Debian Root Recovery

[tracer]

Dieser Monat hat es echt in sich ...

Wenn Sch... dann Sch ... mit Schwung.

Ich komme auf meinem Home-Server nicht per als root drauf.

Vermute, das die Kiste gehackt wurde (ist ne Bastelbude, fahre da viel zu selten Systemupdates).

OK; root recovery mit Keyboard und Console ist easy, 100 mal gemacht, aber:

Die Kiste steht in ner Ecke, zugemüllt, ohne Monitor.

Bevor ich ne halbe Stunde bastel, um da nen Monitor dran zu bekommen, wollte ich wissen, ob es tools gibt, mit denen ich per BruteForce oder so das Root-Password auslesen kann.

Lokaler, nicht priveligerter User kann sich noch einloggen, portforwarding im Router ist natürlich (jetzt) raus.

[adrock]

Hi Tracer,

das sieht schlecht aus... die verschlüsselten Passwörter stehen ja bei nicht-steinzeit Linuxsystemen in der /etc/shadow, die man als normaler Benutzer auch nicht lesen kann. Somit müsste ein Brute-Force-Tool dann den normalen Weg über die Systemfunktionen nehmen, was wohl ziemlich langsam ist.

Je nach alter der Installation/Updates könntest Du natürlich auch nach einem Exploit suchen, um eine der potentiell vorhandenen Sicherheitslücken auszunutzen, dich sozusagen selbst hacken

Ein anderer Weg wäre, eine Linux-CD mit SSH Unterstützung "blind" zu starten. Habe aber jetzt keine parat die das auf Anhieb bietet.

-> Ich glaube der einfachste Weg dürfte doch sein, die Konsole anzuschliessen, reboot mit "linux init=/bin/sh" und dann die /etc/shadow bearbeiten

Ciao...
Markus

[thrillhouse]

wenn sie gehackt wurde, würde ich sie nur noch runterfahren. Ne neue Platte einbauen und neu installieren, die Alte wenn überhaupt irgendwann später mounten um an die Daten ranzukommen.
Ich glaube mal von einer Headless Debian Installation gehört zu haben. Evtl kannst Du dann mit Nullmodemkabel und der seriellen Schnittstelle installieren.

Laufen tun die Systeme ohne Grafikkarte und Keyboard mit Terminal auf der Seriellen, aber ob sie sich so installieren lassen.

So könntest Du auch die Passwörter beackern.
Hat dein Benutzer die nötigen Rechte für sudo?

[adrock]

...wobei noch die Frage wäre, ob der Server überhaupt gehackt ist. Wenn er hinter einem Router steht und keine Dienste/Ports von aussen zugänglich sind, ist es schon sehr unwahrscheinlich. Wenn ein Webserver, Mysql oder gar SSH von aussen zugänglich sind, ist es schon möglich...

Falls er wirklich gehackt ist, hat thrillhouse recht: Daten sichern und neu installieren... habe ich mit meinem Virtual Server auch schon zweimal hinter mir :-/ Wobei es da meistens irgendwelche PHP Sachen waren, die gehackt wurden.

Ciao...
Markus

[sungamer]

Wie siehts mit einem Live Linux aus und dann die Festplattenpartition mounten und die /etc/shadow bearbeiten? DSL startet IMHO sofort den SSH Server daemon...

[tracer]

Hat dein Benutzer die nötigen Rechte für sudo?

Sudo nutze ich nicht, mir konnte bis jetzt noch niemand den Sinn erklären.

Wenn ein Webserver, Mysql oder gar SSH von aussen zugänglich sind, ist es schon möglich...

Die Ports (22, 80) waren von aussen zu erreichen.

Wie siehts mit einem Live Linux aus und dann die Festplattenpartition mounten und die /etc/shadow bearbeiten? DSL startet IMHO sofort den SSH Server daemon...

In der Kiste ist glaube ich weder Floppy noch CD-Rom aktiv, ich müsste sie auf jeden Fall erstmal ausbuddeln.

[Jarus]

du kommst local ran..ist also kein internet server?

wenn ja ist es kein problem.....

exemplarisch für suse

1 Starte Deinen Rechner neu und laesst ihn von der ersten Suse-CD
booten
2. Im daraufhin angezeigten Menue waehlst Du den Punkt 'Rescue System' und
startest es
3. Nachdem das Rescue-System gestartet hat medest Du Dich mit dem User
'root' an und gibst ein beliebiges Passwort ein
4. Hat das geklappt, gibst Du folgendes ein:

Rescue:~ # mount /dev/hda2 /mnt
^^
'hda2' musst Du evtl. ersetzen wenn bei Dir in Schritt 2 was anderes
angezeigt wurde
INFO: Kann sein dass Du die englische Tastatur vor Dir hast! Der '/'
liegt dann auf der Bindestrich/Underline-Taste
5. Erfolgreich gemountet folgt nun:

Rescue:~ # chroot /mnt passwd root

Nun wirst Du aufgefordert Dein neues Passwort fuer den User 'root'
einzugeben und nochmals zu bestaetigen.
6. Nun kannst Du Deinen PC neu starten,

Rescue:~ # reboot

die CD aus dem Laufwerk nehmen und probieren ob Du mit Deinem neuen
'root'-Passwort ins System kommst



und für debian


1. Starte den Rechner
2. wähl beim grub Menü den 2. Punkt aus (single user mode)
3. drück e für editieren
4. geh in die Zeile, die mit kernel= anfängt
5. drück erneut e für editieren
6. schreib ein init=/bin/sh an das Ende der Zeile.
Achtung, durch die englische Tastatur sind einige Zeichen nicht da, wo du sie erwartest:
* = ist auf der Taste ´ (zwischen ß und backspace)
* / ist auf der Taste - (zwischen . und shift)
7. bestätige mit Return
8. drück b für boot
9. mache das root-Filesystem beschreibbar:
mount -o remount, rw /dev/sda2
10. ändere das Passwort: passwd (und bestätige es zweimal )
Achtung: Nimm sicherheitshalber erstmal ein Passwort ohne Umlaute und Sonderzeichen.
11. mach das Filesystem wieder schreibgeschützt:
sync && mount -o remount,ro /dev/sda2
12. starte den Rechner per reboot neu oder schalt ihn einfach aus und wieder ein - das Passwort stimmt nun.

[tracer]

wenn ja ist es kein problem.....

Danke für den Vorschlag, aber die Lösung passt nicht zu meinen Problem

OK; root recovery mit Keyboard und Console ist easy, 100 mal gemacht, aber:

Ich kann die Kiste nicht mal "eben" neu booten, und auswählen kann ich während des bootens auch nichts.

[Jarus]

http://www.linux-forum.de/root-passwort ... -3433.html


schau hier nochmal kannst auch mit der linux cd booten

[sungamer]

schau hier nochmal kannst auch mit der linux cd booten

Hab ich ja auch schon vorgeschlagen, aber geht ja leider mei Tracer's Müllhalde net

[adrock]

Die Ports (22, 80) waren von aussen zu erreichen.

Naja, wenn Du das root pw nicht geändert hast und man annehmen muss, das der Server gehackt ist, wirst Du aber um eine Neuinstallation des Rechners (von der Konsole) nicht drum rum kommen. Wer weiss, was da inzwischen für eine Spam/Virus-Schleuder aktv ist

Hast Du als Benutzer mal ein

ps -efwww

gemacht? Da kann man zumindest sehen, welche Prozesse aktiv sind. Ausserdem wäre mal die Ausgabe von

ls -l /etc/shadow

interessant, da könntest Du sehen, wann zuletzt ein Passwort geändert wurde. Das *kann* schonmal ein Anhaltspunkt sein, was auf dem Server so passiert. Etwas bessere Hacker verschleiern das alles natürlich entsprechend.

Schreib' doch mal, welches Debian Du verwendest

cat /etc/issue

und die Ausgabe von

uname -a

Ciao...
Markus

[tracer]

Sitze gerade am Notebook im Wohnzimmer.

Die /etc/shadow wurde vor 2 Wochen oder so geändert, Details kann ich nachliefern.

Installiert wurde 96 ein Debian 1.2, per Dist-Upgrade hochgepflegt.

Platten, Mainboard, CPU und RAM ab und zu ausgetauscht, aber die Kiste war immer headless seit der Erstinstallation.

[tracer]

Bin drin

http://www.milw0rm.com/exploits/1397

[adrock]

Very nice...

Aber sofern der Verdacht besteht, dass die Kiste gehackt ist, installiere sie bitte baldmöglichst neu Die Installation (inkl. Kernel) scheint ja nicht mehr ganz taufrisch zu sein...

Ciao...
Markus

[tracer]

Aber sofern der Verdacht besteht, dass die Kiste gehackt ist, installiere sie bitte baldmöglichst neu Die Installation (inkl. Kernel) scheint ja nicht mehr ganz taufrisch zu sein...

Eigentlich hast Du recht, aber uneigentlich werde ich den rk-hunter drüber laufen lassen, alle aktuellen Updates einspielen, die ssh Key neu machen, und die Nutzdaten mal auf ne DVD brennen.

Wenn mir dann einer meine Pornos klaut, habe ich Pech