Security Lab



Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти  
Форум » Администрирование » UNIX системы
Страницы: 1 2 След.
RSS
Похоже взломали ;(
 
#1
Это нравится:0Да/0Нет
16.02.2009 22:17:15
Есть jail на freebsd 6.2 в который есть виртуальный сервер с парой сайтов.
Вчера не смог зайти в него со своим паролем, получив сообщение.

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the DSA host key has just been changed.
The fingerprint for the DSA key sent by the remote host is
xxxxxxxxxxxxx.
Please contact your system administrator.
Add correct host key in /.ssh/known_hosts to get rid of this message.
Offending key in /.ssh/known_hosts:2
DSA host key for ip-adress has changed and you have requested strict checking.
Host key verification failed.

Админ сменил мне пароль, но ни я, ни он не смогли зайти и с новым паролями.
Рутового пароля внутри jail, к сожалению не было, по ходу дела он тоже изменен, потому что теперь запрашивается.
У него не было времени разбираться, но он сказал, что изменен sshd_config.
Админ может быть и разберется, но он занятой, может быть есть конкретные рекомендации, чтобы не терять время.
Что делать? Помогите пожалуйста!
 
 
 
#2
Это нравится:0Да/0Нет
17.02.2009 10:54:44
Твой ssh говорит, что ключ удаленной системы не совпадает с ключом, сохраненным в твоем файле .ssh/known_hosts.
Но это не обязательно изменение ключа удаленной системы. Мог измениться сохраненный у тебя ключ.
Опять же может быть, что ни один ключ не изменился, а проводится атака MITM (man-in-the-middle attack).
Цитата
Magi пишет:
Админ сменил мне пароль, но ни я, ни он не смогли зайти и с новым паролями.
Как же ты зайдешь с новым или старым паролем, если ssh тебе не дает авторизовываться, т.е. вводить пароль? Или все же дает? Из письма не ясно.

В любом случае, опиши все подробнее.
 
 
 
#3
Это нравится:0Да/0Нет
17.02.2009 11:11:51
Я удалял ключ на локальном компьютере. После этого все равно не получалось зайти, ни со старым паролем, ни с новым после того, как админ его его сменил.
 
 
 
#4
Это нравится:0Да/0Нет
17.02.2009 11:12:28
Magi, гы :)
Заходи в "vi ~/.ssh/known_hosts". Ищи строчку своего сервера, куда подключаешься и просто удаляй ее.
 
 
 
#5
Это нравится:0Да/0Нет
17.02.2009 11:19:37
Гы. Делал.
 
 
 
#6
Это нравится:0Да/0Нет
17.02.2009 11:25:23
И что пишет ? Можешь подробней описать все ?
Попроси админа изменить пароль. Когда изменит удали строчку с этого файлика и когда будешь в следующий раз подключаться не сохраняй ключ.
 
 
 
#7
Это нравится:0Да/0Нет
17.02.2009 11:29:25
Ты не ответил. Дает ssh вводить пароль или продолжает писать "Host key verification failed."?
 
 
 
#8
Это нравится:0Да/0Нет
17.02.2009 12:32:21
Ввести дает, только все попытки неверные и после 3-ей - отлуп
The authenticity of host 'ip-adress' can't be establi
shed.
DSA key fingerprint is ключ.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'land-shk.lipetsk.ru' (DSA) to the list of known host
s.
Password:
Password:
Password:
Permission denied (publickey,keyboard-interactive).

Сменить пароль попросил, но админ пока не ответил. Сделает, выложу, что получилось.
 
 
 
#9
Это нравится:0Да/0Нет
17.02.2009 12:38:10
Да, вот еще до смены пароля
The authenticity of host 'ip-address' can't be established.
DSA key fingerprint is ключ.
Are you sure you want to continue connecting (yes/no)? no
Host key verification failed.

Наверное после смены пароля будет тоже самое.
 
 
 
#10
Это нравится:0Да/0Нет
17.02.2009 13:42:44
Кроме MiTM это может быть ещё банальной попыткой использовать IP адрес
твоего jail'а другим хостом. Возможно даже по-ошибке.

Смотрите с админом лог /var/log/messages... Там такое отмечается по-дефолту.
Изменено: ClosedGL - 17.02.2009 13:43:15
 
 
 
#11
Это нравится:0Да/0Нет
17.02.2009 14:29:12
Админ пока не ответил.
Еще симптомы, которые видны снаружи. Сами 2 сайта которые в этом jail загружаются и работают нормально. За одним странным исключением.
Почта с них ходит нормально. В спамерские списки попасть не успел, проверял. На одном хосте есть модификация php-скрипта, которая одновременно с публикацией новости на сайте рассылает ее подписчикам через mailman. Так вот эта рассылка прекратилась. Но например письма о регистрации новых пользователей, рассылки daily run security приходят, но ничего подозрительного не содержат. Mailman доступен через веб-интерфейс, в его архиве нет новых новостей, после отправки, в норме, они должны туда помещаться.
 
 
 
#12
Это нравится:0Да/0Нет
17.02.2009 14:32:33
Ну все правильно. Ты удалил ключ удаленной системы. Так что ssh пристает к тебе с вопросом, так как не может проверить ключ.
Цитата
The authenticity of host 'ip-adress' can't be established.
DSA key fingerprint is ключ.
Are you sure you want to continue connecting (yes/no)?

Говоришь Да:
Цитата
yes
Warning: Permanently added 'land-shk.lipetsk.ru' (DSA) to the list of known host
s.
ssh добавил новый ключ в хранилище и если при следующем коннекте ключ удаленной системы совпадет с сохраненным, соединение будет считаться аутентифицированным по ключам.

Говоришь Нет:
Цитата
no
Host key verification failed.
Новый ключ не добавляется и соединение сбрасывается.

А вот почему не подходит пароль, это вопрос к одмину.
 
 
 
#13
Это нравится:0Да/0Нет
18.02.2009 10:14:15
Похоже дело не в ключах, т.к. админа не пустило с консоли su -l и после смены пароля тоже самое. Он предполагает, что изменился механизм авторизации.
В другом jail на этом сервере после перезагрузки все нормально. Что можно сделать в этом случае?
 
 
 
#14
Это нравится:0Да/0Нет
18.02.2009 10:33:18
Слушай. Ну если одмин, имеющий доступ к консоли, не может разобраться, то что же ты хочешь от нас?
Хотя... Авансом $50 плюс расчет по факту и ssh доступ снаружи jail...
 
 
 
#15
Это нравится:0Да/0Нет
18.02.2009 11:03:12
а если вот так
ssh user@host -p port
неужель тоже неполучится ?
 
 
 
#16
Это нравится:0Да/0Нет
18.02.2009 12:39:21
А в чем разница от обычного подключения?

> ssh user@host -p 22
The authenticity of host 'user@host' can't be established.
DSA key fingerprint is ключ.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'host' (DSA) to the list of known host
s.
Password:
Password:
Password:
Permission denied (publickey,keyboard-interactive).
 
 
 
#17
Это нравится:0Да/0Нет
18.02.2009 12:50:17
А в чем принципиальная разница? Я так уже пробовал.

ssh user@host -p 22
The authenticity of host 'host' can't be established.
DSA key fingerprint is ключ.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'host' (DSA) to the list of known hosts.
Password:
Password:
Password:
Permission denied (publickey,keyboard-interactive).
 
 
 
#18
Это нравится:0Да/0Нет
18.02.2009 21:42:29
А к базовой-то машине доступ - есть? Или там такой админ, что ему это все равно не поможет?

С "верхней машины" положить jail, смонтировать /bin и т.п. в ro с базовой машины:
Код
/bin                 /path/jail/bin              nullfs    ro  0  0
/sbin                /path/jail/sbin             nullfs    ro  0  0
/lib                 /path/jail/lib              nullfs    ro  0  0
/libexec             /path/jail/libexec          nullfs    ro  0  0


ну и  ключики для ssh авторизации надо использовать - по ним пускает даже при блокировании юзера в /etc/passwd
Изменено: Andrey Y. Ostanovsky - 18.02.2009 21:47:27
 
 
 
#19
Это нравится:0Да/0Нет
21.02.2009 18:09:27
Цитата
ну и  ключики для ssh авторизации надо использовать - по ним пускает даже при блокировании юзера в /etc/passwd

Это как такое может быть ?
 
 
 
#20
Это нравится:0Да/0Нет
22.02.2009 00:01:54
Цитата
arkan пишет:
Это как такое может быть ?
Это - фича, о которой следует помнить.:)
 
 
 
Страницы: 1 2 След.
Читают тему