16.12.2018, 00:54 UTC+1

Sie sind nicht angemeldet.

  • Anmelden
  • Registrieren

1

21.02.2011, 13:53

[geschlossen] Backupserver wurde gehackt und das Passwort verändert und u.a. SSH runtergeschmissen - Wie kann ich mein Passwort wiederherstellen?

Hallo Leute,

Unser SQL-Backupserver wurde über das Wochenende gehackt und jetzt funktioniert mein Passwort nicht mehr.

Es wurde scheinbar auch einiges im System umgekrämpelt, habe ihn erstmal vom Netz genommen.

Aber wie bekomme ich mein Passwort zurück, hat da jemand irgendeine Idee?
God save the tux !

Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von »knoppixuser« (02.03.2011, 10:29)


RalfonLinux

Erleuchteter

Beiträge: 2 936

Geschlecht: Männlich

2

21.02.2011, 14:16

Wieso steht ein SQL-BackupServer im Internet ?
Wie sieht die Hardware aus ? (Raid/DMRaid ?)
Verschlüsseltes Dateisystem ?
Was sagen die Firewalllogs ?
Wieso postest du in "Anwendungssoftware", ist doch eher was für "Retter in der Not", oder ?

Ralf
Auf Wunsch gibt es nur noch Text und keine Bilder mehr in der Signatur.
Keine ? ....... :evil:

Quellcode

1
2
3
4
5
6
7
8
.
    ~
   - -          M
   /V\         - *
  // \\        /V\
 /( _ )\      // \\
  ^~ ~^      /( _ )\
              ^~ ~^

3

21.02.2011, 15:21

Naja weil da ja viele Leute Zugriff auf Ihre Backups brauchen.

Verschlüsselt waren die Daten bis jetzt noch nicht, wir wollten das Ding schon ersetzen aber bis jetzt ist leider noch niemand dazu gekommen.

Also, wie auch immer:

Ein HardwareRaid, SCSI Target.

Die Firewalllogs werden vom Admin ausgewertet, während parallel schon ein neuer aufgesetzt wird.

Wir müssen halt irgendwie wieder an das Passwort kommen damit alles sauber übertragen werden kann.

Festplatten ausbauen und rüberkopieren ist gerade ganz schlecht, auch wegen der kompatibilität.

Das nächste Problem ist das man von aussen die Platten noch nicht mal mounten kann.

Retter in Not, ja sorry, kann man auch verschieben?
God save the tux !

Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von »knoppixuser« (21.02.2011, 17:49)


RalfonLinux

Erleuchteter

Beiträge: 2 936

Geschlecht: Männlich

4

21.02.2011, 15:34

Zitat

naja weil da ja viele Leute Zugriff auf Ihre Backups brauchen.

Deswegen bekommen die Leute einen Zugang auf den Server ?
ich dachte, sowas macht man über (s)ftp, aber auf jeden Falls mit Key und nicht mit Passwort.

Zitat

Das nächste Problem ist das man von aussen die platten noch nicht mal mounten kann.

Ist klar, da sie im NFS nicht veröffentlicht sind, und dein ssh nicht mehr existiert.

Kannst du die Platten sehen und darauf zugreifen, wenn du den Rechner mit einer KNOPPIX-CD hochfährst ?

Zitat

Retter in Not, ja sorry, kann man auch verschieben?

Verschoben habe ich es gerade.

Ralf
Auf Wunsch gibt es nur noch Text und keine Bilder mehr in der Signatur.
Keine ? ....... :evil:

Quellcode

1
2
3
4
5
6
7
8
.
    ~
   - -          M
   /V\         - *
  // \\        /V\
 /( _ )\      // \\
  ^~ ~^      /( _ )\
              ^~ ~^

5

21.02.2011, 17:43

danke fürs verschieben.

Ja klar doch, ich meinte die Daten auf den Platten sind nicht verschlüsselt.

Aber der Server wurde trotzdem irgendwie gehackt und da das Passwort geändert wurde habe ich jetzt keinen richtigen Zugriff mehr.

Ändern kann ich es ja so jetzt auch nicht einfach mit dem üblichen Kommando.

Mir fällt aber auch nix ein wie es sonst klappen könnte.

Ich hab ihn ja schon vom Netz und die 6.4.3er CD gebootet und sehe die Platten im Pcmanfm aber ich kann sie halt nicht mounten.

Erst bekomme ich eine Meldung dass das Filesystem veraltet ist und dann mit Gparted wird unbenutzter Speicherplatz angezeigt.

Das Filesystem ist noch Raiserfs aber das wird ja unterstützt (oder nicht?) und mit der UMBCD war das gleiche mit dem Partedmagic oder wie das nochmal hieß.

Ich weis jetzt echt nicht mehr weiter.
God save the tux !

Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von »knoppixuser« (22.02.2011, 15:08)


RalfonLinux

Erleuchteter

Beiträge: 2 936

Geschlecht: Männlich

6

23.02.2011, 13:43

Zitat

Erst bekomme ich eine Meldung dass das Filesystem veraltet ist und dann mit Gparted wird unbenutzter Speicherplatz angezeigt.


Das sagt mir garnichts.

Von welchem System hast du den installiert ?
Meistens sind die Install-CDs auch eine Rescue/Live-CD
Die sollte das RaiserFS ja auf jeden Fall verstehen.

Um das Kennwort zu ändern brauchen wir erstmal schreibenen Zugriff auf den Ordner /etc deines Servers.

Ralf
Auf Wunsch gibt es nur noch Text und keine Bilder mehr in der Signatur.
Keine ? ....... :evil:

Quellcode

1
2
3
4
5
6
7
8
.
    ~
   - -          M
   /V\         - *
  // \\        /V\
 /( _ )\      // \\
  ^~ ~^      /( _ )\
              ^~ ~^

7

02.03.2011, 10:28

Zitat

Erst bekomme ich eine Meldung dass das Filesystem veraltet ist und dann mit Gparted wird unbenutzter Speicherplatz angezeigt.


Das sagt mir garnichts.

Von welchem System hast du den installiert ?
Meistens sind die Install-CDs auch eine Rescue/Live-CD
Die sollte das RaiserFS ja auf jeden Fall verstehen.

Um das Kennwort zu ändern brauchen wir erstmal schreibenen Zugriff auf den Ordner /etc deines Servers.

Ralf


Es ist Debian 3.1 drauf.

Das Problem ist das ich ohnehin keinen Root-Zugriff auf /etc bekomme ohne bekanntes Root-Passwd und selbst mit der 5ten Live-CD bekomme die Platten auch nicht gemountet.

Jetzt geb ichs echt auf und schließe den Beitrag.
God save the tux !

RalfonLinux

Erleuchteter

Beiträge: 2 936

Geschlecht: Männlich

8

02.03.2011, 11:18

Um es mal für die Nachwelt zu dokumentieren.
Eine LiveCD hat ihren eigenen root

Wenn ich also von einer LiveCD boote, bin ich berechtigt mir jede Partition des Servers mounten, ob ich dort nun root-Zugriff hätte oder auch nicht.
Sofern die Partition nicht verschlüsselt ist, sollte das mounten kein Problem darstellen.

Wenn man das alte /etc vom Server gefunden hat (z.B. /dev/sda7) kann man es sich z.B. unter /mnt/old_etc mounten.

Nun die Datei /mnt/oldetc/etc/passwd öffnen, und die Zeile

Quellcode

1
root:x:0:0:root:/root:/bin/bash
um das x bereinigen, damit folgendes dabei raus kommt.

Quellcode

1
root::0:0:root:/root:/bin/bash


Nun die Datei /mnt/old_etc/etc/shadow öffnen und die Zeile

Quellcode

1
root:$2a$05$xE.......eKwTyu2:14726::::::
um den kryptischen Eintrag bereinigen

Quellcode

1
root::14726::::::


Nach einem Neustart ist das Anmelden am Server als root OHNE Passwort möglich.

Somit kann ich also nur wieder darauf hinweisen, das der physikalische Zugriff auf einen Server mechanisch gesichert sein muss.
Also Zugangskontrollmechanismen einführen !

Ralf
Auf Wunsch gibt es nur noch Text und keine Bilder mehr in der Signatur.
Keine ? ....... :evil:

Quellcode

1
2
3
4
5
6
7
8
.
    ~
   - -          M
   /V\         - *
  // \\        /V\
 /( _ )\      // \\
  ^~ ~^      /( _ )\
              ^~ ~^

Linux HardwareLinux Computer & PCs | Linux Notebooks & Laptops | Geek Shirts | Geek und Nerd Shirt Shop