banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận hệ điều hành *nix Password root tự đổi !  XML
  [Discussion]   Password root tự đổi ! 27/01/2010 09:15:57 (+0700) | #1 | 203966
vodanh7x
Member

[Minus]    0    [Plus]
Joined: 05/07/2007 19:51:15
Messages: 4
Offline
[Profile] [PM]
Hiện tại mình đang sử dụng 1 server dùng Centos 5.2
Tuy nhiên luôn có hiện tượng lạ là server bị đổi pass sau vài ngày ,mình đã crack lại pass nhưng vẫn bị đổi .
Mình nghĩ đã có ai đặt 1 đoạn script thực hiện việc này ,hoặc server đã nhiễm 1 loại rootkt .Bạn nào từng có kinh nghiệm về xử lý việc này có thể cho mình một lời khuyên và cách fix .
Cảm ơn các bạn nhiều
[Up] [Print Copy]
  [Discussion]   Password root tự đổi ! 27/01/2010 10:32:33 (+0700) | #2 | 203971
[Avatar]
quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]
Server này có nhiều người sử dụng? Mình nghĩ crontab là cái cần kiểm tra đầu tiên.
Let's build on a great foundation!
[Up] [Print Copy]
  [Discussion]   Password root tự đổi ! 27/01/2010 14:48:35 (+0700) | #3 | 203986
vodanh7x
Member

[Minus]    0    [Plus]
Joined: 05/07/2007 19:51:15
Messages: 4
Offline
[Profile] [PM]
Server này chỉ có 2 người sử dụng mình và bạn mình ,nhưng mình thì ít vào .Sau khi kiểm tra thì mình thấy server đã bị thâm nhập và hacker (người đức) đã cài 1 loại sshd backdoor ,thay thế toàn bộ các file liên quan đến service sshd
Đoạn code như sau


Theo như đoạn code trên thì các file cấu hình liên quan và thư viện đều đã bị thay thế .Có ai giúp mình biết về dạng backdoor này và cách fix hay không !?
Vì hiện tại có đổi pass root thì vẫn sẽ bị đổi ngược trở lại .
[Up] [Print Copy]
  [Discussion]   Password root tự đổi ! 27/01/2010 15:49:20 (+0700) | #4 | 203989
[Avatar]
quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]
Bạn thử tìm và xóa các files đó đi, khôi phục các dịch vụ liên quan, kiểm tra lại với chkrootkit, rkhunter,...

Nếu vẫn không an tâm thì tốt nhất là backup các files cấu hình và cài lại OS.
Let's build on a great foundation!
[Up] [Print Copy]
  [Discussion]   Password root tự đổi ! 28/01/2010 04:24:32 (+0700) | #5 | 204035
Mr.Khoai
Moderator

Joined: 27/06/2006 01:55:07
Messages: 954
Offline
[Profile] [PM]
vodanh7x,

Cá nhân khoai nghĩ nếu bị root compromised thì tốt nhất là backup lại dữ liệu rồi fresh install lại từ đầu. Như vậy chắc ăn hơn. Nếu bên tấn công có thể sử dụng kernel level rootkit thì không có gì đảm bảo các tools trên có thể nhận ra được.

khoai
[Up] [Print Copy]
  [Discussion]   Password root tự đổi ! 28/01/2010 13:35:18 (+0700) | #6 | 204062
vodanh7x
Member

[Minus]    0    [Plus]
Joined: 05/07/2007 19:51:15
Messages: 4
Offline
[Profile] [PM]
theo đoạn code trên thì hacker vẫn lưu các file thư viện gốc của Openssh ở 1 thư mục riêng /etc/rpm và chép các file của hacker vào .Mình đã làm ngược lại để đưa các file hệ thống gốc vào lại thay vì phải cài lại OpenSSH .Tuy nhiên rất có thể hacker vẫn thay thế các hàm thư viện và cài đặt các rookit khác .Mình đã listen port thì thấy có mở port 465 tuy port này của Openssl nhưng chrookit báo là shell nên đã cài firewall chặn tất cả các port chỉ để lại port web và mail .
Đổi port ssh và ngăn root login trực tiếp .Chỉ cho phép Ip mình xác định được ssh vào server và tiếp tục theo dõi tiếp .Vì đây là server của khách hàng build nhiều cấu hình riêng nên hiện tại ko thể reinstall lại được . smilie
[Up] [Print Copy]
  [Discussion]   Password root tự đổi ! 28/01/2010 15:51:18 (+0700) | #7 | 204073
StarGhost
Elite Member

[Minus]    0    [Plus]
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
[Profile] [PM]
Không cài lại được thì ít nhất recompile lại kernel đi (hoặc nếu đã backup image ở đâu đó thì paste lại, kể cả file initrd luôn), để đề phòng những vấn đề như Mr.Khoai đề cập ở trên. Ngoài ra kiểm tra scripts của tất cả start up services để loại bỏ khả năng script của hacker tự động khởi động cùng hệ thống.
Mind your thought.
[Up] [Print Copy]
  [Discussion]   Password root tự đổi ! 28/01/2010 19:55:05 (+0700) | #8 | 204090
[Avatar]
Phó Hồng Tuyết
Member

[Minus]    0    [Plus]
Joined: 20/04/2007 20:02:10
Messages: 275
Location: Nơi Sâu Thẳm Tâm Hồn
Offline
[Profile] [PM] [WWW] [Yahoo!]
theo như bạn nói ở trên thì bạn nên kiểm tra thêm những phần như sau:

1. duy nhất account root có uid =0
awk -F: '($3 == "0") {print}' /etc/passwd
2.
Kiểm tra xem root có được quyền login ftp không. Nếu có disable nó.
3.
nếu cẩn thận hơn bạn nên kiểm tra lại SUID and SGID Binaries.


"Một người thành công không có ý nghĩ đổ thừa thất bại do ...."
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|