Root Login aus dem Schlund Netz?

[timetrack]

Hallo,

ich weiss eigentlich sollte ich für so eine Nachlässigkeit erschlagen werden :oops:

Nach einem Telefonat mit Schlund vor zwei Tagen (der Mitarbeiter bat mich den SSH Zugang wieder auf das Standardpasswort zu setzen, damit er mal auf die Kiste könne, ich hatte da eine Frage), hab ich Zugriff für Root über Passwort wieder zugelassen.

Heute morgen hat sich jemand aus dem Schlund-Netz (wenigstens laut der IP aus dem Logfile) als root auf meinem Server angemeldet...

Apr 22 10:36:38 pXXXXXXXX sshd[5185]: Accepted keyboard-interactive/pam for root from ::ffff:212.227.35.75 port 42413 ssh2

Machen die das öfter, oder muss ich einen Hack vermuten?

Ich werde den Server erstmal vom Netz nehmen, bis ich mehr weiss, ich durchwühl jetzt gleich mal die Logs...

thx & regard

[ffl]

Häh? Wenn du den Login doch extra zulässt wieso wunderst du dich dann über einen Zugriff?

[pf4]

lustig, du gibt nem Mitarbeiten nen Zugriff und wunderst dich dann warum er auf die Kiste gegangen ist.
1. Kuk in die bash_histroy was er gemacht hat
2. Hast du ihm das PW gesagt oder nur zurückgesetzt.
3. Darum denkt du nicht voher darüber nach ?
4. Das Nächste mal frag erstmal was er wissen will



PS: Warum sollte 1und1 etwas auf deiner Kiste nachsehen ?

[sascha]

Frag doch einfach mal beim Support nach?

[timetrack]

ok, das hatte ich nicht richtig dargestellt: ich hatte vor zwei tagen mit dem support telefoniert, weil ich eine frage hatte. zur klärung wollte der 1&1 Mitarbeiter auf den Server und da hab ich den Zugang freigegeben. Allerdings war die Frage nach dem Gespräch geklärt (wie üblich eigener Fehler) und es gab eigentlich keinen Grund mehr für 1&1 sich heute auf dem Server einzuloggen...

Die .bash_history enthält nur Befehle die ich abgeschickt hab, also nix neues...

Ich ruf morgen mal beim Support an und frag mal...

[sascha]

Ich ruf morgen mal beim Support an und frag mal...

Gibts schon was neues?

[ffl]

Du hättest einfach dein Passwort ändern sollen. Aber...
Außerdem ist ein root-Login eh tödlich, das solltest du abstellen. Erst als normaler User anmelden und dann su.

[Outlaw]

Du hättest einfach dein Passwort ändern sollen. Aber...
Außerdem ist ein root-Login eh tödlich, das solltest du abstellen. Erst als normaler User anmelden und dann su.

Hmmmm, hast Du seinen 1. Post gelesen (und die danach) ??

Ich glaube nicht .... ;):D

Gruß Outi

[ffl]

Ups. Aber sein PW hätte er trotzdem wieder ändern sollen.

[enzymir]

die kommen doch eh auch so auf die kisten. Du kommst ja auch ohne root pass via resue system drauf.
Oder verwechsel ich da gerade etwas?

[oxygen]

Dazu muss man aber erstmal das Rescue System starten. An ein laufendes System ohne Passwort zu kommen ist dagegen nicht so trivial

[Outlaw]

die kommen doch eh auch so auf die kisten. Du kommst ja auch ohne root pass via resue system drauf.
Oder verwechsel ich da gerade etwas?

Komisch. Ich komme ohne PW nicht als Root auf meine Kiste übers Rescue ....

Oder versteh ich da jetzt was falsch ??

Gruß Outi

[sascha]

Das Passwort fürs Rescue-System steht aber in deinem Konfigmenü und darauf haben die Mitarbeiter Zugriff.

[Outlaw]

Eben und nach meinen Erfahrungen kann man das Rescue Root PW nicht ändern ....

(oder doch ??)

Gruß Outi

[sascha]

Ich glaube hier liegt ein Missverständnis vor

So wie ich das verstanden habe, befand sich der Server des OP im Normal-Modus. Das Passwort sollte nur auf das ursprünglich von 1&1 vergebene zurückgesetzt werden.