Root-Passwort bei ESXi 6.7 ändert sich selbstständig!

[AK18]

Haltet mich bitte nicht für blöd. Aber das ist mega seltsam.

Auf einem neuen ESXi 6.7-Host, der bei einem Provider steht. Es sind vier Benutzer eingerichtet. root und drei weitere. Alle haben Admin-Rechte. Ein Benutzer ist für Veeam-Backup, einer für mich und einer für einen Mitarbeiter.

Gestern habe ich bemerkt, dass sich das Passwort von "root" geändert hat - von alleine! Kein Login mehr möglich. Ich habs nicht geändert, der Mitarbeiter nicht und Veeam vermutlich auch nicht. Nur ich kenne schließlich das Passwort von "root".

In ESXi bin ich nur über meinen Benutzer reingekommen. Dann habe ich von "root" das Passwort in ein NEUES geändert. Mit dem neuen Passwort konnte ich mich dann über das Web-Interface und SSH einloggen. Nach einiger Zeit, ca. 10-15 Minuten, geht das neue Passwort wieder nicht! Login mit "root" geht nicht mehr! Ich musste erst wieder mit meinen anderen Benutzer mich einloggen und das Passwort von "root" wieder ändern.

ESXi-Host hatte ich nach eine Passwortänderung neu gestartet. Hat nicht geändert.
Passwort von Mitarbeiter und "Veeam"-User habe ich geändert, muss sicher zu gehen, dass diese wirklich nicht machen können.
"root"-Passwort ändert sich weiter!!!

Was zum Teufel ist das!?

Kennt jemand das Problem?

[AK18]

Habe gegooglet und bin dabei auf die Idee gekommen, dass evtl. ein Hacker ein Script läufen lasst, dass alle paar Minuten das Passwort von "root" wieder auf "sein Passwort" ändern lässt. Kann das ein? Wie kann ich das checken?

[~thc]

Ist das "Management Network" dieses ESXi offen im Internet erreichbar?

[continuum]

Hi
eine vergleichsweise harmlose Erklärung des beschreibenen Verhaltens könnte folgendes sein:
die Datei state.tgz kann nicht auf das startvolume geschrieben werden

[AK18]

Ist das "Management Network" dieses ESXi offen im Internet erreichbar?

Wenn Du damit meinst, dass man von außen auf das ESXi-Web-Interface zugreifen kann: JA
Irgendwie muss ich ja den ESX-Host im Rechenzentrum steuern können.

[AK18]

eine vergleichsweise harmlose Erklärung des beschreibenen Verhaltens könnte folgendes sein:
die Datei state.tgz kann nicht auf das startvolume geschrieben werden

Warum weiß der ESX-Host dann trotz Neustart nach dem Neustart das geänderte Root-Passwort noch, aber nach einiges Zeit dann nicht mehr? Spricht das nicht gegen Deine Vermutung? Irgendwo muss er es ja gespeichert haben...

Das ursprüngliche Passwort, dass der Provider vergeben hat und war wochenlang ging, geht auch nicht mehr. "root" hat also irgendein Passwort, dass ich nicht kenne. Aber vielleicht ist es das, was Du schreibst. Wie kann ich das prüfen?

[irix]

Aehhhhhh......... ich wuerde eher vermuten das der Account gesperrt ist. Der ESXi hat seit 6.0? eine Password protection so das sich nach X falschen Anmeldungen der Account X Minuten sperrt.

In meinen geschlossen Umgebungen ist es immer irgendein Monitoringtool was der Ausloeser dafuer ist.

Sollte aber im Auditlog bzw. Events sichtbar sein.

Gruss
Joerg

[AK18]

ich wuerde eher vermuten das der Account gesperrt ist. Der ESXi hat seit 6.0? eine Password protection so das sich nach X falschen Anmeldungen der Account X Minuten sperrt.

Hmm. D.h. es könnte jemand von außern einen Passwort-Scanner laufen lassen und deshalb ist der Account blockiert. Durch ändern des Passworts zu einem Neuen wird die blockade kurzzeitig gelöscht. Das ist denkbar!

Sollte aber im Auditlog bzw. Events sichtbar sein.

Wie rufe ich das ab?


Die exakte Fehlermeldung beim Weblogin ist:
"Die Anmeldung kann aufgrund eines falschen Benutzernamens oder Kennworts nicht abgeschlossen werden."

[Dayworker]

Wenn du in der ESXi-Oberfläche bist, kannst du dir auch alle Logs ansehen. ALternativ hilft dir eine SSH-Verbindung auf den ESXi und das Verzeichnis "/var/log/" weiter.

In jedem Fall würde ich um den Provider einen grossen Bogen machen. Wer einfach mal so das ESXi-Interface dem WWW verfügbar macht, hat irgendwie nix weder zum Thema ESXi noch zum Datenschutz verstanden und auch DSGVO-rechtlich kann das böse Folgen für beide Parteien haben.
Lösen tut man das Problem auf zwei Arten. Entweder per Auto-Start-VM mit einem laufenden VPN-Server oder man richtet einen gesicherten Zugang auf den KVM-Zugang (iDRAC, iLO etc) der Servers ein.

[irix]

Wie rufe ich das ab?

Code: Alles auswählen

cd /var/log
grep -in  lock *

oder

Code: Alles auswählen

grep -in  password *

dann sollte sich das passende Log finden lassen. Aber man muesste auch mit pam*? den Status des root Accounts abfragen lassen. Auf jeden Fall kann man es nicht in der GUI merken das der Account gesperrt ist. Da sagt er immer nur Falscher Name/Passwort.

Edit:.
Guck mal in https://www.ivobeerens.nl/2018/01/02/es ... nt-locked/ rein!

Gruss
Joerg

[AK18]

Zwischenfrage: Kann man die Logs über das Web-Interface abrufen?

Hmm. Die Befehle von euch listen bei SSH viel Zeug. Ich hab jetzt erstmal die Logs gelöscht um zu sehen, was neu dazu kommt und diesen Befehl gemacht:

Code: Alles auswählen

[xxx@localhost:/var/log] pam_tally2 --user root
Login           Failures Latest failure     From
root              711    05/02/20 20:39:01  222.186.173.142

[xxx@localhost:/var/log] pam_tally2 --user root
Login           Failures Latest failure     From
root              731    05/02/20 20:47:52  222.186.175.163

[xxx@localhost:/var/log] pam_tally2 --user root
Login           Failures Latest failure     From
root              741    05/02/20 20:50:30  222.186.173.238


20:49 Uhr war vor 7 Minuten, d.h. von der IP 222.186.173.142 aus China wollte sich jemand einloggen?

Scheint ein ganzes Bot-Netz zu sein! Kann man 222.186.x.x blockieren?

[irix]

20 Versuche in 8min.

Tja Willkommen im Neuland!
Das ist der Grund warum man kein Management an das Internet haengt.

Gruss
Joerg

[AK18]

20 Versuche in 8min.

Tja Willkommen im Neuland!
Das ist der Grund warum man kein Management an das Internet haengt.

Aber der Provider bietet keine andere Lösung an.

[irix]

Tja....

du kannst der ESXi Firewall Portranges konfigurieren.

Gruss
Joerg

[AK18]

Naja, jetzt werde ich erstmal ein neues, fettes, langes Passwort für "root" vergeben und wenn jemand Tipps hat, die einfach umzusetzen sind und wie, bin ich ganz Ohr.

[irix]

Dein laaaannnnnnnnnnnnnnnnges Passwort aendert nichts daran das der Account gesperrt wird.

Der ESXi darf nicht am Internet haengen.

Gruss
Joerg

[AK18]

Irix/Jörg, ich kann aber nicht 1000km fahren um am ESXi etwas zu ändern. Wenn es eine einfach Lösung gibt, dass Ding abzusichern, ok, mach ich gern wenn es mir jemand erklärt.

[Dayworker]

Die beiden Möglichkeiten habe ich dir genannt und jeder halbwegs brauchbare ESXi-Provider bietet einen Remote-Zugang an. Dieser ist jedoch seltenst kostenlos zu bekommen.
Falls du keinen Remote-Zugang buchen kannst, was im Ernstfall wegen PSOD oder auch bei ESXi-Upgrades extrem ungünstig ist, richte dir eine VPN-VM ein und hinterlege diese in Auto-Start/Stopp des ESXi an Position 1. Danach kannst du den direkten Internet-Zugriff auf den ESXi dichtmachen.

[Stefan.r]

wie heißt denn dein Provider? weil eigentlich alle die esx noch anbieten machen den host meist nur per vpn erreichbar.