[Admin] vec01 kompromittiert

Moin,

vec01 war anscheined einen Monat lang kompromittiert, Zugang wurde
wahrscheinlich per VNC erlangt, da dieser auch von außen erreichbar war
und ein mieses Passwort hatte. Ebenso hatte wahrscheinlich einer der
User ein schlechtes Passwort.

Installiert wurden im kompromittierten System dropbear, ein
Socks-Server sowie tor, von dort wurden vermutlich weitere Scans etc.
ausgeführt. Und nicht zu vergessen: grub2-setpassword.

Aus einem alten vec01-Klon stand letztes Jahr wurde eine VM erstellt,
diese läuft momentan noch auf jessie.

Ein gestriger Check auf unseren VMHosts brachte keine weiteren offenen
VNCs zu Tage, ebenso ist angedacht, "sudo ohne Passwort" für unsere
Benutzer abzuschalten.

Grüße
bjo

Muss natürlich heißen: eine neue VM erstellt, die nun als vec01 läuft.

Wer sich das kompromittierte System anschauen möchte, es liegt momentan
in /mnt auf ber gemountet.

Grüße
bjo

Hi,

ich wäre eher für ssh login nur noch mit key

Ist es, jedoch gehts mit sudo -i ohne weiter!

Kann man machen. Schützt aber im Grunde nur vor versehentlichem sudo
oder gegen Verlust von Private-Keys.

Haben wir sonst noch irgendwo VNC? Warum war das auf vec01?!

Viele Grüße,
Simon

Nein, ist überall aus.
Hat Bjo gestern getestet und ich heute erneut.

Warum? Gute Frage..