• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

root pw

Schmitty

Member
hallo alle zusammen,

ich befuerchte dass mein server gehackt wurde. ich habe port 22 80 und 21 in der FW offen, und habe jetzt auch die Tage vom Server hearding gelesen. Bin jetzt auch seit vorgestern dabei meinen Server zu sichern.

Gerade eben wollte ich mich wieder per SSH einloggen, und paar Sachen ändern, doch jetzt bekomme ich garkeinen Login mehr. Ich bekomm immer die Meldung zurueck dass die Verbindung gescheitert ist. Also SSH connectet, und dann geb ich meinen User namen ein, nach der Passwort abfrage erfolgt ein fail.

Ich konnte ein Rescue System booten, und habe die gesamte Server Festplatte unter /mnt gemountet. Koennt ihr mir sagen wie ich nun die Passwoerter zurueckstellen kann?

Ich habe gelesen, dass wenn ich in /etc/shadow die PW´s lösche root kein Passwort mehr hat. Kann mich dann aber immer noch nicht auf dem System einloggen.

Hat einer vll ne Idee, oder eine Lösung fuer mich? Hab jetzt mal solang ALLE Zugriffe ueber die Firewall blockiert.

LG Schmitty
 

spoensche

Moderator
Teammitglied
Wo hast du gelesen, dass man nach dem löschen des root Passwortes sich ohne dieses einloggen kann?

Du hast doch vorher eine Sicherung der /etc/shadow angelegt, um es wieder rückgängig machen zu können oder?
Wenn ja die /etc/shadow durch die gesicherte /etc/shadow ersetzen.

Wie kommst du darauf, dass dein Server gehackt worden ist? Welche Anzeichen dafür hast du? Wieso fängst du jetzt erst an zu sichern? (Macht man sofort.)
 
OP
S

Schmitty

Member
Ohhh mann ist mir das jetzt peinlich.

Ich guck grad auf meinen Anrufbeantworter, und mein Kumpel mit dem ich den Server administriere hat heute Mittag die Passwörter geändert. =(

Scheiße mann :(

Hätte ich das Ding mal frueher abgerufen. Sitz ich hier den ganzen Abend :.-D

Dont worry be happy!!!


Danke fuers helfen =)

LG Schmitty
 
A

Anonymous

Gast
Schmitty schrieb:
Ich habe gelesen, dass wenn ich in /etc/shadow die PW´s lösche root kein Passwort mehr hat. Kann mich dann aber immer noch nicht auf dem System einloggen.

Mal neue Literatur besorgen, das war vor langer Zeit mal so. Und weil das viel zu einfach war und sich damit jeder der den Rechner booten konnte auch ohne jegliche Linuxkentnisse in wenigen Minuten Zugriff zum System verschaffen konnte, hat man das böswilligerweise geändert.
man 5 shadow schrieb:
.....The password field must be filled.....
Man braucht jetzt also wenigstens auf aktuellen Suserechnern so viel Ahnung von Linux, das man ein neues Passwort setzen kann.

Das Ziel von solchen Angriffen ist in der Regel unbemerkt zu bleiben. um dem Rechner für seine eigenen Interessen einzusetzten und nicht mit aller Gewalt aufzufallen.
Wenn du gerade angefangen hast deinen Server abzusichern und irgendwelchen Howtos abgearbeitet hast ohne dabei genau zu wissen was du da eigentlich machst, ist es am wahrscheinlichsten, dass du dich selbst ausgesperrt hast, ansonsten wenn da wirklich jemand auf deinem System war, und dort an der passwd oder shadow bei root rumgespielt hat, das es dann sogar dem Dümmsten auffallen muss, bleibt nur eins "init 0" für immer oder Neuinstallation nachdem du dich mit diesem Thema mal ausgiebig auf einen Spielrechner beschäftigt hast. (hier währe das Vorwort und hier sind zB noch ein paar Kleinigkeiten mehr )

Mittlerweile scheint sich das ja bei dir aufgelöst zu haben, also halb so schlimm

Sichworte zum ändern des Passwortes bei dir währen jetzt : mount chroot passwd


robi
 
Oben