[HACK] Aider moi à retrouver mon mot de passe root

Aider moi à retrouver mon mot de passe root [HACK] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 01-08-2003 à 19:35:28    

Salut à tous,
 
bon, je suis pas trop fier sur le coup là.
J'utilise une passerelle linux pour me connecter au net et faire tourner quelques application (apache, mysql, samba). Je m'y connecte via ssh.
 
Je venais de reinstaller mon système et je n'avait pas encore configurer iptables.
 
Il semble qu'un petit malin se soit sonnecté sur mon ordi et ait écrasé le mot de passe du root (en fait, ce n'est pas la première fois, mon ordi ayant visiblement servi à faire du sniffing d'IP). Visiblement, pas d'autres dégats mais c'est assez chiant.
 
Ma partition principale est en reiserfs donc pas moyen de me connecter via linux single.
 
Quelqu'un connait un moyen de reinitialiser mon mot de passe root ? Pas trop envie de tout réinstaller de nouveau :(

Reply

Marsh Posté le 01-08-2003 à 19:35:28   

Reply

Marsh Posté le 01-08-2003 à 19:40:59    

j'imagine d'en bootant sur une knoppix (ou autre) et en te chrootant dans ta partition système, tu aura la possibilité de faire un passwd

Reply

Marsh Posté le 01-08-2003 à 19:42:52    

même si ma partition est en reiserfs ?

Reply

Marsh Posté le 01-08-2003 à 19:44:07    

pour peu que le noyau le supporte.
ma version est une 3.1 et elle le supporte.


Message édité par Acontios le 01-08-2003 à 19:44:19
Reply

Marsh Posté le 01-08-2003 à 19:47:05    

Tu devrais quand même penser à sécuriser ta machine. Sinon qu'elle est servie pour du sniffing me parrait bizarre, ou alors ton resau local.

Reply

Marsh Posté le 01-08-2003 à 19:51:48    

deviant a écrit :

Tu devrais quand même penser à sécuriser ta machine. Sinon qu'elle est servie pour du sniffing me parrait bizarre, ou alors ton resau local.


 
Pour ce qui est de sécuriser la machine, rassure toi, je vais m'y coller sérieusement.
 
Pour le sniffing, voila un extrait du mail reçu de mon fournisseur d'accès. Pas vraiment le genre de truc qui fait plaisir...
 
SPI Incident Response <incident.response-427177@securepipe.com> wrote:
> >
> > > Complaint ID: [securepipe.com #427177]
> > >
> > > The following is a complaint against an IP or domain which appeared in
> our
> > > logs, indicating possible network abuse.  If you have received this
> report
> > > in error, please forward it to the appropriate party or let us know.
> > >
> > > SUSPECT IP: xxx.xxx.xxx.xxx
> > >
> > > A user, apparently from your network, probed port 139 (NETBIOS) on the
> IPs
> > > appearing below.  This port is commonly used for Windows filesharing.
> > >
> > > Because the scan targetted an entire network, it should be viewed as an
> > > overtly hostile action.
> > >
> > > All timestamps below are in UTC -0000 (Greenwich Mean Time)

Reply

Marsh Posté le 01-08-2003 à 19:52:55    

deviant a écrit :

Tu devrais quand même penser à sécuriser ta machine. Sinon qu'elle est servie pour du sniffing me parrait bizarre, ou alors ton resau local.


oui ou elle a p-t servi de passerelle pour des scans d' @ip.
autrement moins propre que la soluce de 911gt3, tu peux utiliser un chtit exploit, par ex si ton
noyal est inférieur au 2.4.20 et non patcher tu peux utiliser la faille ptrace. et pas besoin de rebooter.

Reply

Marsh Posté le 01-08-2003 à 19:58:28    

nikosaka a écrit :


oui ou elle a p-t servi de passerelle pour des scans d' @ip.
autrement moins propre que la soluce de 911gt3, tu peux utiliser un chtit exploit, par ex si ton
noyal est inférieur au 2.4.20 et non patcher tu peux utiliser la faille ptrace. et pas besoin de rebooter.


 
J'utilise effectivement une Debian 2.4.18-bf2.4, non patchée (pas la peine de vous dire "on a affaire à un champion" :D).
 
Tu peux développer un peu comment utiliser cette faille ?

Reply

Marsh Posté le 01-08-2003 à 20:01:16    

latruffe a écrit :


 
J'utilise effectivement une Debian 2.4.18-bf2.4, non patchée (pas la peine de vous dire "on a affaire à un champion" :D).
 
Tu peux développer un peu comment utiliser cette faille ?


tu recherches sur le net l'exploit ptrace.c , tu le compil, tu l execute et t es root.
puis passwd et ça roule

Reply

Marsh Posté le 01-08-2003 à 20:05:11    

bah merci bcp, je vais essayer ça.
 
Merci à tout le monde  :jap:

Reply

Marsh Posté le 01-08-2003 à 20:05:11   

Reply

Marsh Posté le 01-08-2003 à 20:22:47    

bah ça a marché  :ouch:  
Je suis un peu sur le cul quand même...
 
Merci encore à tout le monde.  :jap:  
 
Pas la peine de vous dire que je passe ma soirée à installer les patch de sécurité + iptables.  :ange:

Reply

Marsh Posté le 01-08-2003 à 20:43:20    

latruffe a écrit :

bah ça a marché  :ouch:  
Je suis un peu sur le cul quand même...
 
Merci encore à tout le monde.  :jap:  
 
Pas la peine de vous dire que je passe ma soirée à installer les patch de sécurité + iptables.  :ange:  


Bah passes a un 2.4.21+grsec ;o)
(dis t'il pour faire staïle [:ddr555] )

Reply

Marsh Posté le 01-08-2003 à 22:03:58    

Mikala a écrit :


Bah passes a un 2.4.21+grsec ;o)
(dis t'il pour faire staïle [:ddr555] )  


 
mais évite de le mettre en niveau HIGH parce qu'après, X démarre plus [:joce]


---------------
Membre du Front de Libération de Datoune | Soutenez le FLD | A Tribute To Datoune
Reply

Marsh Posté le 01-08-2003 à 22:31:43    

vanilla a écrit :

mais évite de le mettre en niveau HIGH parce qu'après, X démarre plus [:joce]


Bah en même temps, pour une passerelle accessible uniquement par SSH, X n'est pas forcément nécessaire ...
Ce que je conseillerais : une Deb stable sur laquelle tu mets les paquets Adamantix (autrement connue sous le nom de "Trusted Debian" ) dispo ici :
http://www.trusteddebian.org/
 
Tu peux suivre attentivement leur conseils et tutoriels, normalement tu ne devrais plus avoir te pbs de ce type. Ils proposent des noyaux compilés à leur manière avec tout les patches qui vont bien, ainsi que beaucoup de paquets (tout ce qui servira à ta passerelle pratiquement) ont été recompilés pour offrir une meilleur sécurité (Pax et compagnie). En faisant maj hebdomadaires avec apt et en configurant correctement ton système et ton iptables, tu devrais avoir quelque chose de bien balèze. Sinon, penses aussi à Bastille Linux ou d'autres kits si tu ne veux pas utiliser Adamantix.

Reply

Marsh Posté le 02-08-2003 à 00:02:43    


Je peux hurler ?
 
Oui, hurler, parce qu'il y a 99 % de chances pour qu'un rootkit soit installé sur ta machine, et qu'à partir de là en conserver le moindre exécutable ou librairie soit la dernière chose à faire !
 
Il n'y a qu'une chose à faire avec ta machine : La foutre en l'air !
 
Tu auras beau installer iptables et ce que tu veux, tu ne seras plus jamais chez toi ...  
 
Maintenant tu fais ce que tu veux ...
 
Coté firewall, une bonne alternative pour une configuration qui pense aux règles de bases pour nous (respect des RFC, anti spoof, etc), c'est shorewall : http://www.shorewall.net/
 
Bonne reinstallation (j'insiste FORTEMENT)
 
M

Reply

Marsh Posté le 02-08-2003 à 00:22:26    

- Fred - a écrit :


Bah en même temps, pour une passerelle accessible uniquement par SSH, X n'est pas forcément nécessaire ...


 
Je parlais pour une WS


---------------
Membre du Front de Libération de Datoune | Soutenez le FLD | A Tribute To Datoune
Reply

Marsh Posté le 02-08-2003 à 00:52:24    

vanilla a écrit :

Je parlais pour une WS


Bien sûr, mais dans le cas présent :

Citation :

J'utilise une passerelle linux pour me connecter au net et faire tourner quelques application (apache, mysql, samba). Je m'y connecte via ssh.


D'ailleurs, c'est plutôt normal et rassurant que grsec ne permette pas le lancement de X en mode de sécurité maximal ... non ?

Reply

Marsh Posté le 02-08-2003 à 01:02:57    

- Fred - a écrit :


Bien sûr, mais dans le cas présent :

Citation :

J'utilise une passerelle linux pour me connecter au net et faire tourner quelques application (apache, mysql, samba). Je m'y connecte via ssh.




Oui, c'est pour ça que je viens de préciser.
 

Citation :


D'ailleurs, c'est plutôt normal et rassurant que grsec ne permette pas le lancement de X en mode de sécurité maximal ... non ?


 
Oui évidemment, mais là n'est pas la question.
Enfin bref.


---------------
Membre du Front de Libération de Datoune | Soutenez le FLD | A Tribute To Datoune
Reply

Marsh Posté le 02-08-2003 à 01:04:14    

mailleque a écrit :


Je peux hurler ?
 
Oui, hurler, parce qu'il y a 99 % de chances pour qu'un rootkit soit installé sur ta machine, et qu'à partir de là en conserver le moindre exécutable ou librairie soit la dernière chose à faire !
 
Il n'y a qu'une chose à faire avec ta machine : La foutre en l'air !
 
Tu auras beau installer iptables et ce que tu veux, tu ne seras plus jamais chez toi ...  
 
Maintenant tu fais ce que tu veux ...
 
Coté firewall, une bonne alternative pour une configuration qui pense aux règles de bases pour nous (respect des RFC, anti spoof, etc), c'est shorewall : http://www.shorewall.net/
 
Bonne reinstallation (j'insiste FORTEMENT)
 
M


 
Pas faux :/
 
Je crois que je vais suivre ton avis alors...

Reply

Marsh Posté le 02-08-2003 à 01:13:00    

latruffe a écrit :

Pas faux :/
 
Je crois que je vais suivre ton avis alors...


Et qu'est-ce que tu penses de mon post, un peu plus haut ?

Reply

Marsh Posté le 02-08-2003 à 11:20:37    

- Fred - a écrit :


Et qu'est-ce que tu penses de mon post, un peu plus haut ?


 
 :hello:  
 
Bah tant qu'à reinstaller tout, autant le faire bien et prendre les recommandations d'Adamantix en considération. ;)
Et comme tu le disais, je n'ai pas besoin de serveur X.
 
Enfin, je pensais vraiment qu'un pauvre particulier comme moi était à l'abris de ce genre d'attaque  :(

Reply

Marsh Posté le 02-08-2003 à 11:30:31    

- Fred - a écrit :


Bah en même temps, pour une passerelle accessible uniquement par SSH, X n'est pas forcément nécessaire ...
Ce que je conseillerais : une Deb stable sur laquelle tu mets les paquets Adamantix (autrement connue sous le nom de "Trusted Debian" ) dispo ici :
http://www.trusteddebian.org/
 
Tu peux suivre attentivement leur conseils et tutoriels, normalement tu ne devrais plus avoir te pbs de ce type. Ils proposent des noyaux compilés à leur manière avec tout les patches qui vont bien, ainsi que beaucoup de paquets (tout ce qui servira à ta passerelle pratiquement) ont été recompilés pour offrir une meilleur sécurité (Pax et compagnie). En faisant maj hebdomadaires avec apt et en configurant correctement ton système et ton iptables, tu devrais avoir quelque chose de bien balèze. Sinon, penses aussi à Bastille Linux ou d'autres kits si tu ne veux pas utiliser Adamantix.


 
Juste une petite question si tu utilises Adamantis :
 
Il suffit simplement d'installer les 4 package via apt-get ? Ca semble un peut trop simple non ?

Reply

Marsh Posté le 02-08-2003 à 11:48:30    

latruffe a écrit :


 
Juste une petite question si tu utilises Adamantis :
 
Il suffit simplement d'installer les 4 package via apt-get ? Ca semble un peut trop simple non ?


bah en lisant le site c'est assez claire il me semble ;)
cf : http://www.trusteddebian.org/installation.html  
 

Reply

Marsh Posté le 02-08-2003 à 12:10:00    

mailleque a écrit :


Je peux hurler ?
 
Oui, hurler, parce qu'il y a 99 % de chances pour qu'un rootkit soit installé sur ta machine, et qu'à partir de là en conserver le moindre exécutable ou librairie soit la dernière chose à faire !
 
Il n'y a qu'une chose à faire avec ta machine : La foutre en l'air !
 
Tu auras beau installer iptables et ce que tu veux, tu ne seras plus jamais chez toi ...  
 
Maintenant tu fais ce que tu veux ...
 
Coté firewall, une bonne alternative pour une configuration qui pense aux règles de bases pour nous (respect des RFC, anti spoof, etc), c'est shorewall : http://www.shorewall.net/
 
Bonne reinstallation (j'insiste FORTEMENT)
 
M


 
tu as peut-être raison.
mais vu le mail que latruffe a reçu de son FAI je dirai que ça ressemble plus à du bounce scan. genre si tu à un accès anonyme sur ton serveur ftp.
mais si tu n'es pas sûr réinstall c'est beaucoup plus prudent.
et utilise des logiciels tel que tripwire ou AIDE pour vérifier l'intégriter des tes fichiers et binaires sensibles en plus de adamantix

Reply

Marsh Posté le 02-08-2003 à 13:00:47    

d ailleurs comment voir si un rootkit est present ??
 
fo se taper la verification des signature de tous les executables sensibles du systeme ?? :sweat:


---------------
:: Light is Right ::
Reply

Marsh Posté le 02-08-2003 à 15:00:43    

Aucune chance. Le "hacker" il installe un rootkit et il patch pas contre ptrace? Ca veut dire qu'il laisse son nouveau joujou accessible à n'importe qui? Il est pas très bon alors.
 
CHaiCA


Message édité par chaica le 02-08-2003 à 15:01:12
Reply

Marsh Posté le 02-08-2003 à 15:03:21    

chaica a écrit :

Aucune chance. Le "hacker" il installe un rootkit et il patch pas contre ptrace? Ca veut dire qu'il laisse son nouveau joujou accessible à n'importe qui? Il est pas très bon alors.
 
CHaiCA


patché le noyau ? donc rebooter la machine ?
(en admettant qu'il y ait un pass sur le bios au boot il aura l'air joli en perdant sa machine hackée :p )

Reply

Marsh Posté le 02-08-2003 à 15:11:44    

Faut vouar. Un password dans le bios ca signifie que le mec quand il veut rebooter son serveur il doit se déplacer. Si ton serveur est dans une salle serveur et que tu l'administres à distance, aucune chance. Si il est chez toi, pourquoi foutre un mdp au bios?  
 
M'enfin quandtu prends le contrôle d'une machine distante et que tu comptes la ré-utiliser, la première chose à faire c'est de la blinder selon moi.
Mais bon pour ce que j'y connais...
 
CHaiCA

Reply

Marsh Posté le 02-08-2003 à 15:37:48    

chaica a écrit :

Faut vouar. Un password dans le bios ca signifie que le mec quand il veut rebooter son serveur il doit se déplacer. Si ton serveur est dans une salle serveur et que tu l'administres à distance, aucune chance. Si il est chez toi, pourquoi foutre un mdp au bios?  
 
M'enfin quandtu prends le contrôle d'une machine distante et que tu comptes la ré-utiliser, la première chose à faire c'est de la blinder selon moi.
Mais bon pour ce que j'y connais...
 
CHaiCA


Une machine  dans une salle serveur sera assuré mieux protégé que la machine de notre ami la truffe ( le controle de cette machine étant dès lors _bcp_ plus difficile ) .
Quand au mot de passe dans le bios chez soi, pk pas ?  
Ne serais qu'un serveur disons a la FAQ, afin d'empecher le clampin moyen de faire ce qu'il veut sur une machine ' plus ou moins publique', ca me parait logique ( normalement il n' y a aucune raison de rebooter un *nux/*bsd ).
Pour la seconde partie si tu la blindes la machine, l'utilisateur 'normal' se rendra compte assez vite du problème (bah vi il n'a plus acces a sa machine ) ne serait ce que la, l'histoire de changer son pass root & donc tu perds bcp plus rapidement les avantages que tu aurais pu tiré de la machine ... il aurait mieux valu créer un autre compte ayant les memes droits que root que d'aller modifier directement le pass du root , ce n'est pas tres discret comme truc ;)
 

Reply

Marsh Posté le 02-08-2003 à 19:47:06    

comme installer un rootkit, par exemple....

Reply

Marsh Posté le 02-08-2003 à 22:39:07    

farib a écrit :

comme installer un rootkit, par exemple....


et comment le detecter ?? [:gratgrat]


---------------
:: Light is Right ::
Reply

Marsh Posté le 02-08-2003 à 23:34:04    

tomate77 a écrit :


et comment le detecter ?? [:gratgrat]


chkrootkit ?  
(ca devrait éliminer le plus gros :p )

Reply

Marsh Posté le 02-08-2003 à 23:44:20    

Mikala a écrit :


chkrootkit ?  
(ca devrait éliminer le plus gros :p )
 


oui ok c le + connu, mais y a rien d autre ??
 
c un peu lege je trouve :/


---------------
:: Light is Right ::
Reply

Marsh Posté le 03-08-2003 à 00:08:24    

tomate77 a écrit :


oui ok c le + connu, mais y a rien d autre ??
 
c un peu lege je trouve :/


 
Tu décompiles toi-même 'ls' et tu vérifies le code décompilé.
Sur tous les rootkits tu auras une version de 'ls' modifiée.
Pour être sûr, décompile les commandes comme 'top' ou 'ps' aussi.


Message édité par vanilla le 03-08-2003 à 00:09:00

---------------
Membre du Front de Libération de Datoune | Soutenez le FLD | A Tribute To Datoune
Reply

Marsh Posté le 03-08-2003 à 00:09:44    

vanilla a écrit :


 
Tu décompiles toi-même 'ls' et tu vérifies le code décompilé.
Sur tous les rootkits tu auras une version de 'ls' modifiée.
Pour être sûr, décompile les commandes comme 'top' ou 'ps' aussi.


mes journees ne font ke 24h malheureusement ;)


---------------
:: Light is Right ::
Reply

Marsh Posté le 03-08-2003 à 00:12:12    

tomate77 a écrit :


mes journees ne font ke 24h malheureusement ;)


 
Ca prend 30 secondes à vérifier par rapport à un 'ls' normal.
Et puis si ça t'intéresses pas alors réinstalle le système sans comprendre comment ta machine s'est fait rootée et puis basta.
 
Mais demande pas après comment on peut faire pour savoir si ya un rootkit d'installer si tu n'as pas le temps [:kiki]


---------------
Membre du Front de Libération de Datoune | Soutenez le FLD | A Tribute To Datoune
Reply

Marsh Posté le 03-08-2003 à 00:16:30    

vanilla a écrit :


 
Ca prend 30 secondes à vérifier par rapport à un 'ls' normal.
Et puis si ça t'intéresses pas alors réinstalle le système sans comprendre comment ta machine s'est fait rootée et puis basta.
 
Mais demande pas après comment on peut faire pour savoir si ya un rootkit d'installer si tu n'as pas le temps [:kiki]  


fo pas s enerver comme ca mo, bon monsieur :o


---------------
:: Light is Right ::
Reply

Marsh Posté le 03-08-2003 à 00:17:31    

tomate77 a écrit :


fo pas s enerver comme ca mo, bon monsieur :o


 
 :o


---------------
Membre du Front de Libération de Datoune | Soutenez le FLD | A Tribute To Datoune
Reply

Marsh Posté le 03-08-2003 à 01:35:00    

:sarcastic:


---------------
:: Light is Right ::
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed