vServer wurde kompromitiert

Bitte loggen sie sich ein oder registrieren sie sich.

Einloggen mit Benutzername, Passwort und Sitzungslänge
Erweiterte Suche  

Autor Thema: vServer wurde kompromitiert  (Gelesen 4699 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

symen

  • Grünschnabel
  • *
  • Offline Offline
  • Beiträge: 2
vServer wurde kompromitiert
« am: 29.Mai 2011, 13:43:05 »

Hi,

ich habe gerade festgestellt das ich nicht mehr auf meinen server zugreifen kann, aufgefallen ist mir das als mein TS3 server nichtmehr funktionierte.

egal mit welchem user ich mich einloggen will er sag access denied.

ich habe den server jetzt erstmal in den Recue modus gefahren, das keiner mehr damit was anfangen kann.

nun ist meine frage ob es möglich ist die passwörter, oder zumindest das root passwort zu resetten. ich bin nicht so der linux pro desshalb wäre eine kleine hilfe echt super.

ich kann mir zwar nicht vorstellen wie das passiert ist, das jemand den server gehackt hat aber ich denke das mein nicht alzu komplexes passwort das problem war.

danke schonmal im vorraus für die hilfe.

gruß,

symen
Gespeichert


zefix

  • Jungspund
  • *
  • Offline Offline
  • Beiträge: 218
Re: vServer wurde kompromitiert
« Antwort #1 am: 30.Mai 2011, 01:04:24 »

im recue mode:

chroot /OLD_SYSTEM /bin/passwd

wenn da schon jemand drauf ist reicht password ändern aber nix mehr, mach einen reinstall.
Gespeichert

symen

  • Grünschnabel
  • *
  • Offline Offline
  • Beiträge: 2
Re: vServer wurde kompromitiert
« Antwort #2 am: 30.Mai 2011, 02:12:52 »

hey danke für die antwort.

ich hab das anders gemacht, scheinbar ein wenig komplizierter hat aber auch funktioniert :D

ich war im verzeichniss /OLD_SYSTEM /etc und hab da in der shadow datei einfach die passwort hashes geändert jetzt komm ich wieder drauf ;)

gibts ne möglichkeit meine einstellungen zu übernehmen ? ich hab kein bock alles neu einzustellen, das installieren geht ja schnell aber die einstellungen sind mir ein dorn im auge.

aber lernen soll man ja immer was dazu nun die frage, was genau macht der von dir genannte befehl ?

setzt er die passwörter zuück oder wie kann ich das verstehn ?

danke für die antwort,

gruß,

symen
Gespeichert

zefix

  • Jungspund
  • *
  • Offline Offline
  • Beiträge: 218
Re: vServer wurde kompromitiert
« Antwort #3 am: 30.Mai 2011, 05:49:17 »

Zitat
setzt er die passwörter zurück oder wie kann ich das verstehn ?

ja, er wechselt das wurzel verzeichnis (/) nach /OLD_SYSTEM und ruft dann /bin/passwd auf.
du kannst so jedes kommando aufrufen zB. auch eine shell "chroot /OLD_SYSTEM /bin/bash", "man chroot" für mehr info.

Zitat
gibts ne möglichkeit meine einstellungen zu übernehmen ?
ja aber, gegenfrage weist du welche einstellungen der eindringling evt. geändert hat damit, er immer wieder ins system kommt?
ich bezweifle das ein eindringling passwörter ändern würde, auf diese art fällt er ja sofort auf. für solche fälle hat man normalerweise auch backups älterer versions stände.
kopier dir den inhalt von /etc und, kopiere in in dein neues system zurück.
lege dir ebenfalls eine kopie deiner packetliste an um nicht alles wieder manuel installieren zu müssen, hängt von deiner distribution ab wie das geht.

und ganz wichtig wenn wirklich jemand drauf war/ist finde heraus wie er das geschaft hat, sonst hast du ihn oder jemand anderen bald wieder drauf.
durchsuche zB. deine logs nach auffäligen logins.
Gespeichert
 

Seite erstellt in 0.073 Sekunden mit 17 Abfragen.