Ez meg honnan került elő?
Post date: Oct 7, 2011 8:40:44 AM
A kollégám szólt, hogy a backup szerverünkre bejelentkezett egy kliens a backup szerver hostnevével (?), de valami olyan IP-vel, ami a jelenlegi nyilvántartásunk szerint egy storage hardver management IP-je kell legyen, de elvileg használaton kívül kellene lennie. A portscan kiderítette, hogy az IP-n sshd mellett rlogin és telnet is figyel, de semelyik ismert jelszavunkkal nem lehetett belépni. Még mindig fennállt a lehetőség, hogy a userek valahogy lockolva vannak, vagy tiltva van a remote root login (rlogin=false), de ilyet ritkán teszünk. A policy szerint ugyanis csak SSH-n lehet belépni, de csak az sshd_config tiltja a root logint, ergo telnettel be kellene tudni lépni rootként is. Legalább lehetett látni a hostnevet is, valamint azt, hogy egy 'AIX Version 5' fut rajta, illetve mélyebb portscan nélkül, ssh -vvv-vel is látszott, hogy elavult, nem standard sshd verzió (4.3) fut rajta.
Közben kiderült, hogy a gép azért lett elindítva, mert a storage adminok szerint az egyik FC kártya hibát jelzett a storage-on. A gépteremben sem lettünk okosabbak, a gépen nem volt felirat, de az látszott, hogy van benne 4 db FC adapter és két hálózati kártya. Nem volt sok esélye, hogy több logikai partíció futna rajta, mert ez még egy régebbi generációs hardver volt. A showmount szerint volt rajta egy NFS share, de az egyetlen, a share-hez engedélyezett host már valószínűleg IP-t váltott, mert onnan nem sikerült a mount sem.
De hogyan jussunk be egy ilyen gépre multiuser módban remote exploitok keresgélése nélkül? 2008 környékén még nem volt beállítva az LDAP, lokális usereket használtunk. Hogy, hogy nem, az egyik akkori userünk kezdeti jelszava megvolt egy listában, és azzal sikerült belépni! Rögtön ki is derült, hogy az a user még soha nem járt a gépen, mert az AIX default szerint feljött a figyelmeztetés, hogy jelszót kell változtatnia... Sudo joga viszont nem volt, és a root password továbbra is ismeretlen maradt.
Innen már rövid úton meglett a root hozzáférés. A root home könyvtáron 755 jog volt (a default 700), így láttam, hogy van .rhosts file, benne egy ismerős, még létező management szerver neve. Beugrott, hogy akkor jó eséllyel az ssh kulcsokhoz is hozzányúltunk, és valóban: arról a szerverről rootként ssh kulccsal be tudtam lépni. Mivel már ennyiben nem akartam hagyni a dolgot, feltörtem a jelszóhasht: 31 s alatt meglett a nem túl bonyolult, ráadásul sima crypttel (DES) titkosított jelszó.
Mint kiderült, ez tényleg a régi backup szerverünk, 5.2-es AIX fut rajta, amin akkor még szinte semmi standard beállítás nem létezett. Az történhetett, hogy mikor az új szerver üzembe lett helyezve, a régit megtartottuk a biztonság kedvéért, csak kapott egy új IP-t, majd minden funkciója ki lett iktatva, le lett állítva. Csak éppen azóta elfelejtettük lehúzni a kábeleket és lezúzni az OS-t.
Maga a hardver meg egy pSeries 660 (7026-6H1), amiben 4 db 750MHz-es RS64-IV CPU és 4GB RAM van, ez sajna semmire nem lenne elég, ha esetleg mégis megkockáztatnánk, hogy fejlesztésre üzembe vesszük. A benne levő 4 db 2Gbit FC kártyának sem fogjuk sok hasznát látni, sem a 2 db 36GB-os belső diszknek. Tehát mehet rá a szokásos selejtezési procedúra, a vas meg a végén a raktárba.
# last | tail -1wtmp begins May 12 14:44# ls -l /etc/fb*-rwxrwxr-x 1 root system 24 May 12 2005 /etc/fb_07_44_05_12Az OS 2005. május 12-én lett telepítve. Végül is 3,5 év nem hosszú szolgálati idő.