[Admin] vec01 kompromittiert

Bjoern_Franke · 18. Oktober 2018 um 08:36

Moin,

vec01 war anscheined einen Monat lang kompromittiert, Zugang wurde
wahrscheinlich per VNC erlangt, da dieser auch von außen erreichbar war
und ein mieses Passwort hatte. Ebenso hatte wahrscheinlich einer der
User ein schlechtes Passwort.

Installiert wurden im kompromittierten System dropbear, ein
Socks-Server sowie tor, von dort wurden vermutlich weitere Scans etc.
ausgeführt. Und nicht zu vergessen: grub2-setpassword.

Aus einem alten vec01-Klon stand letztes Jahr wurde eine VM erstellt,
diese läuft momentan noch auf jessie.

Ein gestriger Check auf unseren VMHosts brachte keine weiteren offenen
VNCs zu Tage, ebenso ist angedacht, "sudo ohne Passwort" für unsere
Benutzer abzuschalten.

Grüße
bjo

Bjoern_Franke · 18. Oktober 2018 um 08:38

Muss natürlich heißen: eine neue VM erstellt, die nun als vec01 läuft.

Wer sich das kompromittierte System anschauen möchte, es liegt momentan
in /mnt auf ber gemountet.

Grüße
bjo

Stefan · 18. Oktober 2018 um 08:40

Hi,

lrnzo · 18. Oktober 2018 um 08:41

ich wäre eher für ssh login nur noch mit key

Stefan · 18. Oktober 2018 um 08:42

Ist es, jedoch gehts mit sudo -i ohne weiter!

simon · 18. Oktober 2018 um 13:18

Kann man machen. Schützt aber im Grunde nur vor versehentlichem sudo
oder gegen Verlust von Private-Keys.

Haben wir sonst noch irgendwo VNC? Warum war das auf vec01?!

Viele Grüße,
Simon

Stefan2 · 18. Oktober 2018 um 13:37

Nein, ist überall aus.
Hat Bjo gestern getestet und ich heute erneut.

Warum? Gute Frage..