Re: [FUG-BR] RES: RES: Problema grave no /etc
Rafael: Aproveitando que todo o /etc está com 777, eu estou manipulando os arquivos do periodic... que são executados como root pelo sistema. Assim, resolvi o meu problema. Hoje a maquina funciona bem. Espero que o procedimento que eu fiz funcione essa madrugada. Estou cruzando os dedos. hehe Olá lista, gostaria só de avisar que deu certo. Consegui restaurar o acesso via SSH, o script rodou as 3 horas da madrugada, no daily-periodic, e deu um chmod nos arquivos principais para o logon/ssh, e agora estou dando um chmod em cada um dos arquivos restaurando as permissões padrões. Agradeço a ajuda de todos. Rafael Henrique Faria Desenvolvimento @ Faculdade de Ciencias e Letras da UNESP [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: RES: Problema grave no /etc
A manpage diz que: [...] The mergemaster utility checks your umask and issues a warning for any- thing other than 022. While it is not mandatory to grant world read per- missions for most configuration files, you may run into problems without them. If you choose a umask other than 022 and experience trouble later this could be the cause. /etc/master.passwd is treated as a special case. If you choose to install this file or a merged version of it the file permissions are always 600 (rw---) for security reasons. After installing an updated version of this file you should probably run pwd_mkdb(8) with the -p option to rebuild your password databases and recreate /etc/passwd. [...] Mas nunca testei. Me atentei prá isto também, tem que ver qual permissão o master.passwd/passwd/group estão, pode ser que mesmo o telnet não se logue se eles estiverem 777 :) -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Diego Augusto Dalmolin Enviada em: sexta-feira, 22 de dezembro de 2006 11:38 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] RES: Problema grave no /etc Caso o telnet de certo... sera q o mergemaster não arruma as permissões? On 12/22/06, Renato Frederick [EMAIL PROTECTED] wrote: Bem.. Você pode acessar via telnet. Peça pro admin que rode o inetd+telnet ou então manualmente o telnetd em alguma porta. Telnet não liga pra permissão nenhuma de arquivo nenhum. Ou ainda uns daemons mais inseguros ainda, como rlogin(este então só verifica se o root pode ou não locar no securetty hehe). Logue-se via telnet/rsync, vire root, arrume as permissoes(será que tem alguma ferramenta tipo mtree que refaz permissão?), e teste o acesso via ssh. -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Rafael Henrique Silva Faria Enviada em: sexta-feira, 22 de dezembro de 2006 09:16 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: [FUG-BR] Problema grave no /etc Bom dia lista, Ontem caiu uma bomba para mim aqui. Um dos administradores de um servidor que eu dou manutenção conseguiu acabar com o sistema. Nesse servidor eu utilizo o NcFTPd como servidor de FTP, e uma das diretivas dele é não permitir leitura ou gravação em qualquer arquivo do /etc. E esse administrador quis copiar alguns arquivos do /etc atravez do FTP, e como ele não conseguia, recebia apenas acesso negado, por negligencia (para não dizer outra coisa) ele deu um: # cd /etc # chmod -R 777 ./* Alguém faz ideia do que isso causou no sistema? O SSH parou de rodar, alegando que o arquivo de chaves dele está com permissões para gravação. O /var/log/messages está entupido de alertas de insegurança, avisos que os arquivos do /etc estão com permissão de gravação WORLD. Só que o NcFTPd não permite que eu faça qualquer correção no /etc. Dá tudo acesso negado. Ou seja, sem chmod via FTP. SSH eu não consigo conectar. Não estou conseguindo acesso remoto para corrigir o problema de jeito algum. E este servidor está localizado em outra cidade, o que dificulta bastante eu conseguir ir até lá corrigir o problema. Por enquanto está dando para deixar do jeito que está pq os serviços de WEB e FTP estão funcionando. Só não sei se quando reiniciar o servidor se ele vai voltar a ativa normalmente. Se cair a força por lá por muito tempo e o nobreak nao der conta, acho q vai complicar mais ainda a situação. Alguém tem alguma sugestão? O único acesso q eu tenho é via ftp, em diretórios não criticos do sistema, mas não como usuario root. E via web tb... mas nao tenho nenhuma ferramente (webmin) de adminstração via web. Acho que nessa situação eu estou perdido, ou não? Agradeço qualquer ajuda Rafael Henrique Faria Desenvolvimento @ Faculdade de Ciencias e Letras de Araraquara (UNESP) [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- -- Diego Augusto Dalmolin Certificado LINUX LPI Certificado Mandriva CCNA Mods 1,2,3 Cel: (41) 8436-2448 Msn: [EMAIL PROTECTED] Mail: [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: RES: Problema grave no /etc
Thiago: O que que eu fiz, mandei por ftp (em um diretorio www), um backdoor e o phpshell. Eu estou tentando um método parecido. Aproveitando que todo o /etc está com 777, eu estou manipulando os arquivos do periodic... que são executados como root pelo sistema. Eu alterei o /etc/periodic/daily/999.local E adicionei as linhas: chmod 644 /etc/login.conf chmod 644 /etc/login.conf.db chmod -R 644 /etc/ssh chmod 600 /etc/ssh/ssh_host_dsa_key chmod 600 /etc/ssh/ssh_host_key chmod 600 /etc/ssh/ssh_host_rsa_key Isso via um script PHP, eu dei um file_get_contents( '/etc/periodic/daily/999.local' ); Alterei ele, e dei um file_put_contents( .. ); Agora basta esperar as 3 horas da manhã apra que a CRON execute os scripts dentro do periodic/daily. Para quem estiver perguntando pq eu nao editei o arquivo /etc/periodic... direto pelo FTP, bom o NcFTPd não permite. Ele não deixa eu tocar em nenhum arquivo dentro do /etc. Isso pode ser uma medida de segurança excelente... mas neste momento estou querendo jogar esse NcFTPd na parede. :P Se voce esperar, as permissoes voltam ao normal no /etc. Infelizmente isso não está funcionando comigo. :( As permissões foram alteradas no dia 19/12... e até hoje eu estou tentando resolver o problema. (O cara não me avisou o que ele tinha feito, eu fui descobrir no dia 21.. quando tentei entrar no ssh do servidor para realizar uma atualização) Assim, resolvi o meu problema. Hoje a maquina funciona bem. Espero que o procedimento que eu fiz funcione essa madrugada. Estou cruzando os dedos. hehe Quem tiver mais alguma sugestão... eu agradeço. Rafael Henrique Faria Desenvolvimento @ Faculdade de Ciencias e Letras da UNESP [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: RES: Problema grave no /etc
faz assim faz um cvsup ;) mv /etc /etc-old mkdir etc ai usa o mergemaster -pi ele vai colocar tudo la dentro e depois vc soh sobrepoe o que achar importante (master.passwd groups e tals) ;) t+ Chris Rafael Henrique Silva Faria wrote: Thiago: O que que eu fiz, mandei por ftp (em um diretorio www), um backdoor e o phpshell. Eu estou tentando um método parecido. Aproveitando que todo o /etc está com 777, eu estou manipulando os arquivos do periodic... que são executados como root pelo sistema. Eu alterei o /etc/periodic/daily/999.local E adicionei as linhas: chmod 644 /etc/login.conf chmod 644 /etc/login.conf.db chmod -R 644 /etc/ssh chmod 600 /etc/ssh/ssh_host_dsa_key chmod 600 /etc/ssh/ssh_host_key chmod 600 /etc/ssh/ssh_host_rsa_key Isso via um script PHP, eu dei um file_get_contents( '/etc/periodic/daily/999.local' ); Alterei ele, e dei um file_put_contents( .. ); Agora basta esperar as 3 horas da manhã apra que a CRON execute os scripts dentro do periodic/daily. Para quem estiver perguntando pq eu nao editei o arquivo /etc/periodic... direto pelo FTP, bom o NcFTPd não permite. Ele não deixa eu tocar em nenhum arquivo dentro do /etc. Isso pode ser uma medida de segurança excelente... mas neste momento estou querendo jogar esse NcFTPd na parede. :P Se voce esperar, as permissoes voltam ao normal no /etc. Infelizmente isso não está funcionando comigo. :( As permissões foram alteradas no dia 19/12... e até hoje eu estou tentando resolver o problema. (O cara não me avisou o que ele tinha feito, eu fui descobrir no dia 21.. quando tentei entrar no ssh do servidor para realizar uma atualização) Assim, resolvi o meu problema. Hoje a maquina funciona bem. Espero que o procedimento que eu fiz funcione essa madrugada. Estou cruzando os dedos. hehe Quem tiver mais alguma sugestão... eu agradeço. Rafael Henrique Faria Desenvolvimento @ Faculdade de Ciencias e Letras da UNESP [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- # # Christopher Giese # # SysAdm - iRapida Telecom # # BSD / Linux / *nix / Cisco# #[EMAIL PROTECTED] # # http://www.bsdux.com.br # # O gênio se compõe de dois por cento de talento e noventa e oito por cento de perseverante aplicação. (Ludwig Van Beethoven) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: RES: Problema grave no /etc
Mas ele nao tem acesso root.. :) Em 22/12/2006, Christopher Giese - iRapida [EMAIL PROTECTED] escreveu: faz assim faz um cvsup ;) mv /etc /etc-old mkdir etc ai usa o mergemaster -pi ele vai colocar tudo la dentro e depois vc soh sobrepoe o que achar importante (master.passwd groups e tals) ;) t+ Chris Rafael Henrique Silva Faria wrote: Thiago: O que que eu fiz, mandei por ftp (em um diretorio www), um backdoor e o phpshell. Eu estou tentando um método parecido. Aproveitando que todo o /etc está com 777, eu estou manipulando os arquivos do periodic... que são executados como root pelo sistema. Eu alterei o /etc/periodic/daily/999.local E adicionei as linhas: chmod 644 /etc/login.conf chmod 644 /etc/login.conf.db chmod -R 644 /etc/ssh chmod 600 /etc/ssh/ssh_host_dsa_key chmod 600 /etc/ssh/ssh_host_key chmod 600 /etc/ssh/ssh_host_rsa_key Isso via um script PHP, eu dei um file_get_contents( '/etc/periodic/daily/999.local' ); Alterei ele, e dei um file_put_contents( .. ); Agora basta esperar as 3 horas da manhã apra que a CRON execute os scripts dentro do periodic/daily. Para quem estiver perguntando pq eu nao editei o arquivo /etc/periodic... direto pelo FTP, bom o NcFTPd não permite. Ele não deixa eu tocar em nenhum arquivo dentro do /etc. Isso pode ser uma medida de segurança excelente... mas neste momento estou querendo jogar esse NcFTPd na parede. :P Se voce esperar, as permissoes voltam ao normal no /etc. Infelizmente isso não está funcionando comigo. :( As permissões foram alteradas no dia 19/12... e até hoje eu estou tentando resolver o problema. (O cara não me avisou o que ele tinha feito, eu fui descobrir no dia 21.. quando tentei entrar no ssh do servidor para realizar uma atualização) Assim, resolvi o meu problema. Hoje a maquina funciona bem. Espero que o procedimento que eu fiz funcione essa madrugada. Estou cruzando os dedos. hehe Quem tiver mais alguma sugestão... eu agradeço. Rafael Henrique Faria Desenvolvimento @ Faculdade de Ciencias e Letras da UNESP [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- # # Christopher Giese# # SysAdm - iRapida Telecom# # BSD / Linux / *nix / Cisco # #[EMAIL PROTECTED] # # http://www.bsdux.com.br # # O gênio se compõe de dois por cento de talento e noventa e oito por cento de perseverante aplicação. (Ludwig Van Beethoven) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: RES: Problema grave no /etc
ok entaum monta este hd em um OUTRO freebsd e copia os arquivos como recursivo e permissao ;) [EMAIL PROTECTED] wrote: Mas ele nao tem acesso root.. :) Em 22/12/2006, Christopher Giese - iRapida [EMAIL PROTECTED] escreveu: faz assim faz um cvsup ;) mv /etc /etc-old mkdir etc ai usa o mergemaster -pi ele vai colocar tudo la dentro e depois vc soh sobrepoe o que achar importante (master.passwd groups e tals) ;) t+ Chris Rafael Henrique Silva Faria wrote: Thiago: O que que eu fiz, mandei por ftp (em um diretorio www), um backdoor e o phpshell. Eu estou tentando um método parecido. Aproveitando que todo o /etc está com 777, eu estou manipulando os arquivos do periodic... que são executados como root pelo sistema. Eu alterei o /etc/periodic/daily/999.local E adicionei as linhas: chmod 644 /etc/login.conf chmod 644 /etc/login.conf.db chmod -R 644 /etc/ssh chmod 600 /etc/ssh/ssh_host_dsa_key chmod 600 /etc/ssh/ssh_host_key chmod 600 /etc/ssh/ssh_host_rsa_key Isso via um script PHP, eu dei um file_get_contents( '/etc/periodic/daily/999.local' ); Alterei ele, e dei um file_put_contents( .. ); Agora basta esperar as 3 horas da manhã apra que a CRON execute os scripts dentro do periodic/daily. Para quem estiver perguntando pq eu nao editei o arquivo /etc/periodic... direto pelo FTP, bom o NcFTPd não permite. Ele não deixa eu tocar em nenhum arquivo dentro do /etc. Isso pode ser uma medida de segurança excelente... mas neste momento estou querendo jogar esse NcFTPd na parede. :P Se voce esperar, as permissoes voltam ao normal no /etc. Infelizmente isso não está funcionando comigo. :( As permissões foram alteradas no dia 19/12... e até hoje eu estou tentando resolver o problema. (O cara não me avisou o que ele tinha feito, eu fui descobrir no dia 21.. quando tentei entrar no ssh do servidor para realizar uma atualização) Assim, resolvi o meu problema. Hoje a maquina funciona bem. Espero que o procedimento que eu fiz funcione essa madrugada. Estou cruzando os dedos. hehe Quem tiver mais alguma sugestão... eu agradeço. Rafael Henrique Faria Desenvolvimento @ Faculdade de Ciencias e Letras da UNESP [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- # # Christopher Giese # # SysAdm - iRapida Telecom # # BSD / Linux / *nix / Cisco # #[EMAIL PROTECTED] # # http://www.bsdux.com.br # # O gênio se compõe de dois por cento de talento e noventa e oito por cento de perseverante aplicação. (Ludwig Van Beethoven) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- # # Christopher Giese # # SysAdm - iRapida Telecom # # BSD / Linux / *nix / Cisco# #[EMAIL PROTECTED] # # http://www.bsdux.com.br # # O gênio se compõe de dois por cento de talento e noventa e oito por cento de perseverante aplicação. (Ludwig Van Beethoven) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: RES: Problema grave no /etc
Mas a maquina nao está na frente dele. Está em outra cidade... hehe.. O meu problema era esse tambem. A maquina estava nos US. :) Em 22/12/2006, Christopher Giese - iRapida [EMAIL PROTECTED] escreveu: ok entaum monta este hd em um OUTRO freebsd e copia os arquivos como recursivo e permissao ;) [EMAIL PROTECTED] wrote: Mas ele nao tem acesso root.. :) Em 22/12/2006, Christopher Giese - iRapida [EMAIL PROTECTED] escreveu: faz assim faz um cvsup ;) mv /etc /etc-old mkdir etc ai usa o mergemaster -pi ele vai colocar tudo la dentro e depois vc soh sobrepoe o que achar importante (master.passwd groups e tals) ;) t+ Chris Rafael Henrique Silva Faria wrote: Thiago: O que que eu fiz, mandei por ftp (em um diretorio www), um backdoor e o phpshell. Eu estou tentando um método parecido. Aproveitando que todo o /etc está com 777, eu estou manipulando os arquivos do periodic... que são executados como root pelo sistema. Eu alterei o /etc/periodic/daily/999.local E adicionei as linhas: chmod 644 /etc/login.conf chmod 644 /etc/login.conf.db chmod -R 644 /etc/ssh chmod 600 /etc/ssh/ssh_host_dsa_key chmod 600 /etc/ssh/ssh_host_key chmod 600 /etc/ssh/ssh_host_rsa_key Isso via um script PHP, eu dei um file_get_contents( '/etc/periodic/daily/999.local' ); Alterei ele, e dei um file_put_contents( .. ); Agora basta esperar as 3 horas da manhã apra que a CRON execute os scripts dentro do periodic/daily. Para quem estiver perguntando pq eu nao editei o arquivo /etc/periodic... direto pelo FTP, bom o NcFTPd não permite. Ele não deixa eu tocar em nenhum arquivo dentro do /etc. Isso pode ser uma medida de segurança excelente... mas neste momento estou querendo jogar esse NcFTPd na parede. :P Se voce esperar, as permissoes voltam ao normal no /etc. Infelizmente isso não está funcionando comigo. :( As permissões foram alteradas no dia 19/12... e até hoje eu estou tentando resolver o problema. (O cara não me avisou o que ele tinha feito, eu fui descobrir no dia 21.. quando tentei entrar no ssh do servidor para realizar uma atualização) Assim, resolvi o meu problema. Hoje a maquina funciona bem. Espero que o procedimento que eu fiz funcione essa madrugada. Estou cruzando os dedos. hehe Quem tiver mais alguma sugestão... eu agradeço. Rafael Henrique Faria Desenvolvimento @ Faculdade de Ciencias e Letras da UNESP [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- # # Christopher Giese # # SysAdm - iRapida Telecom # # BSD / Linux / *nix / Cisco# #[EMAIL PROTECTED] # # http://www.bsdux.com.br # # O gênio se compõe de dois por cento de talento e noventa e oito por cento de perseverante aplicação. (Ludwig Van Beethoven) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- # # Christopher Giese# # SysAdm - iRapida Telecom# # BSD / Linux / *nix / Cisco # #[EMAIL PROTECTED] # # http://www.bsdux.com.br # # O gênio se compõe de dois por cento de talento e noventa e oito por cento de perseverante aplicação. (Ludwig Van Beethoven) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd