nicht angemeldet
LOG Frage
hallo,
ich hätte mal eine Frage zur auth log
Aug 10 14:12:19 HOST sshd[20740]: error: Could not get shadow information for NOUSER
Aug 10 14:12:19 HOST sshd[20740]: Failed password for illegal user test1 from 80.96.72.66 port 3274 ssh2
Aug 10 14:12:24 HOST last message repeated 2 times
Aug 10 14:12:25 HOST sshd[20740]: debug1: do_cleanup
Aug 10 14:12:25 HOST sshd[20740]: debug1: PAM: cleanup
Aug 10 14:12:37 HOST sshd[3495]: debug1: Forked child 20758.
Aug 10 14:12:37 HOST sshd[20758]: Connection from 80.96.72.66 port 3281
Aug 10 14:12:37 HOST sshd[20758]: debug1: Client protocol version 2.0; client software version PuTTY
Aug 10 14:12:37 HOST sshd[20758]: debug1: no match: PuTTY
Aug 10 14:12:37 HOST sshd[20758]: debug1: Enabling compatibility mode for protocol 2.0
Aug 10 14:12:37 HOST sshd[20758]: debug1: Local version string SSH-2.0-OpenSSH_3.8.1p1 Debian-8.sarge.4
Aug 10 14:12:43 HOST sshd[20758]: debug1: PAM: initializing for "test"
Aug 10 14:12:43 HOST sshd[20758]: reverse mapping checking getaddrinfo for 80-96-72-66.rdsnet.ro failed - POSSIBLE BREAKIN ATTEMPT!
Aug 10 14:12:43 HOST sshd[20758]: debug1: PAM: setting PAM_RHOST to "80.96.72.66"
Aug 10 14:12:43 HOST sshd[20758]: debug1: PAM: setting PAM_TTY to "ssh"
Aug 10 14:12:43 HOST sshd[20758]: Failed password for test from 80.96.72.66 port 3281 ssh2
Aug 10 14:12:55 HOST last message repeated 4 times
Aug 10 14:12:57 HOST sshd[20758]: Accepted password for test from 80.96.72.66 port 3281 ssh2
Aug 10 14:12:57 HOST sshd[20758]: debug1: monitor_child_preauth: test has been authenticated by privileged process
Aug 10 14:12:57 HOST sshd[20779]: (pam_unix) session opened for user test by (uid=0)
Aug 10 14:12:57 HOST sshd[20779]: debug1: PAM: reinitializing credentials
Aug 10 14:12:57 HOST sshd[20779]: debug1: permanently_set_uid: 1037/100
Aug 10 14:12:57 HOST sshd[20779]: debug1: Entering interactive session for SSH2.
Aug 10 14:12:57 HOST sshd[20779]: debug1: server_init_dispatch_20
Aug 10 14:12:57 HOST sshd[20779]: debug1: server_input_channel_open: ctype session rchan 100 win 32768 max 16384
Aug 10 14:12:57 HOST sshd[20779]: debug1: input_session_request
Aug 10 14:12:57 HOST sshd[20779]: debug1: channel 0: new [server-session]
Aug 10 14:12:57 HOST sshd[20779]: debug1: session_new: init
Aug 10 14:12:57 HOST sshd[20779]: debug1: session_new: session 0
Aug 10 14:12:57 HOST sshd[20779]: debug1: session_open: channel 0
Aug 10 14:12:57 HOST sshd[20779]: debug1: session_open: session 0: link with channel 0
Aug 10 14:12:57 HOST sshd[20779]: debug1: server_input_channel_open: confirm session
Aug 10 14:12:57 HOST sshd[20779]: debug1: server_input_channel_req: channel 0 request pty-req reply 1
Aug 10 14:12:57 HOST sshd[20779]: debug1: session_by_channel: session 0 channel 0
Aug 10 14:12:57 HOST sshd[20779]: debug1: session_input_channel_req: session 0 req pty-req
Aug 10 14:12:57 HOST sshd[20779]: debug1: Allocating pty.
Aug 10 14:12:57 HOST sshd[20758]: debug1: session_new: init
Aug 10 14:12:57 HOST sshd[20758]: debug1: session_new: session 0
Aug 10 14:12:57 HOST sshd[20779]: debug1: session_pty_req: session 0 alloc /dev/pts/1
Aug 10 14:12:57 HOST sshd[20779]: debug1: server_input_channel_req: channel 0 request shell reply 1
Aug 10 14:12:57 HOST sshd[20779]: debug1: session_by_channel: session 0 channel 0
Aug 10 14:12:57 HOST sshd[20779]: debug1: session_input_channel_req: session 0 req shell
Aug 10 14:12:57 HOST sshd[20779]: debug1: PAM: setting PAM_TTY to "/dev/pts/1"
Aug 10 14:12:57 HOST sshd[20780]: debug1: Setting controlling tty using TIOCSCTTY.
Aug 10 14:13:16 HOST sshd[20779]: debug1: server_input_channel_req: channel 0 request window-change reply 0
Aug 10 14:13:16 HOST sshd[20779]: debug1: session_by_channel: session 0 channel 0
Aug 10 14:13:16 HOST sshd[20779]: debug1: session_input_channel_req: session 0 req window-change
Aug 10 14:16:34 HOST su[21003]: + pts/1 root:root
Aug 10 14:16:34 HOST su[21003]: (pam_unix) session opened for user root by test(uid=0)
opened for user test by (uid=0)
ist das "by (uid=0)" normal?
Aug 10 14:16:34 HOST su[21003]: + pts/1 root:root
Aug 10 14:16:34 HOST su[21003]: (pam_unix) session opened for user root by test(uid=0)
ich frag mich, wie der user test so schnell zu root, mittels su, wurde
das root Passwort hatte mehrere Sonderzeichen
gibt es eine Möglichkeit herauszufinden, wie er es geschaft hat?
fragen über fragen ;-)
-
Nachtrag
Aug 19 16:10:10 HOST sshd[9014]: Accepted keyboard-interactive/pam for USER from MEINE_IP port 61570 ssh2
Aug 19 16:10:10 HOST sshd[9014]: debug1: monitor_child_preauth: USER has been authenticated by privileged process
Aug 19 16:10:10 HOST sshd[9061]: (pam_unix) session opened for user USER by (uid=0)
Aug 19 16:10:10 HOST sshd[9061]: debug1: PAM: reinitializing credentials
Aug 19 16:10:10 HOST sshd[9061]: debug1: permanently_set_uid: 1028/100
Aug 19 16:10:10 HOST sshd[9061]: debug1: Entering interactive session for SSH2.
Aug 19 16:10:10 HOST sshd[9061]: debug1: server_init_dispatch_20
Aug 19 16:10:10 HOST sshd[9061]: debug1: server_input_channel_open: ctype session rchan 256 win 16384 max 16384
Aug 19 16:10:10 HOST sshd[9061]: debug1: input_session_request
Aug 19 16:10:10 HOST sshd[9061]: debug1: channel 0: new [server-session]
Aug 19 16:10:10 HOST sshd[9061]: debug1: session_new: init
Aug 19 16:10:10 HOST sshd[9061]: debug1: session_new: session 0
Aug 19 16:10:10 HOST sshd[9061]: debug1: session_open: channel 0
Aug 19 16:10:10 HOST sshd[9061]: debug1: session_open: session 0: link with channel 0
Aug 19 16:10:10 HOST sshd[9061]: debug1: server_input_channel_open: confirm session
Aug 19 16:10:10 HOST sshd[9061]: debug1: server_input_channel_req: channel 0 request pty-req reply 1
Aug 19 16:10:10 HOST sshd[9061]: debug1: session_by_channel: session 0 channel 0
Aug 19 16:10:10 HOST sshd[9061]: debug1: session_input_channel_req: session 0 req pty-req
Aug 19 16:10:10 HOST sshd[9061]: debug1: Allocating pty.
Aug 19 16:10:10 HOST sshd[9014]: debug1: session_new: init
Aug 19 16:10:10 HOST sshd[9014]: debug1: session_new: session 0
Aug 19 16:10:10 HOST sshd[9061]: debug1: session_pty_req: session 0 alloc /dev/pts/1
Aug 19 16:10:10 HOST sshd[9061]: debug1: server_input_channel_req: channel 0 request shell reply 1
Aug 19 16:10:10 HOST sshd[9061]: debug1: session_by_channel: session 0 channel 0
Aug 19 16:10:10 HOST sshd[9061]: debug1: session_input_channel_req: session 0 req shell
Aug 19 16:10:10 HOST sshd[9061]: debug1: PAM: setting PAM_TTY to "/dev/pts/1"
Aug 19 16:10:10 HOST sshd[9062]: debug1: Setting controlling tty using TIOCSCTTY.
Aug 19 16:10:17 HOST su[9069]: + pts/1 USER:root
Aug 19 16:10:17 HOST su[9069]: (pam_unix) session opened for user root by USER(uid=1028)wenn ich mich einlogge, sieht es wie folgt aus "su[9069]: + pts/1 USER:root", statt wie bei den test "su[21003]: + pts/1 root:root"
hat es ein Grund, warum bei ihn root:root und bei mir BENUTZERNAME:root steht?
danke
-
hallo
Aug 10 14:16:34 HOST su[21003]: + pts/1 root:root
Aug 10 14:16:34 HOST su[21003]: (pam_unix) session opened for user root by test(uid=0)»»test hatte die uid 0, da er vorher folgenden Exploit "prctl kernel exploit" erfolgreich ausgenutzt hat
ich frag mich, warum es von debian keinen neuen kernel gab :-(
-
Hallo gehackter.
test hatte die uid 0, da er vorher folgenden Exploit "prctl kernel exploit" erfolgreich ausgenutzt hat
ich frag mich, warum es von debian keinen neuen kernel gab :-(
Bist du sicher, dass dies der Fall ist? Dieser Newseintrag deutet in eine andere Richtung.
Einen schönen Sonntag noch.
Gruß, Mathias
--
sh:( fo:} ch:? rl:( br: n4:~ ie:{ mo:| va:) de:> zu:} fl:( ss:) ls:[ js:|
„It is required that HTML be a common language between all platforms. This implies no device-specific markup, or anything which requires control over fonts or colors, for example. This is in keeping with the SGML ideal.“
[HTML Design Constraints: Logical Markup]-
Hallo Mathias,
test hatte die uid 0, da er vorher folgenden Exploit "prctl kernel exploit" erfolgreich ausgenutzt hat
Bist du sicher, dass dies der Fall ist? Dieser Newseintrag deutet in eine andere Richtung.
vielleicht bin ich etwas blind, aber der von Dir verlinkte Newseintrag verweist doch genau auf den vom OP angegebenen Fehler, ich zitiere aus dem von Dir verlinkten Artikel:
<zitat>
Der Fehler erlaubt es einem lokalen Benutzer, Root-Berechtigungen über das PR_SET_DUMPABLE-Argument der prctl-Funktion und einer dadurch in einem Verzeichnis erstellten core-Dump-Datei, auf das der Benutzer keine Berechtigungen hat, zu erlangen.
</zitat>Freundliche Grüße
Vinzenz
-
Hallo Vinzenz.
test hatte die uid 0, da er vorher folgenden Exploit "prctl kernel exploit" erfolgreich ausgenutzt hat
Bist du sicher, dass dies der Fall ist? Dieser Newseintrag deutet in eine andere Richtung.
vielleicht bin ich etwas blind, aber der von Dir verlinkte Newseintrag verweist doch genau auf den vom OP angegebenen Fehler, ich zitiere aus dem von Dir verlinkten Artikel:
Dem habe ich auch nicht widersprochen, sondern auf die Kernelaktualisierung hingewiesen:
Das aktuelle stabile Release, Debian GNU/Linux 3.1 alias »Sarge«, enthält Linux 2.6.8 und ist daher von diesem Problem nicht betroffen. Die kompromittierten Rechner verwendeten Linux 2.6.16.18.
Falls Sie Linux 2.6.13 bis zu einer Version vor 2.6.17.4 verwenden oder Linux 2.6.16 bis zu einer Version vor 2.6.16.24 verwenden, aktualisieren Sie Ihren Rechner bitte unverzüglich.
Einen schönen Sonntag noch.
Gruß, Mathias
--
sh:( fo:} ch:? rl:( br: n4:~ ie:{ mo:| va:) de:> zu:} fl:( ss:) ls:[ js:|
„It is required that HTML be a common language between all platforms. This implies no device-specific markup, or anything which requires control over fonts or colors, for example. This is in keeping with the SGML ideal.“
[HTML Design Constraints: Logical Markup]-
hallo
Falls Sie Linux 2.6.13 bis zu einer Version vor 2.6.17.4 verwenden oder Linux 2.6.16 bis zu einer Version vor 2.6.16.24 verwenden, aktualisieren Sie Ihren Rechner bitte unverzüglich.
nur wurde leider per aptitude upgrade kein neuer Kernel zur Verfügung gestellt :(
gehackter
-
-
-
hallo
test hatte die uid 0, da er vorher folgenden Exploit "prctl kernel exploit" erfolgreich ausgenutzt hat
ich frag mich, warum es von debian keinen neuen kernel gab :-(
Bist du sicher, dass dies der Fall ist? Dieser Newseintrag deutet in eine andere Richtung.
xxx:/var/log# uname -a
Linux xxx.de 2.6.14-051111b #1 SMP Fri Nov 11 22:30:55 CET 2005 i686 GNU/Linuxaptitude update && aptitude upgrade;
bringt als Ergebnis
No packages will be installed, upgraded, or removed.
0 packages upgraded, 0 newly installed, 0 to remove and 0 not upgraded.heißt also nach dem neu machen,Kernel lieber selber kompilieren
gehackter
-
Hallo gehackter.
xxx:/var/log# uname -a
Linux xxx.de 2.6.14-051111b #1 SMP Fri Nov 11 22:30:55 CET 2005 i686 GNU/Linuxaptitude update && aptitude upgrade;
bringt als Ergebnis
No packages will be installed, upgraded, or removed.
0 packages upgraded, 0 newly installed, 0 to remove and 0 not upgraded.Nur sicherheitshalber: deine sources.list enthält sowohl Sarge– als auch Security–Einträge?
Einen schönen Sonntag noch.
Gruß, Mathias
--
sh:( fo:} ch:? rl:( br: n4:~ ie:{ mo:| va:) de:> zu:} fl:( ss:) ls:[ js:|
„It is required that HTML be a common language between all platforms. This implies no device-specific markup, or anything which requires control over fonts or colors, for example. This is in keeping with the SGML ideal.“
[HTML Design Constraints: Logical Markup]-
hallo
xxx:/var/log# uname -a
Linux xxx.de 2.6.14-051111b #1 SMP Fri Nov 11 22:30:55 CET 2005 i686 GNU/Linuxaptitude update && aptitude upgrade;
bringt als Ergebnis
No packages will be installed, upgraded, or removed.
0 packages upgraded, 0 newly installed, 0 to remove and 0 not upgraded.Nur sicherheitshalber: deine sources.list enthält sowohl Sarge– als auch Security–Einträge?
security.debian.org, oder ähnlich war enthalten
gehackter
-
-
-
-