Re: bad user name www-data

Victor Calzado Mayo Wed, 23 Apr 2003 05:02:24 -0500

Si te vas fijando en lo que te cuenta....


> ...
> Unknown id: news

De momento el usuario news no es reconocido


> starting printer spooler: lpd.
> Not starting NFS kernel daemon: No exports.
> Starting Samba daemons: nmbd smbd.
> Starting openBSD Secure Shell Server: sshdPrivilege separation user sshd
> does not exist

Tampoco el usuario ssh, vaya, empieza a ser algo sospechoso...

> .
> Starting deferred execution scheduler: atd.
> Starting periodic command scheduler: cron.
> Starting Web Server: apacheapache: bad user name www-data failed
>

Hummmmm, �tampoco www-data?



> Debian GNU/linux 3.0 srv2 tty1
>
> srv2 login:
> ....
> He aqu� que ning�n usuario es reconocido (solo ten�amos tres)
>

Y los tres usuarios que hab�as creado tampoco funcionan....


En principio el problema lo tienes bastante aislado ya, por la raz�n que sea 
tu m�quina no puede leer el /etc/passwd ( ten en cuenta que se queja de que 
no reconoce ids (uids) ) o el /etc/shadow pero parte de las invocaciones que 
el sistema hace para arrancar servicios desde root como otros usuarios no 
requieren de validaci�n de contrase�a ( de hecho los usuarios de los 
aplicativos no suelen tener password e incluso para seg�n que ni shell )


> Intento determinar qu� paso para que dos servidores que est�n funcionando
> hace tres meses sin problemas (como servidores de p�ginas Web con Apache)
> dejan de andar sin motivo conocido por nosotros.

Hummmmmmmmmm, �esos servidores ejecutaban un servidor web seguro ( https )?

Ten en cuenta que el historial de seguridad de openssl de un tiempo a esta 
parte est� lleno de fallos explotables muchos de ellos desde apache que 
comprometen totalmente la seguridad de un servidor con versiones vulnerables.

�se ejecutaba diar�amente un apt-get update && apt-get upgrade y se ten�an las 
lineas apropiadas que apuntaban a security.debian.org ?



> Un dato: el server funcionaba de manera correcta. Se dio de alta un usuario
> nuevo y se re-arranco el servidor: No anduvo mas.

�Se arranco despu�s de una caida o se reinci�? Puede que sea un simple 
problema de consistencia del sistema de archivos?


�Se copi� convenientemente toda la informaci�n necesaria?





Yo optar�a por el cl�sico:

rescbf24  root=/dev/sda2 init=/bin/bash


Comprueba que el archivo de password est� en su sitio, comprueba los permisos, 
e incluso arranca directamente desde el cd de rescate, carga el m�dulo de 
soporte scsi que necesites y ejecuta fsck por si el problema es simplemente 
ese. Desde ah� tienes acceso a todos los errrores que haya generado la 
m�quina y dem�s, aprovecha tambi�n para comprobar que la m�quina no tiene 
guarradas por ah�, los gusanos que atacaban apache por ssl dejaban scripts en 
/tmp, con lo que el reboot los habr� borrado, en cualquier caso si tienes 
dudas tienes dos opciones, o te dedicas a la pr�ctica forense o reinstalas, 
pero recuerda que un sistema no actualizado es un sistema inseguro por 
definici�n independientemente de la seguridad de los procedimientos empleados 
para endurecerlo y dem�s, como consejo, a mi me quito bastantes dolores de 
cabeza cuando surgio el problema con los gusanos de ssl en apache, es 
bastante util montar /tmp en una partici�n independiente de / y eliminar los 
permisos de ejecuci�n en �l, te evitas ejecuci�n de scripts y todos los 
posibles ataques basados en hard links contra nombre de archivos predecibles, 
y tambi�n una buena parte de los ataques al sistema de manuales ( man y sus 
comandos auxiliares ). 


un saludo
Victor





>
> Si bien soy nuevo en linux (quiz� demasiado) hace veinte a�os que estoy en
> el tema (hasta ahora con servidores Novell) y creo que lo que nos pas�
> puede relacionarse a virus/troyano/cracker o algo as�.
> Cierto es que ambos servidores no ten�an instalados paquetes de seguridad
> (no estaban 'endurecidos' como dicen ustedes en la lista)
> Mas all� de todo me gustar�a saber con que herramientas defenderme a priori
> (endureciendo el equipo) y cuales son las opciones a posteroiori de un
> problema ( que puede ser de seguridad / hardware, etc. )
>
> Por �ltimo quisiera aclarar que sin darnos cuenta llegaron a la lista dos
> mensajes con distinto asunto por un mismo problema porque mi socio y yo
> consultamos cada uno por su cuenta (problemas de timming, pido disculpas)
>
> Espero haberte aclarado mi problema.
>
> Claudio Carramal
> [EMAIL PROTECTED]
> ----- Mensaje original -----
> De: "Mat�as nnss" <[EMAIL PROTECTED]>
> Para: <[email protected]>
> Enviado: lunes 21 de abril de 2003 16:44
> Asunto: Re: bad user name www-data
>
> > Hola:
> >      Tengo algunas dudas con respecto a tu problema, �no tienes ning�n
> >      tipo de acceso a tu m�quina? �incluso probando el usar el CD de
> >      rescate de Debian (opci�n rescue root=/dev/hdXN o empezar como si
> >      fuera una instalaci�n y luego ir a la segunda terminal del sistema
> > de instalaci�n y montar tu hdXN en mnt)? �instalastes alg�n programa que
> > gestiona/maneja los usuarios ultimamente?
> >      Y por �ltimo, por favor no respondas a otros mensajes y luego le
> >      cambies el subject, los hilos quedan desordenados. Tu mail conten�a
> >      esta l�nea (correspondiente a un mensaje que yo mismo posti� hace un
> >      rato):
> > References: <[EMAIL PROTECTED]>
> >
> >
> >
> >
> >
> >
> >
> > --
> > Atentamente, yo <Mat�as>
> > No a la invaci�n en Irak
> >
> >
> > <cita quien="soporte">
> >
> > > Estimados colegas:
> > >
> > > La semana pasada Tuvimos un problema por fallo de un servidor y no
> > > pudimos acceder mas al equipo.
> > > Encendimos un servidor 'muleto' que tenemos armado, copiamos los datos
> > > y seguimos trabajando.
> > > El d�a de hoy este equipo dej� de dar servicio (no hay falla de hard) y
> > > al encenderlo no nos deja ingresar.
> > > Uno de los ultimos mensajes que se llega a ver es 'bad user name
> > > www-data' Ahora les pregunto
> > >
> > > �Hay alguna forma de grabar en un log los mensajes que saca al bootear?
> > > (les recuerdo que no puedo acceder al disco. Deber�a poder grabarse a
> > > diskette o algo as�)
> > >
> > > Digo esto porque al no poder ver los errores anteriores no tenemos
> > > forma de empezar a trabajar. Gracias
> > >
> > > Claudio Carramal
> > > [EMAIL PROTECTED]
> > >
> > >
> > > --
> > > To UNSUBSCRIBE, email to [EMAIL PROTECTED]
> > > with a subject of "unsubscribe". Trouble? Contact
> > > [EMAIL PROTECTED]
> >
> > --
> > To UNSUBSCRIBE, email to [EMAIL PROTECTED]
> > with a subject of "unsubscribe". Trouble? Contact
>
> [EMAIL PROTECTED]

- -- 
- --
Abril
Uno de los peores meses para andar metiendo al mundo en guerras absurdas
El resto de meses del mismo tipo son: Enero, Febrero, Marzo, Mayo, Junio, 
Julio, Agosto, Septiembre, Octubre, Noviembre y Diciembre. 
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.1 (GNU/Linux)

iD8DBQE+pmHPEzqHF8R72ekRAu93AJ9nItPenwBzC0iVUNuPQt2AEEbunwCfdKbY
WfRKV8IYNyXvFR+H127H7CU=
=QxOZ
-----END PGP SIGNATURE-----
Re: bad user name www-data

Responder a
