Moin, vec01 war anscheined einen Monat lang kompromittiert, Zugang wurde wahrscheinlich per VNC erlangt, da dieser auch von außen erreichbar war und ein mieses Passwort hatte. Ebenso hatte wahrscheinlich einer der User ein schlechtes Passwort. Installiert wurden im kompromittierten System dropbear, ein Socks-Server sowie tor, von dort wurden vermutlich weitere Scans etc. ausgeführt. Und nicht zu vergessen: grub2-setpassword. Aus einem alten vec01-Klon stand letztes Jahr wurde eine VM erstellt, diese läuft momentan noch auf jessie. Ein gestriger Check auf unseren VMHosts brachte keine weiteren offenen VNCs zu Tage, ebenso ist angedacht, "sudo ohne Passwort" für unsere Benutzer abzuschalten. Grüße bjo
On 18.10.18 10:36, Bjoern Franke via Admin wrote:
Moin,
vec01 war anscheined einen Monat lang kompromittiert, Zugang wurde wahrscheinlich per VNC erlangt, da dieser auch von außen erreichbar war und ein mieses Passwort hatte. Ebenso hatte wahrscheinlich einer der User ein schlechtes Passwort.
Installiert wurden im kompromittierten System dropbear, ein Socks-Server sowie tor, von dort wurden vermutlich weitere Scans etc. ausgeführt. Und nicht zu vergessen: grub2-setpassword.
Aus einem alten vec01-Klon stand letztes Jahr wurde eine VM erstellt, diese läuft momentan noch auf jessie.
Muss natürlich heißen: eine neue VM erstellt, die nun als vec01 läuft. Wer sich das kompromittierte System anschauen möchte, es liegt momentan in /mnt auf ber gemountet. Grüße bjo
Kann man machen. Schützt aber im Grunde nur vor versehentlichem sudo oder gegen Verlust von Private-Keys. Haben wir sonst noch irgendwo VNC? Warum war das auf vec01?! Viele Grüße, Simon Am 18.10.18 um 10:42 schrieb Stefan Dunkel via Admin:
Ist es, jedoch gehts mit sudo -i ohne weiter!
Am 18.10.2018 um 10:41 schrieb lrnzo via Admin:
ich wäre eher für ssh login nur noch mit key
Admin mailing list -- admin@lists.ffnw.de To unsubscribe send an email to admin-leave@lists.ffnw.de
Nein, ist überall aus. Hat Bjo gestern getestet und ich heute erneut. Warum? Gute Frage.. Von meinem iPhone gesendet
Am 18.10.2018 um 15:18 schrieb Simon Kurka via Admin <admin@lists.ffnw.de>:
Kann man machen. Schützt aber im Grunde nur vor versehentlichem sudo oder gegen Verlust von Private-Keys.
Haben wir sonst noch irgendwo VNC? Warum war das auf vec01?!
Viele Grüße, Simon
Am 18.10.18 um 10:42 schrieb Stefan Dunkel via Admin: Ist es, jedoch gehts mit sudo -i ohne weiter!
Am 18.10.2018 um 10:41 schrieb lrnzo via Admin: ich wäre eher für ssh login nur noch mit key
Admin mailing list -- admin@lists.ffnw.de To unsubscribe send an email to admin-leave@lists.ffnw.de
Admin mailing list -- admin@lists.ffnw.de To unsubscribe send an email to admin-leave@lists.ffnw.de
participants (5)
-
Bjoern Franke -
lrnzo -
Simon Kurka -
Stefan Dunkel -
Stefan Dunkel