Buenas tardes, este es mi primer post aquí tras mi presentación. La empresa de un conocido mio tiene un gran problema y no sé si podreis ayudarme o sugerirme alguna forma de solucionarlo. Os cuento.

En esta empresa despidieron hace un tiempo a un empleado que se encargaba del mantenimiento de cierto servidor en el que alojaban una web y unas bases de datos. También algo relacionado con servidores de correo o buzones... Exactamente no sé todo lo que tenían montado, pero sí sé que la seguridad dejaba mucho que desear. Todo esto estaba montado en un sistema debian. Tras despedir al empleado que os comento empezaron a notar algunos "ataques" a la base de datos. Notaban que a veces la web no respondia. Pero por lo que se ve ya ha llegado el momento en el que nada del servidor es accesible a ellos. Intentaron acceder al servidor con el usuario root, pero se ve que el ex-empleado ha cambiado la contraseña de este usuario ya que poseía acceso remoto al servidor.

El tema es que ahora mismo tan solo se puede acceder al servidor por putty con un usuario con permisos bastante restringidos y no sé si habría algún modo de restaurar la contraseña o intentar hacer algo para, por lo menos, salvar los datos del servidor "secuestrado". Hay que decir también que este servidor no es accesible fisicamente por nosotros ya que es un servidor proporcionado por una empresa externa que se lava las manos en este problema, ya que ellos solamente ponen el servidor a disposición del que lo solicite, y ya el usuario es el que configura la máquina a su antojo.

Pues bueno... para mí es un gran reto intentar dar una solución a este tema pero mi experiencia en esto es bastante limitada, así que espero recibir algún cosejo o sugerencia que me proporcione alguna idea para mejorar esta situación.

Gracias por adelantado.

Entonces no se puede hacer salvo mediante alguna ataque por fuerza bruta, pero no entiendo ustedes son los dueños del sistema, por lo tanto se reduce a que el que tiene el servidor resetee la password y listo.-

A ver, el sistema lo proporciona una empresa externa que no nos da soporte de ningún tipo, ellos se limitan a proporcionar una maquina a la que físicamente no tenemos acceso ya que no está en las instalaciones de la empresa que tiene el problema.
El tema es que una de las personas que manejaban las contraseñas de root y las de usuarios con privilegios de administrador fue despedida y se piensa que pudo ser él quien cambiase dichas contraseñas, con lo que no sé como podríamos resetear la password.
Quizás sea más sencillo de lo que pienso, no lo sé, pero no entiendo como podrían resetear dicha contraseña si no poseemos en estos momentos la contraseña de root ni la de ningún otro usuario con privilegios suficientes.
Quizás por fuerza bruta podríamos intentar recuperar las contraseñas obteniendo el fichero passwd, pero no sé como obtenerlo por putty o como modificarlo para quitar la contraseña de root, ya que con el usuario con el que tenemos acceso no podemos editarlo, es un fichero de solo lectura.
Gracias por esta primera respuesta, a ver si alguien más puede arrojar algo de luz a este asunto.

:/

La verdad no se si será cierta la historia del ex empleado.. por que de primera, una empresa que no maneja sus propias passwords y toma precauciones cuando un sysadmin se va de mala forma, la verdad me parece raro.

Ahora, creo que lo mas conveniente es reiniciar el servidor y reestrablecer la pass directamente en la maquina mediante un single user, podra ser que el housing sea en otra parte, pero los datos son de ustedes.

Bueno, si la historia fuese 100% veridica sera un tema bastante peliagudo.

mmm yo lo veo simple ..

1º te logeas como root
2º buscas rotkit en el sistema
3º re-escribes las reglas de iptalebs, de modo tal que controles exactamente lo que ente y sale del servidor (evita las conexiones mediante proxies bien conocidos)
º4 buscas todos los users del sistema , eliminas los que no estén usándose y a los demás le cambias el pasword ( password fuertes 26 caracteres alfanuméricos ,etc )
5º elimina todo paquete que no uses
6º le cambias el password a el root por supuesto. ( password fuertes 26 caracteres alfanumericos etc ete )
7º instalas un sistema de detección de intrusos
8 º te preparas una jarra enorme de café y empiezas a leer los log

si el servidor es de tu propiead no tendras probelmas en retomar el control... y no precisas de ninguna artimaña pseudo-hacker para ello. porque es tullo. en caso de tener que contar con el apoyo físico de la empresa que te brinda el server es loable y esta dentro de lo esperado... o acaso no te brindan sopoorte por una falla en al sistema eléctrico ?? y si no es así. cambia de empresa
aqui te podemos prestar apoyo en tanto tu controles el servidor sino pues no.

saludos

me parece algo "suspicas" el tema, en todo caso, porque no buscar un consultor IT que les de respaldo en el tema.Creo que seria lo mejor y lo mas recomendable "PARA LA EMREPSA"

Sls

A ver... la historia es 100% real. La empresa es una fundación benéfica más que una empresa como tal, por lo que han optado por unos servicios muy económicos en cuanto a servidores se refiere. Los servidores NO pertenecen a esta fundación, sino que lo tienen contratado a una empresa externa y dicho servidor está alojado en dicha empresa externa.
Esta fundación evidentemente manejaban sus contraseñas, pero al despedir al chico en cuestión y no tener un soporte informático lo suficientemente competente no se atrevieron a cambiar todas las contraseñas ya que no sabían si repercutirían en las web que tienen montadas. Por ejemplo... si hubiesen cambiado las claves de las BDs evidentemente tendrían que haber cambiado la configuración de dichas aplicaciones web.
Por otro lado, al chico que me comenta que me loguee como root... evidentemente no se pueden logear como root, la contraseña de root es la que han cambiado.
A todos os agradezco las respuestas y el tiempo empleado en atenderme, pero me gustaría pedir que el que no se crea la historia y piense que soy un quinceañero intentando sacar información para creerme un hacker... que simplemente no contesten a este tema.
El problema es grave, y yo simplemente podría limpiarme las manos porque ni siquiera es la empresa donde yo trabajo, pero acudieron a mi porque me conocen y me dedico a la informática (en este caso analista programador). Mi implicación en el tema es más que nada porque son allegados a mí y porque se trata de una fundación que entre otras cosas ayudan a niños autistas y a gente con pocos recursos económicos a los que les proporcionan formación académica y cosas así. Por ello pido que el que no se crea la historia que simplemente pase del tema y ya está, pero me jode un poco que se ponga en duda en todo momento, si se pone en duda simplemente pues no ayuden.
Gracias

ythalo

Se pone en duda. por que si revisaras un poco el log del foro, verias que hay muchisimos novatos pidiendo informacion de este tipo, y la verdad espaciolinux no es un sitio sobre hacking como tal, los temas de seguridad que se tocan en este foro, es como asegurar tu sistema no como corromperlo, por ende es muy probable que no encuentres la respuesta a tu problema acá.

Aparte, si es que el el servidor es tuyo.. la forma de poder reestablecer la pass del root, es un ataque de fuerza, y si estas preocupado por tu data no es aconsejable. yo creo, que deberias llamar al housing, no como cliente, si no mas bien como amigo. y pedirle ayuda a ellos, que para escalar los permisos en Linux es muhcisimo trabajo, tiempo y conocimiento.

Respecto a lo de que si no creemos la historia pasemos de largo, no estoy de acuerdo contigo, este es un foro publico en el que cualquier usuario registrado puede responder en cualquier tema abierto, de hay si su respuesta es ofensiva, o es un simple troll, pues bueno se tomaran medidas.

El problema es como comenta ps-ax, una cosa es como recuperar la password de un sistema linux local y otra muy distinta es hacerlo en forma remota, a la primera opción cualquiera de nosotros te va a responder gustosamente, ya que es para recuperar la password de un equipo local y en forma local no es un delito ya que se suele considerar que es si tenes acceso fisico y podes reiniciar el equipo el host ya es tuyo, en cambio cuando es algo remoto, las cosas cambian porque le estamos dando la información expuesta a que cualquier suedohacker de windows empieze a molestar, una idea seria que con el usuario limitado ese probes tratar de explotar alguna falencia de seguridad.-
Que raro es el lugar en donde metieron la pagina que no le puedan resetear la password, podes dar datos de que empresa es la que hace eso, para que agregue a mi lista de empresas irresponsables.-

Estimado amigo, a estas alturas supongo que recuperaron la contraseña perdida y accedieron a la data institucional; y me imagino tu has aprendido mucho sobre linux que este hilo ya te perecerá tonto sobre lo que preguntas jejeje. Lo que si me gustaría es que dieras acá el nombre de esa empresa de colocación de servidores para etiquetarla como empresa irresponsable porque la empresa debe facilitar el acceso a los datos que son tuyos y si fue un ataque entonces ellos son responsables de la red donde opera ese equipo y deben tomar medidas de seguridad y garantizar la alta disponibilidad de los servicios prestados. Te animo a publicar el nombre de la empresa esta irresponsable, no vaya a ser que alguno de nosotros se tropiece con ella en algún momento.

Saludos

Sabio concejo.

Lamento arruinar el pastel pero no es posible publicar, difamar empresas o personas en el sitio ya que nos traería problemas legales... puedes hacerlo por privado a quien solicite opinión si lo deseas pero no en público.

Si tuvieras un juicio echo contra la empresa y la resolución judicial avalara tus opiniones se podrá pero de no ser así es una simple opinión difamatoria y eso no es posible hacerlo.

y a modo de respuesta al tema original: lo que se pide, segun el reglamento del foro, no esta permitido, por mucho que sea con fines licitos, pero estamos hablando de hackear un servidor. lo que ha dicho alguien: luego cualquiera lo lee, y... quita, quita.

PD: (supongo que tarde pero en fin, menos da una piedra), ya has pasado por los foros de elhacker?? me parece un sitio bastante mas adecuado (sobre todo por la tematica...), en el sentido, de que es mas probable que encuentres respuestas.

saludos


grave asunto pero en este momento la ayuda mas idónea la tienes en el tercero que te ofrece os servicios de alquiler de la maquina, probablemente (si no tiene un experto en el tema), tengan acceso a alguien que te ayude con el asunto y bajo las condiciones son los indicados para garantizar el soporte a tus datos (es lo que mas importa aun si se han cometido errores antes).


mi consejo: háblales ello tiene acceso a la maquina y te podrían ayudar mejor.

el usuario no ha vuelto al sitio desde que posteo en este hilo y todos los menajes que posteo fueron en este hilo y el de presentación no creo que le interese ningún consejo

a) porque ya lo soluciono
b) porque lo que buscaba era saber como hackar un sitio ..

Por favor no revivan temas muertos..