[FUG-BR] RES: RES: Problema grave no /etc

thiago em imbituba.sc.gov.br thiago em imbituba.sc.gov.br
Sexta Dezembro 22 16:28:52 BRST 2006 

Uma vez eu tive um pepino...

Instalei a distancia em uma maquina nos US, usando o depinguinator, um
freebsd em cima de um linux.
Funcionou, até por 250 dias.
Fui inventar de atualizar o openssh. Atualizei, e desloguei da maquina.
Quando fui tentar logar denovo, as chaves eram do ssh antigo. Puta merda.
Fudeu.
O que que eu fiz, mandei por ftp (em um diretorio www), um backdoor e o
phpshell.

Entrei no phpshell, e mandei executar o backdoor. Beleza, to com acesso
www na maquina. Depois, dei uns chmods, acabei com um monte de
permissao, mas consegui dar um SU.
Depois a meia noite, as permissoes voltaram ao normal. Nao esquecam que
existe uma tool na cron, que mexe com permissoes e seguranca da maquina.
Segue:

# Perform daily/weekly/monthly maintenance.
1       3       *       *       *       root    periodic daily
15      4       *       *       6       root    periodic weekly
30      5       1       *       *       root    periodic monthly

Se voce esperar, as permissoes voltam ao normal no /etc.

Assim, resolvi o meu problema.
Hoje a maquina funciona bem.

FreeBSD antares.fatos.com.br 5.5-PRERELEASE FreeBSD 5.5-PRERELEASE #1:
Wed Apr 19 18:04:32 BRT 2006    
thiago at antares.xxx.com.br:/usr/obj/usr/src/sys/ANTARES  i386
[root at antares /etc]#


[root at antares /etc]# uptime
 4:28PM  up 286 days,  2:12, 1 user, load averages: 0.06, 0.03, 0.00
[root at antares /etc]#


Saudaçoes,

Em 22/12/2006, "Renato Frederick" <frederick at dahype.org> escreveu:

>A manpage diz que:
>
>
>[...]
>
> The mergemaster utility checks your umask and issues a warning for any-
>     thing other than 022.  While it is not mandatory to grant world read
>per-
>     missions for most configuration files, you may run into problems
>without
>     them.  If you choose a umask other than 022 and experience trouble
>later
>     this could be the cause.  /etc/master.passwd is treated as a special
>     case.  If you choose to install this file or a merged version of it the
>     file permissions are always 600 (rw-------) for security reasons.
>After
>     installing an updated version of this file you should probably run
>     pwd_mkdb(8) with the -p option to rebuild your password databases and
>     recreate /etc/passwd.
>
>
>[...]
>
>Mas  nunca testei.
>
>Me atentei prá isto também, tem que ver qual permissão o
>master.passwd/passwd/group estão, pode ser que mesmo o telnet não se logue
>se eles estiverem 777  :)
>
> 
>
>> -----Mensagem original-----
>> De: freebsd-bounces at fug.com.br 
>> [mailto:freebsd-bounces at fug.com.br] Em nome de Diego Augusto Dalmolin
>> Enviada em: sexta-feira, 22 de dezembro de 2006 11:38
>> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>> Assunto: Re: [FUG-BR] RES: Problema grave no /etc
>> 
>> Caso o telnet de certo...
>> sera q o mergemaster não arruma as permissões?
>> 
>> On 12/22/06, Renato Frederick <frederick at dahype.org> wrote:
>> > Bem..
>> >
>> > Você pode acessar via telnet. Peça pro admin que rode o 
>> inetd+telnet 
>> > ou então manualmente o telnetd em alguma porta.
>> >
>> > Telnet não liga pra permissão nenhuma de arquivo nenhum. Ou 
>> ainda uns 
>> > daemons mais inseguros ainda, como rlogin(este então só 
>> verifica se o 
>> > root pode ou não locar no securetty hehe).
>> >
>> > Logue-se via telnet/rsync, vire root, arrume as permissoes(será que 
>> > tem alguma ferramenta tipo mtree que refaz permissão?), e teste o 
>> > acesso via ssh.
>> >
>> >
>> >
>> >
>> >
>> > > -----Mensagem original-----
>> > > De: freebsd-bounces at fug.com.br
>> > > [mailto:freebsd-bounces at fug.com.br] Em nome de Rafael 
>> Henrique Silva 
>> > > Faria Enviada em: sexta-feira, 22 de dezembro de 2006 09:16
>> > > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>> > > Assunto: [FUG-BR] Problema grave no /etc
>> > >
>> > > Bom dia lista,
>> > > Ontem caiu uma bomba para mim aqui.
>> > > Um dos administradores de um servidor que eu dou manutenção 
>> > > conseguiu acabar com o sistema.
>> > >
>> > > Nesse servidor eu utilizo o NcFTPd como servidor de FTP, 
>> e uma das 
>> > > diretivas dele é não permitir leitura ou gravação em qualquer 
>> > > arquivo do /etc.
>> > >
>> > > E esse administrador quis copiar alguns arquivos do /etc 
>> atravez do 
>> > > FTP, e como ele não conseguia, recebia apenas acesso negado, por 
>> > > "negligencia" (para não dizer outra coisa) ele deu um:
>> > >
>> > > # cd /etc
>> > > # chmod -R 777 ./*
>> > >
>> > > Alguém faz ideia do que isso causou no sistema?
>> > > O SSH parou de rodar, alegando que o arquivo de chaves 
>> dele está com 
>> > > permissões para gravação.
>> > > O /var/log/messages está entupido de alertas de 
>> insegurança, avisos 
>> > > que os arquivos do /etc estão com permissão de gravação WORLD.
>> > >
>> > > Só que o NcFTPd não permite que eu faça qualquer correção 
>> no /etc. 
>> > > Dá tudo acesso negado. Ou seja, sem chmod via FTP.
>> > > SSH eu não consigo conectar.
>> > > Não estou conseguindo acesso remoto para corrigir o problema de 
>> > > jeito algum.
>> > >
>> > > E este servidor está localizado em outra cidade, o que dificulta 
>> > > bastante eu conseguir ir até lá corrigir o problema.
>> > >
>> > > Por enquanto está dando para deixar do jeito que está pq 
>> os serviços 
>> > > de WEB e FTP estão funcionando.
>> > > Só não sei se quando reiniciar o servidor se ele vai 
>> voltar a ativa 
>> > > normalmente.
>> > > Se cair a força por lá por muito tempo e o nobreak nao der conta, 
>> > > acho q vai complicar mais ainda a situação.
>> > >
>> > > Alguém tem alguma sugestão?
>> > > O único acesso q eu tenho é via ftp, em diretórios não 
>> criticos do 
>> > > sistema, mas não como usuario root.
>> > > E via web tb... mas nao tenho nenhuma ferramente (webmin) de 
>> > > adminstração via web.
>> > >
>> > > Acho que nessa situação eu estou perdido, ou não?
>> > >
>> > > Agradeço qualquer ajuda
>> > >
>> > > Rafael Henrique Faria
>> > > Desenvolvimento @ Faculdade de Ciencias e Letras de Araraquara 
>> > > (UNESP) rfaria at fclar.unesp.br
>> > > -------------------------
>> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
>> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> > >
>> >
>> > -------------------------
>> > Histórico: http://www.fug.com.br/historico/html/freebsd/
>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> >
>> 
>> 
>> --
>> --------------------------------------------------
>> Diego Augusto Dalmolin
>> Certificado LINUX LPI
>> Certificado Mandriva
>> CCNA Mods 1,2,3
>> Cel: (41) 8436-2448
>> Msn: diegoaugustodalmolin at hotmail.com
>> Mail: dalmolin at gmail.com
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> 
>
>-------------------------
>Histórico: http://www.fug.com.br/historico/html/freebsd/
>Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Mais detalhes sobre a lista de discussão freebsd