Mal eine dumme frage (ssh)

Lesenswerte Artikel, Anleitungen und Diskussionen
hanseknight
Posts: 16
Joined: 2004-07-04 10:29
Location: Hamburg

Mal eine dumme frage (ssh)

Post by hanseknight » 2004-08-03 00:17

Ich bekomme in den letzten Tagen immer folgende fehlermeldung :

"Aug 2 00:45:03 server-project sshd[684]: error: Could not get shadow information for NOUSER"

Kann damit jemand was anfangen, die Meldung ist fast täglich in meinem error log

Gruß Tim

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Mal eine dumme frage (ssh)

Post by dodolin » 2004-08-03 10:32

Vermutlich gibts den User in /etc/passwd, dort steht, dass sein PW in /etc/shadow steht, aber dort steht nix. ?

floschi
Userprojekt
Userprojekt
Posts: 3388
Joined: 2002-07-18 08:13
Location: München

Re: Mal eine dumme frage (ssh)

Post by floschi » 2004-08-03 18:03

Ist bei mir seit einigen Tagen genauso, evtl. liegt das mit irgendeinem Update zusammen? Welche Distri hast du?

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Mal eine dumme frage (ssh)

Post by dodolin » 2004-08-03 23:17

Ist bei mir seit einigen Tagen genauso, evtl. liegt das mit irgendeinem Update zusammen?
Hm... mal ne dumme Frage am Rande: Führt ihr denn kein Log darüber, wann ihr welches Update macht? Damit ließen sich ja nämlich solche Fehler (sofern sie denn vom Update herrühren) zurückverfolgen bzw. auf wenige Pakete/Updates einschränken.

PS: Bei mir sorgt da apt-listchanges automatisch dafür. ;)

thorsten
RSAC
Posts: 732
Joined: 2003-02-01 13:14
Location: Fuldatal

Re: Mal eine dumme frage (ssh)

Post by thorsten » 2004-08-03 23:42

Das hängt nicht mit einem Update zusammen, das finde ich auf woody wie auf sarge Rechnern.
Auf bugtraq habe ich auch davon gelesen und die Fehlermeldung bei google eingegeben listet dir massig Treffer (auf allen Disributionen sowie *BSD und solaris)
Sorg einfach dafür, dass dein sshd aktuell ist, dazu würde ich natürlich root keinen direkten Login erlauben, aber das ist ja Standard :)

odysseus
Posts: 115
Joined: 2003-02-07 10:21

Re: Mal eine dumme frage (ssh)

Post by odysseus » 2004-08-04 11:45

Ich hab das auf Suse 9.1 (64 Bit) auch gelegentlich mal. Stört aber nicht.

hanseknight
Posts: 16
Joined: 2004-07-04 10:29
Location: Hamburg

Re: Mal eine dumme frage (ssh)

Post by hanseknight » 2004-08-04 15:16

Ich hab den Server erst seit 2 wochen, 4-5 Updates habe ich eingepflegt. Aber ein Update Log habe ich noch nicht.

Ich hab Suse 9.1

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Mal eine dumme frage (ssh)

Post by Joe User » 2004-08-06 17:30

PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

niemand
Posts: 142
Joined: 2003-12-12 18:36

Re: Mal eine dumme frage (ssh)

Post by niemand » 2004-08-07 20:05

Es ist mir auch aufgefallen, dass es in den letzten Tagen/Wochen vermehrt Loginversuche über ssh gibt. Ã?berwiegend wird versucht, auf die User "test" und "guest" zuzugreifen, seltener "root", oder "admin". Scheint eine Art Wurm oder ein neues Spielzeug unserer geliebten Scriptkiddies zu sein. Außer, dass es die Logs zumüllt, scheint es harmlos zu sein.

cu

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Mal eine dumme frage (ssh)

Post by captaincrunch » 2004-08-07 22:31

Liest hier niemand Mailinglisten o.ä.?

Ausgangspost: http://lists.netsys.com/pipermail/full- ... 24340.html
Interessant dabei: http://lists.netsys.com/pipermail/full- ... 24478.html
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

niemand
Posts: 142
Joined: 2003-12-12 18:36

Re: Mal eine dumme frage (ssh)

Post by niemand » 2004-08-08 01:08

Liest hier niemand Mailinglisten o.ä.?
Welche von den etwa 27.000 bekanntesten sind denn die, mit denen man alles abdeckt? ;)

Mal ernsthaft: Ich habe etwa 6 für dieses Thema abonniert, in keiner wurde das Problem ernsthaft aufgegriffen. Thx 4 link.

cu

floschi
Userprojekt
Userprojekt
Posts: 3388
Joined: 2002-07-18 08:13
Location: München

Re: Mal eine dumme frage (ssh)

Post by floschi » 2004-08-08 09:43

CaptainCrunch wrote:Liest hier niemand Mailinglisten o.ä.?
Nun, nachdem wir hier ja genug Leute haben, die das von Berufswegen tun müssen, mache ich mir wegen solchen Sachen nicht die Arbeit, jede Liste zu lesen und beschränke mich auf die Basics - eine Risikoabwägung ;)

Aber es ist gut zu wissen, dass diejenigen, die das alles lesen, sich hier auch mit dem Wissen bei Bedarf melden. Thx

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Mal eine dumme frage (ssh)

Post by Joe User » 2004-08-08 12:19

PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

User avatar
nyxus
RSAC
Posts: 697
Joined: 2002-09-13 08:41
Location: Lübeck

Re: Mal eine dumme frage (ssh)

Post by nyxus » 2004-08-08 13:12

In diesem Zusammenhang: Wie sicher ist eigentlich die "Shell" /bin/false?

Wenn ich jetzt einen User "test" mit password "test" hätte, dieser aber obige Shell hätte, gäbe es dann Möglichkeiten für den Angreifer trotzdem weiterzukommen? Mal angenommen auf dem System sind keine weiteren Dienste die mit diesem Account genutzt werden könnten.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Mal eine dumme frage (ssh)

Post by captaincrunch » 2004-08-08 18:38

Exploits und Buffer Overflows scheren sich herzlich wenig um die Login-Shell eines Users. ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

User avatar
nyxus
RSAC
Posts: 697
Joined: 2002-09-13 08:41
Location: Lübeck

Re: Mal eine dumme frage (ssh)

Post by nyxus » 2004-08-08 23:44

CaptainCrunch wrote:Exploits und Buffer Overflows scheren sich herzlich wenig um die Login-Shell eines Users. ;)
ok, wenn sowas da ist und schon bei der Userüberprüfung ausgenutzt werden kann dann ist es natürlich vorbei (egal welche Shell der User hat). Aber ich interpretiere die Antwort mal so, daß Du zumindest auch keine Schwäche von /bin/false kennst um die man sich Sorgen machen müßte?

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Mal eine dumme frage (ssh)

Post by captaincrunch » 2004-08-09 08:07

/bin/false an sich ist im Normalfall schon eine recht gute Maßnahme, mir selbst wäre (außer den bereits genannten Dingen) nichts bekannt, wie sich das umgehen ließe .
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc