[SOLVED]Uzyskiwanie dostępu do roota bez podawania hasła

[JohnSmith]

Witam

Otóż mój problem polega na tym że od jakiegoś czasu gdy wpisuje sudo su lub sudo apt-get install pakiet nie pyta mnie o hasło, próbowałem uruchamiać ponownie sprzęt i przeglądać logi ale nic nie znalazłem.

System: Xubuntu 13.10 amd64
Kernel:3.12.0-031200rc7-generic

[bear7]

Pokaż, co zwracają polecenia:

Kod: Zaznacz cały

sudo cat /etc/sudoers

Kod: Zaznacz cały

groups $user

[JohnSmith]

Wynik pierwszy

Kod: Zaznacz cały

#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults	env_reset
Defaults	mail_badpass
Defaults	secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root	ALL=(ALL:ALL) ALL

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

# Allow members of group sudo to execute any command
%sudo	ALL=(ALL:ALL) ALL

# See sudoers(5) for more information on "#include" directives:

#includedir /etc/sudoers.d
ALL ALL=(ALL) NOPASSWD:ALL

Wynik Drugi

Kod: Zaznacz cały

discord adm cdrom sudo dip plugdev lpadmin sambashare

[bear7]

Twój problem, to ostatnia linia w pliku /etc/sudoers:

Kod: Zaznacz cały

ALL ALL=(ALL) NOPASSWD:ALL

Aby edytować ten plik, klepnij:

Kod: Zaznacz cały

sudo visudo

i wstaw na początku tej linii znak # lub ją usuń.
Aby zapisać zmiany, naciśnij CTRL+o i zmień nazwę pliku z /etc/sudoers.tmp na /etc/sudoers. Potwierdź ENTEREM i nadpisz istniejący plik.

Taka mała uwaga. Jak sam nie wprowadzałeś zmian do pliku sodoers, to ktoś Ci zrobił psikusa w jakimś skrypcie. Radzę uważać, co i skąd pobierasz oraz co odpalasz... Na przykład:

System: Xubuntu 13.10 amd64
Kernel:3.12.0-031200rc7-generic

Ten kernel nie jest domyślnym w Xubuntu 13.10. Może spróbuj sobie odpowiedzieć na pytanie, co ostatnio instalowałem, co mogło pochodzić z niesprawdzonych źródeł?

[JohnSmith]

Dziękuje, rozwiązałeś mój problem

Kernel zainstalowałem z programu NeteXt'73 w celu poprawienia jakości połączeń wifi.

[bear7]

Kernel zainstalowałem z programu NeteXt'73 w celu poprawienia jakości połączeń wifi.

Koledzy od NeteXt'73 raczej wiedzą, co robią. Zatem przyczyny, szukałbym gdzie indziej.

Dziękuje, rozwiązałeś mój problem

Nie ma za co.

[jacekalex]

Kod: Zaznacz cały

ALL ALL=(ALL) NOPASSWD:ALL

Ten wpis wygląda na doklejony przez jakiś instalator poleceniem

Kod: Zaznacz cały

echo "ALL ALL=(ALL) NOPASSWD:ALL" >>/etc/sudoers

Jednym słowem, jakiś skrypciarz podrzucił lewą paczuszkę.
Haker raczej dorzucił by jakąś niewinnie wyglądającą binarkę, która przy instalacji dostałaby chmod 6555 owner root.

Żródło?
Prawdopodobnie jakaś paczka z netu pobrana przez przeglądarkę, względnie protokół apt przypisany do programu w przeglądarkach.
Gdyby jakiś program z repo lub ppa robił takie numery, to afera byłaby na cały ekosystem Linuxowy.
Albo użytkownik i copy&paste korporation.

Fajnie byłoby sprawdzić, kiedy ten wpis się pojawił (data modyfikacji pliku sudoers) i apt.log/dpkg.log.
Tylko że po edycji przez visudo data modyfikacji visudo jest już nadpisana niestety.

[MonaLu]

Ja to mogę sprawdzić, bo mam podobny problem po +-... aktualizacji systemu! Albo i nie? W katalogu etc mam katalog sudoers.d z 26.04.2013 a w nim plik readme z lipca 2012. Sam plik sudoers zawiera linię jak u kolegi i jest datowany na 10.05.2013. Hm, czyli dłużej niż myślałam, ale jestem pewna, że to po jakiejś aktualizacji, bo jak to zauważyłam, to myślałam, ze to jakiś feature... A te apt.log/dpkg.log to gdzie znaleźć?

ED: Ok, znalazłam, niestety moja historia sięga zaledwie 3.12, bo regularnie używam Bleachbita, ale z netu to ściągam tylko cherrytree i chyba alexandrię, ale to później... :/

[bear7]

ED: Ok, znalazłam, niestety moja historia sięga zaledwie 3.12, bo regularnie używam Bleachbita, ale z netu to ściągam tylko cherrytree i chyba alexandrię, ale to później... :/

MonaLu, w jaki sposób instalowałaś 3.12? Pytam, bo tak jakby jest to wspólna rzecz w obu przypadkach a to, co jacekalex podał, to tylko jeden z wielu sposobów na podmianę informacji w pliku sudoers. Inny, to chociażby zwykłe:

Kod: Zaznacz cały

sudo cp --preserve=timestamps /plik/źrodłowy /plik/docelowy

I wówczas data nie miałaby nic do znaczenia...

Wydaje mi się, aby nie tworzyć kolejnego tasiemca, że oddzielimy to do osobnego wątku...

[MonaLu]

Nie ma co oddzielać, bo chyba byłam trochę nieprecyzyjna.
1. tak na wszelki wypadek 3.12 to data, aktualizacja, najpewniej z automatu, sądząc po nagłówkach.
2. Lokalizując w czasie owego "ficzera", miałam na myśli aktualizację dystrybucji.
3. Głównie instaluję z COU, czasem ściągam z sourceforge.net, mogłam coś testować i teraz nie pamiętam, ale szanse są nie wielkie, bo nie lubię tego robić (nawet jeśli nie ma wirusów na linuksa, haha), a ponadto z .tar nie umiem, więc muszę mieć .deb a nie zawsze znajduję, jak mnie coś najdzie.
4. Nie rozumiem tego tu:

względnie protokół apt przypisany do programu w przeglądarkach

. To chyba nie znaczy, że jakiś dodatek do FF?
5. Bear7 ten kod to spowoduje, że zawartość pliku ź znajdzie się w pliku d, nie zmieniając jego daty "produkcji"? Hmmm... Jakbym gdzieś to widziała, ale znowu komenda musiałaby zawierać "sudoers"... A takich skomplikowanych instrukcji instalacji, jak choćby frontend do vnstata też nie lubię, bo ja się specjalizuję w automagicznej samonaprawie, więc raczej odpada, choć to byłby chyba jedyny sposób, żeby takie coś mi przemycić.

Wrrr, pomysleć, że kiedyś trzymałam CAŁĄ historię pobierania, nie czyściłam żadnych logów, byłoby teraz jak znalazł!

[jacekalex]

......

.4. Nie rozumiem tego tu:

względnie protokół apt przypisany do programu w przegląarkach

. To chyba nie znaczy, że jakiś dodatek do FF?


Wrrr, pomysleć, że kiedyś trzymałam CAŁĄ historię pobierania, nie czyściłam żadnych logów, byłoby teraz jak znalazł!

Chodziło o to że przeglądarki przy pobieraniu paczki deb automatycznie otwierały instalator Gdebi, który instalował daną paczkę.

Kiedyś mi to zadziałało domyślnie w Ubuntu, jak testowałem którąś wersję, chyba 11.04 lub 12,04 zawierało wczesną wersja Unity (jeszcze jako wtyczka Compiza),
i jajo bez modułów snd-pcm-oss i snd-mixer-oss, przez co nie dało się Tvtime odpalić.
Byłem mocno zdziwiony, gdy pobierając chyba Skype w paczce deb (repowy się jakoś sypał, częsty przypadek) otworzył się automatycznie instalator i pytanie o hasło.

Pozdro