Kein Root-Zugang mehr

BulliM said:
Du kannst über Virtuozzo reingehen. Ich hatte mal dasselbe, weil ich meinen Port versehentlich auf was draufgeschaltet hatte. Da kannst du das Rescue machen. Das hilft. Es ist dann auch noch alles da, also keine Sorge. Die Änderungen in der sshd_config allerdings nicht mehr. Aber dann kommst du wieder auf dein System. Im Virtuozzo ist auch ein Filebrowser, der meist noch funktioniert. Vielleicht hilft das ja schon.
Click to expand...
Mit dem Rescue komme ich ja über SFTP vie SSH überall rein (s.o.). Die Frage ist, an welcher der vielen "Schrauben" muss ich drehen, dass das System nach dem Zurücksetzen wieder so läuft, dass ich dann beispielsweise einen Root-Login machen oder über SFTP auf die Root zugreifen kann. Das "Schrauben" an der sshd_config im repair-Verzeichnis hat jedenfalls nichts gebracht.
 
Hans Maulwurf said:
"PuTTY fatal Error - Server unexpectedly closed network connection"
Click to expand...
Das schaut verdächtig nach fail2ban/denyhosts aus. Du hast nicht zufällig eines dieser Tools installiert ohne zu wissen was Du tust?

Desweiteren steht noch eine Antwort auf meine Frage nach der ssh2_config aus.
 
Joe User said:
Das schaut verdächtig nach fail2ban/denyhosts aus. Du hast nicht zufällig eines dieser Tools installiert ohne zu wissen was Du tust?

Desweiteren steht noch eine Antwort auf meine Frage nach der ssh2_config aus.
Click to expand...

Habe weder Fail2ban noch DenyHosts installiert und die gepostete Datei ist die ssh2_config und nicht die ssh_config. In der ss_config war gar nichts gesetzt.
 
Hans Maulwurf said:
Die Frage ist, an welcher der vielen "Schrauben" muss ich drehen
Click to expand...

Deinem Post #19 entnehme ich, dass du an SSH ran kommst und wenn du ein falsches Passwort eingibst, wird das abgelehnt, wenn du ein richtiges eingibst, dann kracht die Verbindung ab.

Es ist also vermutlich nicht SSHd oder ein falsches Passwort der Grund. Es ist also wahrscheinlich irgendwas beim Starten der Session und der Shell.

Wann konntest du dich denn das letzte mal erfolgreich einloggen und was hast du seitdem verändert? Die Schrauben sind natürlich zahlreich und ohne zu wissen, was verändert wurde, ist es schwierig das zu diagnostizieren.
Du könntest im Rescue-System deinem root mal eine andere Login-Shell eintragen. Vielleicht ist ja da was kaputt gegangen. Und v.A. das Rescue-System nutzen, um mal die Logzeilen anzuschauen, die während deiner Einlogversuche geschrieben wurden.
 
Last edited by a moderator:
Nach dem ganzen hin und her fasse ich mal zusammen:

- SSH ist grundsätzlich erreichbar
- der Login-Vorgang (user/pass) wird scheinbar auch durchgeführt
- wenn Du absichtlich ein falsches PW eingibst, erfolgt auch eine korrekte Fehlermeldung
- wenn Du das vermeintlich richtige PW angibst, wird die Verbindung plötzlich unterbrochen

Also vermutlich hängt was bei der Übergabe in die Session. Schau doch mal in der syslog nach, was da protokolliert wird.

P.S.: elias5000 war schneller ;)
 
Du kannst dich per ssh scheinbar mit anderen Nutzernamen anmelden wenn ich das richtig gelesen habe.

Hast du dich mal als "irgendein" Nutzer angemeldet und dann mal auf root geswitcht?

su root
 
elias5000 said:
Deinem Post #19 entnehme ich, dass du an SSH ran kommst und wenn du ein falsches Passwort eingibst, wird das abgelehnt, wenn du ein richtiges eingibst, dann kracht die Verbindung ab.

Es ist also vermutlich nicht SSHd oder ein falsches Passwort der Grund. Es ist also wahrscheinlich irgendwas beim Starten der Session und der Shell.

Wann konntest du dich denn das letzte mal erfolgreich einloggen und was hast du seitdem verändert? Die Schrauben sind natürlich zahlreich und ohne zu wissen, was verändert wurde, ist es schwierig das zu diagnostizieren.
Du könntest im Rescue-System deinem root mal eine andere Login-Shell eintragen. Vielleicht ist ja da was kaputt gegangen. Und v.A. das Rescue-System nutzen, um mal die Logzeilen anzuschauen, die während deiner Einlogversuche geschrieben wurden.
Click to expand...

Das ist schon Wochen her, dass ich das letzte mal "das unten" war. Meist bin ich nur als Benutzer ohne Root-Zugriff drin, um z.B. an den Datenbanken zu werkeln, Cron-Jobs anzulegen usw.. Installiert habe ich auf Root-Level nie etwas und geändert auch nichts. Ich könnte ja irgendwie mit dem Zustand leben. Die Seiten laufen und auf dem Niveau kann ich alles machen. Ist aber wie Autofahren ohne an den Tank ran zu kommen.
Die Loginlog schaue ich mir später an, wenn nicht so viel Betrieb ist.

Übrigens an alle: Danke für die Tipps und die Geduld!
 
Beantworte doch lieber mal den Hinweis von LessSecurity. Wenn Du nämlich mit einem normalen User per SSH reinkommst, dann ist ein "su root" ja das Selbstverständlichste von der Welt.

Und ja: Logs würden wir gerne mal sehen. Das sollte eigentlich das erste sein, was man macht.
 
Welches System läuft da eigentlich mit welcher Version? Das wurde entweder nicht ergründet oder ich hab es nicht gefunden. Wann hast Du das letzte mal das System über Konsole mit einem Update versorgt ?
 
Thunderbyte said:
Beantworte doch lieber mal den Hinweis von LessSecurity. Wenn Du nämlich mit einem normalen User per SSH reinkommst, dann ist ein "su root" ja das Selbstverständlichste von der Welt.

Und ja: Logs würden wir gerne mal sehen. Das sollte eigentlich das erste sein, was man macht.
Click to expand...

Mit PuTTY bzw. WinSCP komme ich als normaler User nicht rein. Nur über Plesk. Das SSH-Terminal von Plesk funktioniert nicht. Es lässt sich nicht aufrufen.

openSUSE 10.3 und das Ganze bei STRATO V-PowerServer SE (letzter Update: "never change a running system" - sorry)

Für die Logs bitte noch etwas Geduld. Die Webseiten sollen ja nicht dauernd down sein.
 
Na dann ist die Sache doch klar:

* es wurden nie Updates eingespielt
* plötzlich und ohne eigenes Zutun geht der Login per SSH nicht mehr
* root geht nicht mehr

Dir wurde mit Sicherheit dein Server gecrackt.
 
1. Den Server sofort vom Netz nehmen!
-Dann im Rescue-System die Daten sichern
-Falls möglich Schwachstelle analysieren (hier wohl eh egal)
-Server mit aktueller Distribution neu aufsetzen
-gerpüftes(!) Backup zurückspielen
 
Joe User said:
6. zuständigen Datenschutzbeauftragten informieren
7. Strafanzeige gegen Unbekannt erstatten
Click to expand...

Naja, nicht gleich übertreiben.

6. ist nur in bestimmten Fällen erforderlich. Siehe hierzu §42a BDSG. Ob solche (Kunden-)Daten auf dem Server liegen, kann und muss nur der TE wissen.
 
Hans Maulwurf said:
...openSUSE 10.3 und das Ganze bei STRATO V-PowerServer SE (letzter Update: "never change a running system" - sorry)....
Click to expand...

*ganzlauthust*

8. Kunden informieren, das sie sich einen kompetenten Ansprechpartner suchen sollen, sofern sie wollen, das Ihre Daten sicher sind.

Mir völlig unverständlich, das jemand seinen Server nicht updatet.
 
Die Logs und der Traffic sind völlig normal. Normal heißt bei den Logs, dass da ab und zu mal ein Crackversuch made in China lief. Unabhängig davon wird am Montag die Kiste neuinstalliert, will ja wieder Root-Zugriff. Habe mich für Ubuntu 12.04 und Plesk 11 entschieden und gelobe regelmäßige zukünftige Updates.
1-4 wird umgesetzt
5+8 Kunden außer mir gibt es keine
6 Datenschutzbeauftragen auch nicht
7 Strafanzeige gegen wen mit nix in der Hand (Logs die nichts aussagen?) sind sinnfrei
 
You must log in or register to reply here.
Back
Top