Recuperacion de usuario root

Todos los temas relacionados con la seguridad en Linux

Moderadores: doc, ps-ax

ythalo
Forista Nuevo
Forista Nuevo
Mensajes: 4
Registrado: Mié Dic 01, 2010 7:58 pm

Recuperacion de usuario root

Mensaje por ythalo » Mié Dic 01, 2010 8:29 pm

Buenas tardes, este es mi primer post aquí tras mi presentación. La empresa de un conocido mio tiene un gran problema y no sé si podreis ayudarme o sugerirme alguna forma de solucionarlo. Os cuento.

En esta empresa despidieron hace un tiempo a un empleado que se encargaba del mantenimiento de cierto servidor en el que alojaban una web y unas bases de datos. También algo relacionado con servidores de correo o buzones... Exactamente no sé todo lo que tenían montado, pero sí sé que la seguridad dejaba mucho que desear. Todo esto estaba montado en un sistema debian. Tras despedir al empleado que os comento empezaron a notar algunos "ataques" a la base de datos. Notaban que a veces la web no respondia. Pero por lo que se ve ya ha llegado el momento en el que nada del servidor es accesible a ellos. Intentaron acceder al servidor con el usuario root, pero se ve que el ex-empleado ha cambiado la contraseña de este usuario ya que poseía acceso remoto al servidor.

El tema es que ahora mismo tan solo se puede acceder al servidor por putty con un usuario con permisos bastante restringidos y no sé si habría algún modo de restaurar la contraseña o intentar hacer algo para, por lo menos, salvar los datos del servidor "secuestrado". Hay que decir también que este servidor no es accesible fisicamente por nosotros ya que es un servidor proporcionado por una empresa externa que se lava las manos en este problema, ya que ellos solamente ponen el servidor a disposición del que lo solicite, y ya el usuario es el que configura la máquina a su antojo.

Pues bueno... para mí es un gran reto intentar dar una solución a este tema pero mi experiencia en esto es bastante limitada, así que espero recibir algún cosejo o sugerencia que me proporcione alguna idea para mejorar esta situación.

Gracias por adelantado.
Avatar de Usuario
hmg79
Forista Legendario
Forista Legendario
Mensajes: 2211
Registrado: Lun Mar 31, 2008 8:00 am

Re: Recuperacion de usuario root

Mensaje por hmg79 » Mié Dic 01, 2010 8:59 pm

Entonces no se puede hacer salvo mediante alguna ataque por fuerza bruta, pero no entiendo ustedes son los dueños del sistema, por lo tanto se reduce a que el que tiene el servidor resetee la password y listo.-
ythalo
Forista Nuevo
Forista Nuevo
Mensajes: 4
Registrado: Mié Dic 01, 2010 7:58 pm

Re: Recuperacion de usuario root

Mensaje por ythalo » Mié Dic 01, 2010 9:14 pm

A ver, el sistema lo proporciona una empresa externa que no nos da soporte de ningún tipo, ellos se limitan a proporcionar una maquina a la que físicamente no tenemos acceso ya que no está en las instalaciones de la empresa que tiene el problema.
El tema es que una de las personas que manejaban las contraseñas de root y las de usuarios con privilegios de administrador fue despedida y se piensa que pudo ser él quien cambiase dichas contraseñas, con lo que no sé como podríamos resetear la password.
Quizás sea más sencillo de lo que pienso, no lo sé, pero no entiendo como podrían resetear dicha contraseña si no poseemos en estos momentos la contraseña de root ni la de ningún otro usuario con privilegios suficientes.
Quizás por fuerza bruta podríamos intentar recuperar las contraseñas obteniendo el fichero passwd, pero no sé como obtenerlo por putty o como modificarlo para quitar la contraseña de root, ya que con el usuario con el que tenemos acceso no podemos editarlo, es un fichero de solo lectura.
Gracias por esta primera respuesta, a ver si alguien más puede arrojar algo de luz a este asunto.
Avatar de Usuario
ps-ax
Moderador
Moderador
Mensajes: 807
Registrado: Mar Mar 27, 2007 8:00 am
Ubicación: /etc/

Re: Recuperacion de usuario root

Mensaje por ps-ax » Mié Dic 01, 2010 9:17 pm

:/

La verdad no se si será cierta la historia del ex empleado.. por que de primera, una empresa que no maneja sus propias passwords y toma precauciones cuando un sysadmin se va de mala forma, la verdad me parece raro.

Ahora, creo que lo mas conveniente es reiniciar el servidor y reestrablecer la pass directamente en la maquina mediante un single user, podra ser que el housing sea en otra parte, pero los datos son de ustedes.

Bueno, si la historia fuese 100% veridica sera un tema bastante peliagudo.
--"Social Engineer -> Because there is no patch for human stupidity"
La mayor satisfacción para una persona inteligente, es aparentar ser idiota frente a una persona que es idiota y aparenta ser inteligente--
Avatar de Usuario
mcun
Administrador
Administrador
Mensajes: 3888
Registrado: Lun Abr 19, 2010 12:30 am
Ubicación: En una de las nalgas del culo del mundo (según la Bersuit Vergarabat)
Contactar:

Re: Recuperacion de usuario root

Mensaje por mcun » Mié Dic 01, 2010 9:40 pm

mmm yo lo veo simple ..

1º te logeas como root
2º buscas rotkit en el sistema
3º re-escribes las reglas de iptalebs, de modo tal que controles exactamente lo que ente y sale del servidor (evita las conexiones mediante proxies bien conocidos)
º4 buscas todos los users del sistema , eliminas los que no estén usándose y a los demás le cambias el pasword ( password fuertes 26 caracteres alfanuméricos ,etc )
5º elimina todo paquete que no uses
6º le cambias el password a el root por supuesto. ( password fuertes 26 caracteres alfanumericos etc ete )
7º instalas un sistema de detección de intrusos
8 º te preparas una jarra enorme de café y empiezas a leer los log

si el servidor es de tu propiead no tendras probelmas en retomar el control... y no precisas de ninguna artimaña pseudo-hacker para ello. porque es tullo. en caso de tener que contar con el apoyo físico de la empresa que te brinda el server es loable y esta dentro de lo esperado... o acaso no te brindan sopoorte por una falla en al sistema eléctrico ?? y si no es así. cambia de empresa ;)
aqui te podemos prestar apoyo en tanto tu controles el servidor sino pues no.

saludos
Los programadores de verdad no documentan. La documentación es para los idiotas que no pueden leer un volcado de memoria.

Trusted Network and Developer | Lee el Reglamento !! |WIKI-EL | Twitter @mr_mcun
Debian + TTY | ArchLinux + awesome | openSUSE + Gnome-Shell | Linux User #508809
Avatar de Usuario
Kde_Tony
Moderador
Moderador
Mensajes: 3866
Registrado: Mié Jul 20, 2005 7:00 am
Ubicación: /home/Peru/Lima/La Molina
Contactar:

Re: Recuperacion de usuario root

Mensaje por Kde_Tony » Mié Dic 01, 2010 9:48 pm

me parece algo "suspicas" el tema, en todo caso, porque no buscar un consultor IT que les de respaldo en el tema.Creo que seria lo mejor y lo mas recomendable "PARA LA EMREPSA"

Sls
"Quiero cambiar al mundo pero no me dan los RPM"
----------------------------
Tony Blair
Linux User # 433253
Ubuntu User # 9562
-----------------------------
ythalo
Forista Nuevo
Forista Nuevo
Mensajes: 4
Registrado: Mié Dic 01, 2010 7:58 pm

Re: Recuperacion de usuario root

Mensaje por ythalo » Jue Dic 02, 2010 1:48 am

A ver... la historia es 100% real. La empresa es una fundación benéfica más que una empresa como tal, por lo que han optado por unos servicios muy económicos en cuanto a servidores se refiere. Los servidores NO pertenecen a esta fundación, sino que lo tienen contratado a una empresa externa y dicho servidor está alojado en dicha empresa externa.
Esta fundación evidentemente manejaban sus contraseñas, pero al despedir al chico en cuestión y no tener un soporte informático lo suficientemente competente no se atrevieron a cambiar todas las contraseñas ya que no sabían si repercutirían en las web que tienen montadas. Por ejemplo... si hubiesen cambiado las claves de las BDs evidentemente tendrían que haber cambiado la configuración de dichas aplicaciones web.
Por otro lado, al chico que me comenta que me loguee como root... evidentemente no se pueden logear como root, la contraseña de root es la que han cambiado.
A todos os agradezco las respuestas y el tiempo empleado en atenderme, pero me gustaría pedir que el que no se crea la historia y piense que soy un quinceañero intentando sacar información para creerme un hacker... que simplemente no contesten a este tema.
El problema es grave, y yo simplemente podría limpiarme las manos porque ni siquiera es la empresa donde yo trabajo, pero acudieron a mi porque me conocen y me dedico a la informática (en este caso analista programador). Mi implicación en el tema es más que nada porque son allegados a mí y porque se trata de una fundación que entre otras cosas ayudan a niños autistas y a gente con pocos recursos económicos a los que les proporcionan formación académica y cosas así. Por ello pido que el que no se crea la historia que simplemente pase del tema y ya está, pero me jode un poco que se ponga en duda en todo momento, si se pone en duda simplemente pues no ayuden.
Gracias
Avatar de Usuario
ps-ax
Moderador
Moderador
Mensajes: 807
Registrado: Mar Mar 27, 2007 8:00 am
Ubicación: /etc/

Re: Recuperacion de usuario root

Mensaje por ps-ax » Jue Dic 02, 2010 3:27 pm

ythalo

Se pone en duda. por que si revisaras un poco el log del foro, verias que hay muchisimos novatos pidiendo informacion de este tipo, y la verdad espaciolinux no es un sitio sobre hacking como tal, los temas de seguridad que se tocan en este foro, es como asegurar tu sistema no como corromperlo, por ende es muy probable que no encuentres la respuesta a tu problema acá.

Aparte, si es que el el servidor es tuyo.. la forma de poder reestablecer la pass del root, es un ataque de fuerza, y si estas preocupado por tu data no es aconsejable. yo creo, que deberias llamar al housing, no como cliente, si no mas bien como amigo. y pedirle ayuda a ellos, que para escalar los permisos en Linux es muhcisimo trabajo, tiempo y conocimiento.

Respecto a lo de que si no creemos la historia pasemos de largo, no estoy de acuerdo contigo, este es un foro publico en el que cualquier usuario registrado puede responder en cualquier tema abierto, de hay si su respuesta es ofensiva, o es un simple troll, pues bueno se tomaran medidas.
--"Social Engineer -> Because there is no patch for human stupidity"
La mayor satisfacción para una persona inteligente, es aparentar ser idiota frente a una persona que es idiota y aparenta ser inteligente--
Avatar de Usuario
hmg79
Forista Legendario
Forista Legendario
Mensajes: 2211
Registrado: Lun Mar 31, 2008 8:00 am

Re: Recuperacion de usuario root

Mensaje por hmg79 » Jue Dic 02, 2010 6:58 pm

El problema es como comenta ps-ax, una cosa es como recuperar la password de un sistema linux local y otra muy distinta es hacerlo en forma remota, a la primera opción cualquiera de nosotros te va a responder gustosamente, ya que es para recuperar la password de un equipo local y en forma local no es un delito ya que se suele considerar que es si tenes acceso fisico y podes reiniciar el equipo el host ya es tuyo, en cambio cuando es algo remoto, las cosas cambian porque le estamos dando la información expuesta a que cualquier suedohacker de windows empieze a molestar, una idea seria que con el usuario limitado ese probes tratar de explotar alguna falencia de seguridad.-
Que raro es el lugar en donde metieron la pagina que no le puedan resetear la password, podes dar datos de que empresa es la que hace eso, para que agregue a mi lista de empresas irresponsables.-
carlosjaviermarin
Forista Nuevo
Forista Nuevo
Mensajes: 4
Registrado: Mar Sep 13, 2011 2:10 am

Re: Recuperacion de usuario root

Mensaje por carlosjaviermarin » Mar Sep 13, 2011 3:32 am

Estimado amigo, a estas alturas supongo que recuperaron la contraseña perdida y accedieron a la data institucional; y me imagino tu has aprendido mucho sobre linux que este hilo ya te perecerá tonto sobre lo que preguntas jejeje. Lo que si me gustaría es que dieras acá el nombre de esa empresa de colocación de servidores para etiquetarla como empresa irresponsable porque la empresa debe facilitar el acceso a los datos que son tuyos y si fue un ataque entonces ellos son responsables de la red donde opera ese equipo y deben tomar medidas de seguridad y garantizar la alta disponibilidad de los servicios prestados. Te animo a publicar el nombre de la empresa esta irresponsable, no vaya a ser que alguno de nosotros se tropiece con ella en algún momento.

Saludos
o4kley
Forista Medio
Forista Medio
Mensajes: 410
Registrado: Sab Ene 01, 2011 2:40 am
Ubicación: Peru

Re: Recuperacion de usuario root

Mensaje por o4kley » Mar Sep 13, 2011 4:41 pm

carlosjaviermarin escribió:Estimado amigo, a estas alturas supongo que recuperaron la contraseña perdida y accedieron a la data institucional; y me imagino tu has aprendido mucho sobre linux que este hilo ya te perecerá tonto sobre lo que preguntas jejeje. Lo que si me gustaría es que dieras acá el nombre de esa empresa de colocación de servidores para etiquetarla como empresa irresponsable porque la empresa debe facilitar el acceso a los datos que son tuyos y si fue un ataque entonces ellos son responsables de la red donde opera ese equipo y deben tomar medidas de seguridad y garantizar la alta disponibilidad de los servicios prestados. Te animo a publicar el nombre de la empresa esta irresponsable, no vaya a ser que alguno de nosotros se tropiece con ella en algún momento.

Saludos
Sabio concejo.
"Bañarse en pareja (ahorra agua y ayuda a producir niños ecológicos) =)"
http://o4-gml.blogspot.com/
Avatar de Usuario
mcun
Administrador
Administrador
Mensajes: 3888
Registrado: Lun Abr 19, 2010 12:30 am
Ubicación: En una de las nalgas del culo del mundo (según la Bersuit Vergarabat)
Contactar:

Re: Recuperacion de usuario root

Mensaje por mcun » Mar Sep 13, 2011 6:31 pm

Lamento arruinar el pastel pero no es posible publicar, difamar empresas o personas en el sitio ya que nos traería problemas legales... puedes hacerlo por privado a quien solicite opinión si lo deseas pero no en público.

Si tuvieras un juicio echo contra la empresa y la resolución judicial avalara tus opiniones se podrá pero de no ser así es una simple opinión difamatoria y eso no es posible hacerlo.
Los programadores de verdad no documentan. La documentación es para los idiotas que no pueden leer un volcado de memoria.

Trusted Network and Developer | Lee el Reglamento !! |WIKI-EL | Twitter @mr_mcun
Debian + TTY | ArchLinux + awesome | openSUSE + Gnome-Shell | Linux User #508809
Avatar de Usuario
niky45
Forista Ancestral
Forista Ancestral
Mensajes: 9186
Registrado: Jue Abr 12, 2007 7:00 am
Ubicación: tras la pantalla (...)
Contactar:

Re: Recuperacion de usuario root

Mensaje por niky45 » Mar Sep 13, 2011 8:54 pm

y a modo de respuesta al tema original: lo que se pide, segun el reglamento del foro, no esta permitido, por mucho que sea con fines licitos, pero estamos hablando de hackear un servidor. lo que ha dicho alguien: luego cualquiera lo lee, y... quita, quita.

PD: (supongo que tarde pero en fin, menos da una piedra), ya has pasado por los foros de elhacker?? me parece un sitio bastante mas adecuado (sobre todo por la tematica...), en el sentido, de que es mas probable que encuentres respuestas. :wink:
#446716
>>"Linux: the operating system with a CLUE... Command Line User Environment".
(seen in a posting in comp.software.testing)

[ DNFD ] - [ F4A ] - [ dotfiles ]
Avatar de Usuario
EINOM
Forista Menor
Forista Menor
Mensajes: 71
Registrado: Sab Jun 14, 2008 7:00 am
Contactar:

Re: Recuperacion de usuario root

Mensaje por EINOM » Vie Sep 16, 2011 8:17 pm

saludos


grave asunto pero en este momento la ayuda mas idónea la tienes en el tercero que te ofrece os servicios de alquiler de la maquina, probablemente (si no tiene un experto en el tema), tengan acceso a alguien que te ayude con el asunto y bajo las condiciones son los indicados para garantizar el soporte a tus datos (es lo que mas importa aun si se han cometido errores antes).


mi consejo: háblales ello tiene acceso a la maquina y te podrían ayudar mejor.
Avatar de Usuario
mcun
Administrador
Administrador
Mensajes: 3888
Registrado: Lun Abr 19, 2010 12:30 am
Ubicación: En una de las nalgas del culo del mundo (según la Bersuit Vergarabat)
Contactar:

Re: Recuperacion de usuario root

Mensaje por mcun » Vie Sep 16, 2011 8:24 pm

el usuario no ha vuelto al sitio desde que posteo en este hilo y todos los menajes que posteo fueron en este hilo y el de presentación no creo que le interese ningún consejo

a) porque ya lo soluciono
b) porque lo que buscaba era saber como hackar un sitio ..

Por favor no revivan temas muertos..
Los programadores de verdad no documentan. La documentación es para los idiotas que no pueden leer un volcado de memoria.

Trusted Network and Developer | Lee el Reglamento !! |WIKI-EL | Twitter @mr_mcun
Debian + TTY | ArchLinux + awesome | openSUSE + Gnome-Shell | Linux User #508809
Responder
  • Similar Topics
    Respuestas
    Vistas
    Último mensaje