---

Jeg kan ikke længere få startet sshd dæmonen. Men får i stedet beskeden,
at den ikke kan finde /etc/sshd_config. Det undrer mig en del, da det
tidligere har virket.

Jeg kører RH7.1 og det script, som burde starte ssh ligger i /etc/init.d
hvor det er angivet, at konfigurayionesfilen burde ligge i /etc/ssh/.
Og heri lægger faktisk også sshd_config.


Er der nogen som kan komme med et hint, hvad der er galt ?

Mvh. Torben

---

Torben Frøberg <torben.froberg@mail.dk> wrote:
> Jeg kan ikke længere få startet sshd dæmonen. Men får i stedet beskeden,
> at den ikke kan finde /etc/sshd_config. Det undrer mig en del, da det
> tidligere har virket.

Har du installeret en ny OpenSSH fra tarball? Det er foerst for nyligt
at OpenSSH forventer at disse filer ligger i /etc/ssh/ (tidligere laa de
blot i /etc) saa hvis du har overskrevet den i Red Hat medfoelgende
OpenSSH oplever du nu problemer.

Installer OpenSSH fra en RPM.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

"Torben Frøberg" <torben.froberg@mail.dk> wrote in message
news:3CB5F166.2090002@mail.dk...
>
> Jeg kører RH7.1 og det script, som burde starte ssh ligger i /etc/init.d
> hvor det er angivet, at konfigurayionesfilen burde ligge i /etc/ssh/.
> Og heri lægger faktisk også sshd_config.
>

Og hvis du flyttede filen fra /etc/ssh/ til /etc/ ville problemet så ikke
være løst?

--
Mvh
Martin Kiefer
www.kiefer.dk

---

Martin Kiefer wrote:

> "Torben Frøberg" <torben.froberg@mail.dk> wrote in message
> news:3CB5F166.2090002@mail.dk...
>
>>Jeg kører RH7.1 og det script, som burde starte ssh ligger i /etc/init.d
>> hvor det er angivet, at konfigurayionesfilen burde ligge i /etc/ssh/.
>>Og heri lægger faktisk også sshd_config.
>>
>>
>
> Og hvis du flyttede filen fra /etc/ssh/ til /etc/ ville problemet så ikke
> være løst?

Har prøvet. Problemet blev delvist løst. Til gengæld fik jeg en fejl, i
retning af "Starting sshd:/etc/sshd_config line 10: Bad configuration
option: protocol".

Endvidere har jeg forsøgt at installere en ny rpm-pakke af openssh. I
den forbindelse har jeg fundet noget mærkeligt.

Pakken installerer ikke /usr/sbin/sshd. Burde den ikke det ?

Værre er, at /usr/sbin/sshd ser ud til at være modificeret for ca. 2
dage siden. Dvs. samtidigt med, at jeg opdagede problemet. Skal man
lægge noget i det ?

---

Torben Frøberg wrote:

> Endvidere har jeg forsøgt at installere en ny rpm-pakke af openssh. I
> den forbindelse har jeg fundet noget mærkeligt.
>
> Pakken installerer ikke /usr/sbin/sshd. Burde den ikke det ?

Nej, den ligger i openssh-server.

> Værre er, at /usr/sbin/sshd ser ud til at være modificeret for ca. 2
> dage siden. Dvs. samtidigt med, at jeg opdagede problemet. Skal man
> lægge noget i det ?

Det ville jeg gøre. Tjek MD5-sum af alle filer på maskinen (rpm -Va).

Find din sikkerhedskopi af rpm-databasen (/var/lib/rpm/*) frem (den skal
naturligvis være ældre end ssh-problemet) og tjek md5-summen af alle filer
imod disse filer.

Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
cat complaints > /dev/null
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

>
> Nej, den ligger i openssh-server.


Tak. Jeg kan få min SSH server til at køre igen efter en
reinstallation/opdatering.

>
>
>>Værre er, at /usr/sbin/sshd ser ud til at være modificeret for ca. 2
>>dage siden. Dvs. samtidigt med, at jeg opdagede problemet. Skal man
>>lægge noget i det ?
>>
>
> Det ville jeg gøre. Tjek MD5-sum af alle filer på maskinen (rpm -Va).
>
> Find din sikkerhedskopi af rpm-databasen (/var/lib/rpm/*) frem (den skal
> naturligvis være ældre end ssh-problemet) og tjek md5-summen af alle filer
> imod disse filer.


Ja, MD5 summen passede ikke. Nogen forklaringer ?
I forbindelse med reinstallationen af SSH-serveren har jeg nu fået andre
mærkelige problemer. /bin/ls var sat til kun at være executable for
root og tilsvarende for ps. Før jeg kaster mig ud i en reinstalltion af
Linux ville jeg gerne have en ide om årsagerne til mine problemer. Kan
jeg have haft en spade på besøg, der synes det er sjovt at smadre andres
folks PC'ere ?


>
> Rasmus
>
>

---

Torben Frøberg wrote:

> Ja, MD5 summen passede ikke. Nogen forklaringer ?
> I forbindelse med reinstallationen af SSH-serveren har jeg nu fået andre
> mærkelige problemer. /bin/ls var sat til kun at være executable for
> root og tilsvarende for ps. Før jeg kaster mig ud i en reinstalltion af
> Linux ville jeg gerne have en ide om årsagerne til mine problemer. Kan
> jeg have haft en spade på besøg, der synes det er sjovt at smadre andres
> folks PC'ere ?

Du har haft besøg af en såkaldt script-kiddie. Fjolser der lige præcist
har hjerne nok til at downloade en crack fra nettet, men som ikke ved
hvordan han skjuler sine spor.

Reinstallation !

-Claus

---

>>
>
> Du har haft besøg af en såkaldt script-kiddie. Fjolser der lige præcist
> har hjerne nok til at downloade en crack fra nettet, men som ikke ved
> hvordan han skjuler sine spor.
>
Det er jeg godt nok ked af at høre. Men før jeg laver en reinstallation vil

jeg godt lige vide to ting.

1. Hvordan er han kommet ind ?
Der er her tale om en PC, der er koblet op til internettet via en
pro@access adsl løsning. Denne giver (såvidt jeg har forstået) kun
adgang til en web-server (port 80), ftp-server (port 21), DNS-server
(port 51) og mail-server (port 25) i sin standard konfiguration. Jeg har
kun en webserver og og ftp server kørende (samt en SSH server lokalt).
Jeg har ingen DNS og mail server kørende. web-serveren giver adgang til
nogle cgi-scripts, men jeg mener, de er lavet sådan, at det er fuldt ud
kontrolleret, hvad man kan gøre her. FTP-serveren er en wu-ftp server.
Kan ftp-serveren være årsagen ?

HTTP loggen angiver i øvrigt at følgende forsøgte at komme ind:

"66.108.207.238 - - [10/Apr/2002:18:46:12 +0200] "GET /default.ida?NNNNN
%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801
%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
HTTP/1.0" 400 320"

Kan ovenstående være vejen ind ?

2. Hvad opnår en sådan person ? Udover det ret bizarre, at man nu har
ødelagt en PC hos en person man ikke kender. Kan han bruge cracket til
et eller andet ?

---

Den Fri, 12 Apr 2002 21:27:06 +0200 skrev Torben Frøberg:
>>>
>>
>> Du har haft besøg af en såkaldt script-kiddie. Fjolser der lige præcist
>> har hjerne nok til at downloade en crack fra nettet, men som ikke ved
>> hvordan han skjuler sine spor.
>>
>Det er jeg godt nok ked af at høre. Men før jeg laver en reinstallation vil
>
>jeg godt lige vide to ting.
>
>1. Hvordan er han kommet ind ?
>Der er her tale om en PC, der er koblet op til internettet via en
>pro@access adsl løsning. Denne giver (såvidt jeg har forstået) kun
>adgang til en web-server (port 80), ftp-server (port 21), DNS-server
>(port 51) og mail-server (port 25) i sin standard konfiguration.

En pro@access har i standard-konfiguration ingen begrænsninger. Der
følger en router med, hvis eneste formål er at fordele port 21, 25, 53,
80 ud på forskellige ip-numre, plus masquerading udad, men hvis man kun
har en server, så er routeren til mere besvær end gavn.

Mvh
Kent
--
Advarsel: ny e-mail adresse - med risiko for at mails går tabt.
Den gamle adresse virker stadig, men bliver primært checket i
arbejdstiden.

---

Kent Friis wrote:

>
> En pro@access har i standard-konfiguration ingen begrænsninger. Der
> følger en router med, hvis eneste formål er at fordele port 21, 25, 53,
> 80 ud på forskellige ip-numre, plus masquerading udad, men hvis man kun
> har en server, så er routeren til mere besvær end gavn.
>
Men det betyder vel også, at en udefra kun har mulighed for at komme ind

via de server applikationer, som ligger og lytter på ovenstående 4 porte ?

---

Den Fri, 12 Apr 2002 23:22:29 +0200 skrev Torben Frøberg:
>
>
>Kent Friis wrote:
>
>>
>> En pro@access har i standard-konfiguration ingen begrænsninger. Der
>> følger en router med, hvis eneste formål er at fordele port 21, 25, 53,
>> 80 ud på forskellige ip-numre, plus masquerading udad, men hvis man kun
>> har en server, så er routeren til mere besvær end gavn.
>>
>Men det betyder vel også, at en udefra kun har mulighed for at komme ind
>
>via de server applikationer, som ligger og lytter på ovenstående 4 porte ?

Ja, men hvem gider have fire servere stående i soveværelset - og
samtidig have bøvlet med routeren hver gang man skal bruge en protokol
der er mere avanceret end HTTP (fx. ftp, ICQ,...)

Mvh
Kent
--
Advarsel: ny e-mail adresse - med risiko for at mails går tabt.
Den gamle adresse virker stadig, men bliver primært checket i
arbejdstiden.

---

leeloo@phreaker.net (Kent Friis) wrote:

>Ja, men hvem gider have fire servere stående i soveværelset

Vi er ikke i gang med at snakke gode og dårlige ADSL-løsninger
(man behøver forresten ikke 4 servere for at have 4 ip-adresser,
men det ved du lige så godt som mig).

Torben Frøberg brugte bare sin viden om routerens konfiguration
til at analysere sig frem til, hvilke porte, angriberen kan
have sneget sig ind gennem. Er du uenig i den analyse?


--
Allan Olesen, Lunderskov

"UNIX er overflødigt." - Lars P. Fischer

---

Den Sat, 13 Apr 2002 01:00:45 +0200 skrev Allan Olesen:
>leeloo@phreaker.net (Kent Friis) wrote:
>
>>Ja, men hvem gider have fire servere stående i soveværelset
>
>Vi er ikke i gang med at snakke gode og dårlige ADSL-løsninger

Routeren er ikke nødvendigt, jeg har sat mit netkabel direkte i ADSL-
modemet. Så det er ikke ADSL-løsningen i sig selv. (og nej, det er
ikke PPPoE eller andre obscure ting).

>(man behøver forresten ikke 4 servere for at have 4 ip-adresser,
>men det ved du lige så godt som mig).

Ja, men så er det bare ekstra besvær at have en router til at stå og
fordele trafikken til fire ip-numre - specielt når det samtidig giver
andre problemer.

>Torben Frøberg brugte bare sin viden om routerens konfiguration
>til at analysere sig frem til, hvilke porte, angriberen kan
>have sneget sig ind gennem. Er du uenig i den analyse?

Nej.

(Hmm, jeg læser vist news for tit. Det hjælper ikke så meget at have
indlæggene stående i en tråd, når der kun er 1-2 indlæg i hver tråd.
I hvert fald var sammenhængen smuttet et eller andet sted)

Mvh
Kent
--
Advarsel: ny e-mail adresse - med risiko for at mails går tabt.
Den gamle adresse virker stadig, men bliver primært checket i
arbejdstiden.

---

leeloo@phreaker.net (Kent Friis) wrote:

>(Hmm, jeg læser vist news for tit. Det hjælper ikke så meget at have
>indlæggene stående i en tråd, når der kun er 1-2 indlæg i hver tråd.
>I hvert fald var sammenhængen smuttet et eller andet sted)




--
Allan Olesen, Lunderskov

"UNIX er overflødigt." - Lars P. Fischer

---

>
> Ja, men så er det bare ekstra besvær at have en router til at stå og
> fordele trafikken til fire ip-numre - specielt når det samtidig giver
> andre problemer.


Jeg er enig i, at den ikke er smart konfigureret i forhold til de behov
jeg har nu.
Men hvis man ikke før har beskæftiget sig med netværk og sikkerhed, kan
man vel også sige, at routerens konfiguration virker som en simpel
firewall.

Det vil sige, hvis jeg undlader at oprette de IP-adresser som portene
80, 21 , 25 og 53 bliver delt ud på, så er jeg vel også sikker på, at
ingen udefra kan komme ind ?

Mvh. Torben

---

Den Sat, 13 Apr 2002 11:03:57 +0200 skrev Torben Frøberg:
>>
>> Ja, men så er det bare ekstra besvær at have en router til at stå og
>> fordele trafikken til fire ip-numre - specielt når det samtidig giver
>> andre problemer.
>
>Jeg er enig i, at den ikke er smart konfigureret i forhold til de behov
>jeg har nu.
>Men hvis man ikke før har beskæftiget sig med netværk og sikkerhed, kan
>man vel også sige, at routerens konfiguration virker som en simpel
>firewall.
>
>Det vil sige, hvis jeg undlader at oprette de IP-adresser som portene
>80, 21 , 25 og 53 bliver delt ud på, så er jeg vel også sikker på, at
>ingen udefra kan komme ind ?

Ikke mere sikker end du vil være med en fornuftig konfigureret maskine
(altså, ingen services der lytter på internettet).

Man behøver stadig bare lokke dig til at køre et program du ikke ved
hvad er, for at have fuld adgang. Hvis du bruger Windows/Outlook,
behøver du ikke engang clicke, for at starte programmet - det kan
Outlook godt klare for dig.

Mvh
Kent
--
Advarsel: ny e-mail adresse - med risiko for at mails går tabt.
Den gamle adresse virker stadig, men bliver primært checket i
arbejdstiden.

---

leeloo@phreaker.net (Kent Friis) wrote:

>Hvis du bruger Windows/Outlook,
>behøver du ikke engang clicke, for at starte programmet - det kan
>Outlook godt klare for dig.

Det manglede da også bare, at man skulle bøvle med at starte
trojanere manuelt med en så dyr mailklient...


--
Allan Olesen, Lunderskov

"UNIX er overflødigt." - Lars P. Fischer

---

Allan Olesen wrote:

> Det manglede da også bare, at man skulle bøvle med at starte
> trojanere manuelt med en så dyr mailklient...

Set et sted på nettet:

YOUR HAVE NOW RECEIVED THE UNIX VIRUS

This virus works on the honor system:

If you're running a variant of unix or linux, please forward
this message to everyone you know and delete a bunch of your
files at random.

Ok. Off-topic

-Claus

---

Torben Frøberg wrote:

> adgang til en web-server (port 80), ftp-server (port 21), DNS-server
> (port 51) og mail-server (port 25) i sin standard konfiguration. Jeg har

DNS er forøvrigt port 53.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
"Nothing would please me more than being able to hire ten programmers
and deluge the hobby market with good software."
-- Bill Gates 1976
We are still waiting ....
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

Torben Frøberg wrote:

> 1. Hvordan er han kommet ind ?

Formentlig via din ftp forbindelse. Hvis du kigger i loggen, og hvis
fyren er så dum, som vi tror, så skulle der være en chance for, at
du kan finde noget i stil med

!"#¤#"&"#¤%#&/"¤&%#&%/"¤%&#&%/"¤#%#&%/"¤#&%/bin/sh
^^^^^^^

[...]

> "66.108.207.238 - - [10/Apr/2002:18:46:12 +0200] "GET /default.ida?NNNNN
> %u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801

Det er Microsoft hacks. Virker ikke på linux.


> 2. Hvad opnår en sådan person ?

Hvad opnår de tabertyper, der sviner vores byer til med grafitti ?


I øvrigt: Når du reinstallerer, så sørg for at installere den nyeste
RedHat. Og sørg for jævnligt at opdatere din maskine gennem RedHat
network.

-Claus

---

>
> Formentlig via din ftp forbindelse. Hvis du kigger i loggen, og hvis
> fyren er så dum, som vi tror, så skulle der være en chance for, at
> du kan finde noget i stil med
>
> !"#¤#"&"#¤%#&/"¤&%#&%/"¤%&#&%/"¤#%#&%/"¤#&%/bin/sh
> ^^^^^^^
Kunne du specificere hvilken log, jeg skal kigge i ?

Jeg har hidtil troet, at ftp-loggen er xferlog, Men den
er tom.

---

Torben Frøberg wrote:

> Jeg har hidtil troet, at ftp-loggen er xferlog, Men den
> er tom.

Så var han desværre ikke så dum, som vi regnede med. Måske kan
du være heldig, at der bliver logget til /var/log/messages også
(husk at de gamle versioner ligger som messages.1 messages.2 osv).

-Claus

---

Claus Rasmussen <clr@cc-consult.dk> wrote:
> Torben Frøberg wrote:
>
>> Jeg har hidtil troet, at ftp-loggen er xferlog, Men den
>> er tom.
>
> Så var han desværre ikke så dum, som vi regnede med.

Det kan blive en dyr fejltagelse at undervurdere angribere.

I saa vidt muligt omfang boer man ikke tage stilling til modtanderens
tekniske egenskaber eller mentale kapacitet mens man rydder op. Find ud
af indgangspunktet og hvilken skade der er sket. Naar alt er rettet op,
reloaded maskiner er tilbage paa nettet, osv, kan man sidde og grine af
de fejltagelser han begik. Ikke et sekund foer.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst wrote:

> Claus Rasmussen <clr@cc-consult.dk> wrote:
>
>>Torben Frøberg wrote:
>>
>>
>>>Jeg har hidtil troet, at ftp-loggen er xferlog, Men den
>>>er tom.
>>>
>>Så var han desværre ikke så dum, som vi regnede med.
>>
>
> Det kan blive en dyr fejltagelse at undervurdere angribere.
>
> I saa vidt muligt omfang boer man ikke tage stilling til modtanderens
> tekniske egenskaber eller mentale kapacitet mens man rydder op. Find ud
> af indgangspunktet og hvilken skade der er sket. Naar alt er rettet op,
> reloaded maskiner er tilbage paa nettet, osv, kan man sidde og grine af
> de fejltagelser han begik. Ikke et sekund foer.
>
Enig. Og det er også derfor jeg gerne vil have bekræftet, at han er kommet ind via ftp-serveren.

Personligt tror jeg, at det kan være svært at vide hvilken skade han har
gjort. Han har smadret min PC, men om han har brugt den til at gøre
livet sur for andre, kan være svært at vurdere.

Mvh. Torben

---

Torben Frøberg wrote:

>> Det ville jeg gøre. Tjek MD5-sum af alle filer på maskinen (rpm -Va).

> Ja, MD5 summen passede ikke. Nogen forklaringer ?

Du har ændret/geinstalleret ssh. Eller nogen andre har ændret eller
installeret ssh.

> I forbindelse med reinstallationen af SSH-serveren har jeg nu fået andre
> mærkelige problemer. /bin/ls var sat til kun at være executable for
> root og tilsvarende for ps. Før jeg kaster mig ud i en reinstalltion af
> Linux ville jeg gerne have en ide om årsagerne til mine problemer. Kan
> jeg have haft en spade på besøg, der synes det er sjovt at smadre andres
> folks PC'ere ?

Det kunne godt lyde sådan. Snup maskinens netforbindelse (så den ikke laver
mere skade) og tjek den grundigt igennem - er der flere fejl er du nok på
r*ven

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
I'm a unix system administrator
- sending me HTML formatted emails and/or attached Word documents is a
nice way to ensure I won't bother to answer you.
-- Jan Chrillesen
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

Rasmus Bøg Hansen <moffespam@amagerkollegiet.dk> wrote:
> Torben Frøberg wrote:
>
>>> Det ville jeg gøre. Tjek MD5-sum af alle filer på maskinen (rpm -Va).
>
>> Ja, MD5 summen passede ikke. Nogen forklaringer ?
>
> Du har ændret/geinstalleret ssh. Eller nogen andre har ændret eller
> installeret ssh.

Torben, hvis du ikke selv har aendret ssh skal det forventes at ssh
klienten er blevet aendret til at gemme brugernavne, kodeord og
adresserne paa fjernmaskiner. Der er derfor en mulighed for at din
besoegende kan logge ind som dig paa samtlige maskiner du har en konto
paa.

Jeg har endnu ikke set modificerede ssh klienter der gemmer passphrase
og keyfile.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

>
> Torben, hvis du ikke selv har aendret ssh skal det forventes at ssh
> klienten er blevet aendret til at gemme brugernavne, kodeord og
> adresserne paa fjernmaskiner. Der er derfor en mulighed for at din
> besoegende kan logge ind som dig paa samtlige maskiner du har en konto
> paa.
>
Tak for advarslen. Det er heldigt, at jeg ikke har så mange konti. Ellers kan det blive

lidt af et oprydningsarbejde.

---

On Fri, 12 Apr 2002 21:27:06 +0200, Torben Frøberg wrote:

> HTTP loggen angiver i øvrigt at følgende forsøgte at komme ind:

> "66.108.207.238 - - [10/Apr/2002:18:46:12 +0200] "GET
> /default.ida?NNNNN %u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801
> %u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
> HTTP/1.0" 400 320"

> Kan ovenstående være vejen ind ?

Kun hvis du kører Microsoft IIS.

Der plejer at være huller i ftp-servere, så det er en mulighed.

> 2. Hvad opnår en sådan person ? Udover det ret bizarre, at man nu
> har ødelagt en PC hos en person man ikke kender. Kan han bruge
> cracket til et eller andet ?

Til at udnytte din maskine og din netforbindelse - og hvad du
evt. måtte have på maskinen af interessante ting.

Nå ja, og specifikt for script-kiddies: Til at prale med hvor sej han
er...


Mvh.

--
"Ett, två, tre, pang på rödbetan." Adam Sjøgren
asjo@koldfront.dk

---

Adam Sjøgren wrote:

> Nå ja, og specifikt for script-kiddies: Til at prale med hvor sej han
> er...

Lige præcist.

-Claus

---

On Sat, 13 Apr 2002 11:43:16 +0200, Claus Rasmussen wrote:

>> 2. Hvad opnår en sådan person ?

> Hvad opnår de tabertyper, der sviner vores byer til med grafitti ?

Streed-cred.


,

--
"Ett, två, tre, pang på rödbetan." Adam Sjøgren
asjo@koldfront.dk