[linux] Re: Security vraag over CentOS

Henk Wichers henkwww op gmail.com
Do Dec 1 13:17:19 CET 2011


Op 1 december 2011 12:21 schreef Paul Slootman <paul+nospam op wurtel.net> het
volgende:
> On Thu 01 Dec 2011, Henk Wichers wrote:
>
> > Kom ik tot mijn grote schrik het volgende tegen :
> >
> > grep Accepted /var/log/messages.*
> > messages.1:Nov 21 17:35:37 centos sshd[22830]: Accepted password for bin
> > from 79.113.54.236 port 1624 ssh2
>
> Controleer alle files die schrijfbaar zijn voor bin...
> Ik zou niet raar opkijken als er binaries vervangen zijn.
>

 ik heb met find / --uid 1
bestanden gevonden in /tmp/exploit
die map heb ik een tarball van gemaakt.
en weggegooid.
met lsof zag ik ook bestanden naar die map.

>
> Mooi is dat trouwens, dat je gewoon als bin kan inloggen op centos...
>

Waarschijnlijk is dit alleen op 5.4. o.i.d.
Want een CentOS 7 installatie heeft gewoon /sbin/nologin
Ik kan me niet heugen dat ik dit perongeluk een keer veranderd heb.
Dat er een wachtwoord op staat vind ik al vreemd, anders kun je toch niet
inloggen?


B.v.d. Henk



>
> Ik raad altijd aan om de toegestane gebruikers in sshd_config te zetten
> met AllowUsers. Alternatief is AllowGroups.
>
> > Ik schaam me dood.
>
> Leermomentje :)
>
>
> Paul
>
>





More information about the Linux mailing list