та се наложи да ползвам Слакс лайв дистро... както и да е, логнах се вече в мойта машина с toor и после с passwd си смених руут паролата, дори логаутнах на няколко пъти и ребутнах 3 пъти, за да се уверя, че с новата парола няма проблеми - и наистина засега няма. Мерси на всички за отговорите, както и за помоща !!! сега значи някой беше питал дали съм правил нещо "нестандартно" от последния ми успешен логин насам преди случката - еми не, никакви ескперименти, никакви нови пакети не съм качвал, не съм променял никакви настройки - нищо радикално не съм правил, там е работата !
Обаче, все още се чудя, що стана така.... и имам няколко въпроса към някой по-запознат:
1. Ако приемем, че все пак някой е набарал паролата и я е сменил, би трябвало времето MTime (колонката MTime под mc, мисля че това е т.н. "modify time" когато последно файла е бил променян) на файла /etc/shadow да се промени и съвпадне с времето, когато последно е използвана командата passwd, в смисъл когато някой през ssh умишлено смени руут паролата или било то аз самия, mtime на /etc/shadow трябва да бъде променено
поне аз мисля така.... но не съм запознат, затова питам някой който в по-навътре... всъщност когато видях файла /etc/shadow още през слакс-а също така и забелязах, че mtime беше от 14 септември, а това е мисля датата, в която инсталирах линукса на тази машина и съответно деня, в който съм и сетнал руут паролата при първоначалните настройки..... дори и да не е това датата на инсталацията, то определено съм се логвал хиляди пъти оттогава успешно.....2. във файла /var/log/messages всичките успешни логини за руут юзър, които са приемани през ssh са от 192.168.0.2 - айпито на работната машина, през която си влизам през ssh в рутъра, от никакви други ip-та не е имало успешен логин !
3. нещото което ме притесни и забелязах във /var/log/messages е някаква доста силна и продължителна атака (от 00:20:46 на 4 ноември до 01:47:17 на 4 ноември) с цел налучкване на пароли... свикнал съм да гледам редовно такива тъпи опити във /var/log/messages ама никога толкова продължително като време (почти час и половина) като всеки опит е с интервал от една секунда !!!
| Примерен код |
Nov 4 01:17:56 eNcLaVe sshd[9727]: Failed password for root from 87.119.194.99 port 38786 ssh2 Nov 4 01:17:57 eNcLaVe sshd[9730]: Failed password for root from 87.119.194.99 port 38880 ssh2 Nov 4 01:17:58 eNcLaVe sshd[9733]: Failed password for root from 87.119.194.99 port 38972 ssh2 Nov 4 01:17:58 eNcLaVe sshd[9736]: Failed password for root from 87.119.194.99 port 39051 ssh2 Nov 4 01:17:59 eNcLaVe sshd[9739]: Failed password for root from 87.119.194.99 port 39136 ssh2 Nov 4 01:18:00 eNcLaVe sshd[9742]: Failed password for root from 87.119.194.99 port 39230 ssh2 |
това е много малка част от това.... също така по-нататъка има и опити с разни други измислени юзъри
| Примерен код |
Nov 4 01:20:01 eNcLaVe sshd[10228]: Invalid user harry from 87.119.194.99 Nov 4 01:20:01 eNcLaVe sshd[10228]: Failed password for invalid user harry from 87.119.194.99 port 53447 ssh2 Nov 4 01:20:02 eNcLaVe sshd[10231]: Invalid user jessica from 87.119.194.99 Nov 4 01:20:02 eNcLaVe sshd[10231]: Failed password for invalid user jessica fr om 87.119.194.99 port 53540 ssh2 Nov 4 01:20:03 eNcLaVe sshd[10234]: Invalid user magician from 87.119.194.99 Nov 4 01:20:03 eNcLaVe sshd[10234]: Failed password for invalid user magician f rom 87.119.194.99 port 53626 ssh2 |
и т.н.. няма смисъл да копирам повече... та моля някой който е добре запознат с трейсване на ip-та да ми каже какво е това ip - прокси ли е, реално ли е, откъде е ??
последно съм се логвал на 2-ри ноември, така че може и тази атака да е проблема.... но както казах не видях успешен руут логин нито от това айпи, нито от кое да е друго, освен от 192.168.0.2 което си е нормално.... и бях попитал, има ли начин линукса сам да смени руут паролата (звучи ми малко тъпо, ама все пак да питам), може би като някакъв вид защита при такива атаки ?
Предварително благодаря !Титла: Голям проблем с root паролата !
Публикувано от: VladSun в Nov 08, 2006, 02:28
Ето ти whois от ripe.net
http://www.ripe.net/whois?f....=Search
По отношение на защитата:
1. махни си root достъпа през sshd
- влизаш с нормален потребител и след това su ...
2. за bruteforce атаки от този тип - http://www.linux-bg.org/cgi-bin....5185851
успех
ПС: Случайно в лога ти има ли лог за успешно влизане през ssh? Т.е. в изхода на
grep "Accepted password for root" /var/log/messages
има ли подозрителни ИП-та? Виж и messages.1, messages.2 ...
http://www.ripe.net/whois?f....=Search
По отношение на защитата:
1. махни си root достъпа през sshd
- влизаш с нормален потребител и след това su ...2. за bruteforce атаки от този тип - http://www.linux-bg.org/cgi-bin....5185851
успех
ПС: Случайно в лога ти има ли лог за успешно влизане през ssh? Т.е. в изхода на
grep "Accepted password for root" /var/log/messages
има ли подозрителни ИП-та? Виж и messages.1, messages.2 ...
Титла: Голям проблем с root паролата !
Публикувано от: dad в Nov 10, 2006, 17:32
Добре де, не е ли възможно някой чисто физически да се е добрал до машината ти и да ти е сменил паролата? За това са достатъчни 1-2 минути...