Debian - Acesso ao root perdido (o mesmo em outra máquina)

Olá, bom dia a todos!
Recentemente tive um problema em minha rede, ao tentar acessar um servidor oracle linux, eu apenas conseguia acessar com um usuário limitado, sendo que antes o usuário root estava com acesso, achei que trocaram a senha e não foi trocada, hoje a mesma situação ocorreu com o meu usuário root no debian, fui acessar a máquina fisicamente agora e o usuário root está dando credencial inválida, fui para o usuário secundário e limitado, e está acessando, porém, não sei por quanto tempo, visto que na oracle linux aconteceu de poder acessar a conta secundária e logo depois de um tempo ela também parou.

Este usuário limitado tem acesso sudo? ou nem isso? Caso ele tenha permissão de executar comando com sudo, voce pode fazer o seguinte, criar um novo usuário ou este mesmo torna-lo root.

Criando outro usuário com o poder de root:

Proceda assim:

  • Faça os procedimentos de criar um usuário normal;
  • Edite o /etc/passwd com um editor de texto comum;
  • Vá na linha do usuário e edite para:
    (usuário):(senha criptografada):0:0:(Home):(Shell) e pronto
    ^ ^
    Então o usuário terá todo o poder do root por padrão.

Olá @eu_cefa, tudo bem contigo?

Partindo do pressuposto que as senhas não estavam sendo digitadas erradas, devido a uma mudança no layout de teclado, por exemplo, usuários com poder de administrador não tem suas credenciais alteradas sem motivo justo. Se estas máquinas fizerem parte de uma rede empresarial e estiverem expostas à internet, faça um pente fino para ter certeza de que elas não foram comprometidas.

Se houver uma equipe de suporte, alerte eles do ocorrido e fiquem atentos na utilização de recursos da rede e do sistema. Antes de escalar um usuário restrito para ter poderes de super administrador, tenha 100% de certeza de que as máquinas não estão comprometidas.

:vulcan_salute:

2 curtidas

Não, esse usuário limitado não tem acesso nem ao sudo, pensei nessa possibilidade na hora que vi que não estava funcionando.

Eu estive olhando todo o parque fazendo esse pente-fino, estou, revisei meu firewall em busca de alguma regra que pudesse abrir as portas para à internet, mas não tem nenhuma, todo o acesso a essa e a outras máquinas são feitas via VPN.

Mesmo com o cenário, eu ainda estou olhando assim mesmo, para ter 100% de certeza de que não há um comprometimento em outro ponto.

Existem mais alguma análise que eu possa fazer que indica? Estou olhando todos os acessos na rede, sem filtrar por máquina, estou olhando cada ponto que possa indicar algum comprometimento.

Este tipo de diagnóstico é bem complexo, eu não sou especialista na área. Minha sugestão é fazer uma lista de todos os serviços, usuários, pacotes que são considerados homologados para este sistema e validar item a item se houve alguma mudança próximo ao primeiro evento de problemas com credenciais.

Existem muitos vetores de ataque possíveis e apenas estudando detalhadamente o parque é possível identificar se realmente houve uma brecha que foi explorada.

P.s.: lembre de considerar que toda máquina que acessa remotamente a rede é um potencial vetor de ataque. É bem comum que grandes ataques comecem ao infectar um cliente remoto que está vulnerável.

:vulcan_salute:

Olá, bom dia a todos!
Retornando com as informações, após reiniciar a máquina, verifiquei que ela estava em modo de emergência, até então, acessei o sistema assim mesmo e também pude verificar que não haviam acessos indevidos ao root, mas percebi muitos inodes, no caso o uso chegou a 100%, tive que remover muitos arquivos que não eram mais necessários, feito isso, consegui acessar novamente ao servidor.

Agradeço a ajuda de todos, obrigado mesmo pela ajuda.

1 curtida