Recuperer le root en rescue



  • Bonjour à tous , j'ai actuelement mon serveur 120 en rescue car mon root à été hacké en mode normal (plus de ssh donc …)
    Je sais éditer le fichier /etc/shadow mais ne sait pas quoi retirer --'
    Voici mon fichier :```
    root:$6$oCshEpNN$3oi1Wzg.GZ0Hq4yyBJQDY4oni7aFbmPL6FQEXcMk2ipYoiJRZTHi0UaTlLjeE$
    halt::9797:0:::::
    operator:
    :9797:0:::::
    shutdown::9797:0:::::
    sync:
    :9797:0:::::
    bin::9797:0:::::
    daemon:
    :9797:0:::::
    adm::9797:0:::::
    lp:
    :9797:0:::::
    mail::9797:0:::::
    postmaster:
    :9797:0:::::
    news::9797:0:::::
    uucp:
    :9797:0:::::
    games::9797:0:::::
    guest:
    :9797:0:::::
    nobody:*:9797:0:::::
    sshd:!:14049:0:99999:7:::
    cron:!:15279::::::
    thttpd:!:15279::::::

    Merci d'avance et bonne journée :]

  • Administrateur

    /etc/shadow = shadow de la rescue.
    Ton disque dur doit être monté dans /mnt (à vérifier).
    Donc il faut aller ouvrir /mnt/etc/shadow

    Un fdisk -l m'aidera à préciser la chose.



  • Ben je peux pas copier-coller le fdisk entier(je fait tout via mon mobile …)
    Mais dans /mnt j'ai quelques dossiers vides qui ne viennent pas de mon disque dur :

    .
    ./backup
    ./windows
    ./gentoo
    ./custom
    ./.keep
    ./cdrom
    ./cdrom/.keep
    ./floppy
    ./floppy/.keep
    

    Mon fdisk -l:

    Disk /dev/sda: 1000.2GB
    Disk identifier: 0x0004a1ec
    
    Device      boot   System
    /dev/sda1  *      Linux Raid autodetect
    /dev/sda2         Linux Raid autodetect
    /dev/sda3         Linux swap / Solaris
    /dev/sda4         Linux raid autodetect
    
    ```Pareil pour /dev/sdb
    Reste Disk /dev/md127 , Disk /dev/md126 qui semble etre ma partition (vu la taille) et Disk /dev/md125
    
    Merci d'avance de vos réponses :/


  • Pour info, par rapport à ton hack du root, pour la prochaine fois : crée un user et un groupe bien précis, désactive le SSH sur le root et l'accès au SSH pour tout user / group différent de celui que tu auras défini, ça t'évitera ce genre de soucis.

    Bon courage :)



  • Je sais , j'aurais du le faire mais j'ai oublié dans la précipitation :/
    Mon fdisk indique-t-il quelque chose de concluant ?

    Merci pour vos reponses ^^



  • Bon , j'ai réussi à monter mon disque sur le /mnt , j'ai enlevé une partie du fichier shadow dans /mnt/etc/shadow
    Voila ce que ça donne :

    root::15365:0:99999:7:::
    daemon:*:15280:0:99999:7:::
    bin:*:15280:0:99999:7:::
    sys:*:15280:0:99999:7:::
    sync:*:15280:0:99999:7:::
    games:*:15280:0:99999:7:::
    man:*:15280:0:99999:7:::
    lp:*:15280:0:99999:7:::
    mail:*:15280:0:99999:7:::
    news:*:15280:0:99999:7:::
    uucp:*:15280:0:99999:7:::
    proxy:*:15280:0:99999:7:::
    www-data:*:15280:0:99999:7:::
    backup:*:15280:0:99999:7:::
    list:*:15280:0:99999:7:::
    irc:*:15280:0:99999:7:::
    gnats:*:15280:0:99999:7:::
    nobody:*:15280:0:99999:7:::
    libuuid:!:15280:0:99999:7:::
    sshd:*:15280:0:99999:7:::
    user:$6$rkwokdiU$XRjZYjAlnciHg7ZbgPEaXWGsxI3SALBlbT4CIhqaDBwQTnf6ON7FzglPuIj8UsIhkAgUTLF0X1EVVM.vQpnLj0:15365:0:99999:7:::
    Debian-exim:!:15365:0:99999:7:::
    srcds:$6$SsQI9aDg$xUHccGBHDCo0sb984Dd7irbzW/sEKMAr0igpyxdsm29bafVK3DMTHCF.tE4Ljr4qZnxDtbTw4fcxiioEUXfk6/:15365:0:99999:7:::
    minecraft:$6$rbq.wWSI$EcTE0hi5LvWAzxkWhTXgDa/fe2a2Mk4E4DRFX5ps5aTEP71idqJfmFbYyuCKPXBuwvDcrR8ZKc4GLeCQzbLj61:15365:0:99999:7:::
    ntp:*:15365:0:99999:7:::
    mysql:!:15365:0:99999:7:::
    munin:*:15366:0:99999:7:::
    messagebus:*:15367:0:99999:7:::
    avahi:*:15367:0:99999:7:::
    ftp:*:15372:0:99999:7:::
    anubis:$6$F6jpSAHs$ktoaMn1H662bdDvRxQm795qRI0J7UkKqZkmSKi37xvybXpiiGcIVKqIjLdj05g81xPj2SkbrNpdWRKqq5InAb.:15375:0:99999:7:::
    
    

    Merci d'avance (si c'est bon passe moi en normal captuss ^^)


  • Administrateur

    Tu as "enlevé" ? Là, ton root n'a plus de mot de passe, ça va être compliqué pour faire fonctionner ton serveur :)



  • Et je met quoi alors (chroot non fonctionel en rescue donc pas de passwd …)

    Merci d'avance ;]



  • Endroit te permettant de savoir quel alghorithme de Hash est utilisé par le /etc/shadow >

    less /etc/pam.d/common-password
    
    Identifier ceci :
    password        [success=1 default=ignore]      pam_unix.so obscure sha512
    
    

    Ce dernier exemple utilises le SHA512 > Creer un pass SHA512 :

    openssl passwd -1 pass
    
    ```Résutat : "$1$szO9LIs4$dYc0UqRRsd30cmZAUi8bn/"
    Ceci est du MD5, je doutes que sa passes en fonction des $6 que tu disposes déja dans ton /etc/passwd, cherchons donc un autre moyen…
    Trouvé, python >
    

    python -c "import crypt; print crypt.crypt('monpass', '$6$mon-salt')"
    monpass > ton mot de passe
    mon-salt > Un salt personnel (Type de clé : Asymétrique)

    Ce qui ressembles plus a ce que tu as dans ton /etc/passwd
    
    Une autre méthode résides par l'utilisation de Perl qui fournis encore autre chose :
    

    perl -e 'print crypt("lepasswordquetuveux", "unix")'

    
    Avec sa, tu devrais t'en sortir, attention il faut appliquer le cryptage qui est cherché et décrit ici > /etc/pam.d/common-password
    
    Pour toi > /mnt/etc/pam.d/common-password


  • Ben en fait je vai plutôt réinstaller car même captuss ne sait pas reboot le ssh …
    Donc autant réinstaller ^^
    Merci quand même



  • Roooh, bouh caaptuss ;)

    Viens par la que je t'attrape ;)


Se connecter pour répondre
 

Il semble que votre connexion ait été perdue, veuillez patienter pendant que nous vous re-connectons.