Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!

Root-Passwort bei ESXi 6.7 ändert sich selbstständig!

Alles zum Thema vSphere 6.7, ESXi 6.7 und vCenter Server.

Moderatoren: irix, continuum, Dayworker

Member
Beiträge: 24
Registriert: 01.05.2020, 15:15

Root-Passwort bei ESXi 6.7 ändert sich selbstständig!

Beitragvon AK18 » 02.05.2020, 18:35

Haltet mich bitte nicht für blöd. Aber das ist mega seltsam.

Auf einem neuen ESXi 6.7-Host, der bei einem Provider steht. Es sind vier Benutzer eingerichtet. root und drei weitere. Alle haben Admin-Rechte. Ein Benutzer ist für Veeam-Backup, einer für mich und einer für einen Mitarbeiter.

Gestern habe ich bemerkt, dass sich das Passwort von "root" geändert hat - von alleine! Kein Login mehr möglich. Ich habs nicht geändert, der Mitarbeiter nicht und Veeam vermutlich auch nicht. Nur ich kenne schließlich das Passwort von "root".

In ESXi bin ich nur über meinen Benutzer reingekommen. Dann habe ich von "root" das Passwort in ein NEUES geändert. Mit dem neuen Passwort konnte ich mich dann über das Web-Interface und SSH einloggen. Nach einiger Zeit, ca. 10-15 Minuten, geht das neue Passwort wieder nicht! Login mit "root" geht nicht mehr! Ich musste erst wieder mit meinen anderen Benutzer mich einloggen und das Passwort von "root" wieder ändern.

ESXi-Host hatte ich nach eine Passwortänderung neu gestartet. Hat nicht geändert.
Passwort von Mitarbeiter und "Veeam"-User habe ich geändert, muss sicher zu gehen, dass diese wirklich nicht machen können.
"root"-Passwort ändert sich weiter!!!

Was zum Teufel ist das!?

Kennt jemand das Problem?

Member
Beiträge: 24
Registriert: 01.05.2020, 15:15

Re: Root-Passwort bei ESXi 6.7 ändert sich selbstständig!

Beitragvon AK18 » 02.05.2020, 19:01

Habe gegooglet und bin dabei auf die Idee gekommen, dass evtl. ein Hacker ein Script läufen lasst, dass alle paar Minuten das Passwort von "root" wieder auf "sein Passwort" ändern lässt. Kann das ein? Wie kann ich das checken?

Guru
Beiträge: 2305
Registriert: 23.02.2012, 12:26

Re: Root-Passwort bei ESXi 6.7 ändert sich selbstständig!

Beitragvon ~thc » 02.05.2020, 20:07

Ist das "Management Network" dieses ESXi offen im Internet erreichbar?

Benutzeravatar
Moderator
Beiträge: 14744
Registriert: 09.08.2003, 05:41
Wohnort: sauerland
Kontaktdaten:

Re: Root-Passwort bei ESXi 6.7 ändert sich selbstständig!

Beitragvon continuum » 02.05.2020, 20:24

Hi
eine vergleichsweise harmlose Erklärung des beschreibenen Verhaltens könnte folgendes sein:
die Datei state.tgz kann nicht auf das startvolume geschrieben werden

Member
Beiträge: 24
Registriert: 01.05.2020, 15:15

Re: Root-Passwort bei ESXi 6.7 ändert sich selbstständig!

Beitragvon AK18 » 02.05.2020, 20:29

~thc hat geschrieben:Ist das "Management Network" dieses ESXi offen im Internet erreichbar?


Wenn Du damit meinst, dass man von außen auf das ESXi-Web-Interface zugreifen kann: JA
Irgendwie muss ich ja den ESX-Host im Rechenzentrum steuern können.

Member
Beiträge: 24
Registriert: 01.05.2020, 15:15

Re: Root-Passwort bei ESXi 6.7 ändert sich selbstständig!

Beitragvon AK18 » 02.05.2020, 20:32

continuum hat geschrieben:eine vergleichsweise harmlose Erklärung des beschreibenen Verhaltens könnte folgendes sein:
die Datei state.tgz kann nicht auf das startvolume geschrieben werden


Warum weiß der ESX-Host dann trotz Neustart nach dem Neustart das geänderte Root-Passwort noch, aber nach einiges Zeit dann nicht mehr? Spricht das nicht gegen Deine Vermutung? Irgendwo muss er es ja gespeichert haben...

Das ursprüngliche Passwort, dass der Provider vergeben hat und war wochenlang ging, geht auch nicht mehr. "root" hat also irgendein Passwort, dass ich nicht kenne. Aber vielleicht ist es das, was Du schreibst. Wie kann ich das prüfen?

King of the Hill
Beiträge: 12187
Registriert: 02.08.2008, 15:06
Wohnort: Hannover/Wuerzburg
Kontaktdaten:

Re: Root-Passwort bei ESXi 6.7 ändert sich selbstständig!

Beitragvon irix » 02.05.2020, 21:17

Aehhhhhh......... ich wuerde eher vermuten das der Account gesperrt ist. Der ESXi hat seit 6.0? eine Password protection so das sich nach X falschen Anmeldungen der Account X Minuten sperrt.

In meinen geschlossen Umgebungen ist es immer irgendein Monitoringtool was der Ausloeser dafuer ist.

Sollte aber im Auditlog bzw. Events sichtbar sein.

Gruss
Joerg

Member
Beiträge: 24
Registriert: 01.05.2020, 15:15

Re: Root-Passwort bei ESXi 6.7 ändert sich selbstständig!

Beitragvon AK18 » 02.05.2020, 22:14

irix hat geschrieben:ich wuerde eher vermuten das der Account gesperrt ist. Der ESXi hat seit 6.0? eine Password protection so das sich nach X falschen Anmeldungen der Account X Minuten sperrt.


Hmm. D.h. es könnte jemand von außern einen Passwort-Scanner laufen lassen und deshalb ist der Account blockiert. Durch ändern des Passworts zu einem Neuen wird die blockade kurzzeitig gelöscht. Das ist denkbar!

irix hat geschrieben:Sollte aber im Auditlog bzw. Events sichtbar sein.


Wie rufe ich das ab?


Die exakte Fehlermeldung beim Weblogin ist:
"Die Anmeldung kann aufgrund eines falschen Benutzernamens oder Kennworts nicht abgeschlossen werden."

King of the Hill
Beiträge: 12998
Registriert: 01.10.2008, 12:54
Wohnort: laut USV-Log am Ende der Welt...

Re: Root-Passwort bei ESXi 6.7 ändert sich selbstständig!

Beitragvon Dayworker » 02.05.2020, 22:26

Wenn du in der ESXi-Oberfläche bist, kannst du dir auch alle Logs ansehen. ALternativ hilft dir eine SSH-Verbindung auf den ESXi und das Verzeichnis "/var/log/" weiter.

In jedem Fall würde ich um den Provider einen grossen Bogen machen. Wer einfach mal so das ESXi-Interface dem WWW verfügbar macht, hat irgendwie nix weder zum Thema ESXi noch zum Datenschutz verstanden und auch DSGVO-rechtlich kann das böse Folgen für beide Parteien haben.
Lösen tut man das Problem auf zwei Arten. Entweder per Auto-Start-VM mit einem laufenden VPN-Server oder man richtet einen gesicherten Zugang auf den KVM-Zugang (iDRAC, iLO etc) der Servers ein.

King of the Hill
Beiträge: 12187
Registriert: 02.08.2008, 15:06
Wohnort: Hannover/Wuerzburg
Kontaktdaten:

Re: Root-Passwort bei ESXi 6.7 ändert sich selbstständig!

Beitragvon irix » 02.05.2020, 22:31

AK18 hat geschrieben:Wie rufe ich das ab?


Code: Alles auswählen

cd /var/log
grep -in  lock *

oder

Code: Alles auswählen

grep -in  password *


dann sollte sich das passende Log finden lassen. Aber man muesste auch mit pam*? den Status des root Accounts abfragen lassen. Auf jeden Fall kann man es nicht in der GUI merken das der Account gesperrt ist. Da sagt er immer nur Falscher Name/Passwort.

Edit:.
Guck mal in https://www.ivobeerens.nl/2018/01/02/es ... nt-locked/ rein!

Gruss
Joerg

Member
Beiträge: 24
Registriert: 01.05.2020, 15:15

Re: Root-Passwort bei ESXi 6.7 ändert sich selbstständig!

Beitragvon AK18 » 02.05.2020, 22:47

Zwischenfrage: Kann man die Logs über das Web-Interface abrufen?

Hmm. Die Befehle von euch listen bei SSH viel Zeug. Ich hab jetzt erstmal die Logs gelöscht um zu sehen, was neu dazu kommt und diesen Befehl gemacht:

Code: Alles auswählen

[xxx@localhost:/var/log] pam_tally2 --user root
Login           Failures Latest failure     From
root              711    05/02/20 20:39:01  222.186.173.142

[xxx@localhost:/var/log] pam_tally2 --user root
Login           Failures Latest failure     From
root              731    05/02/20 20:47:52  222.186.175.163

[xxx@localhost:/var/log] pam_tally2 --user root
Login           Failures Latest failure     From
root              741    05/02/20 20:50:30  222.186.173.238


20:49 Uhr war vor 7 Minuten, d.h. von der IP 222.186.173.142 aus China wollte sich jemand einloggen?

Scheint ein ganzes Bot-Netz zu sein! Kann man 222.186.x.x blockieren?

King of the Hill
Beiträge: 12187
Registriert: 02.08.2008, 15:06
Wohnort: Hannover/Wuerzburg
Kontaktdaten:

Re: Root-Passwort bei ESXi 6.7 ändert sich selbstständig!

Beitragvon irix » 02.05.2020, 22:53

20 Versuche in 8min.

Tja Willkommen im Neuland!
Das ist der Grund warum man kein Management an das Internet haengt.

Gruss
Joerg

Member
Beiträge: 24
Registriert: 01.05.2020, 15:15

Re: Root-Passwort bei ESXi 6.7 ändert sich selbstständig!

Beitragvon AK18 » 02.05.2020, 22:57

irix hat geschrieben:20 Versuche in 8min.

Tja Willkommen im Neuland!
Das ist der Grund warum man kein Management an das Internet haengt.


Aber der Provider bietet keine andere Lösung an.

King of the Hill
Beiträge: 12187
Registriert: 02.08.2008, 15:06
Wohnort: Hannover/Wuerzburg
Kontaktdaten:

Re: Root-Passwort bei ESXi 6.7 ändert sich selbstständig!

Beitragvon irix » 02.05.2020, 23:21

Tja....

du kannst der ESXi Firewall Portranges konfigurieren.

Gruss
Joerg

Member
Beiträge: 24
Registriert: 01.05.2020, 15:15

Re: Root-Passwort bei ESXi 6.7 ändert sich selbstständig!

Beitragvon AK18 » 02.05.2020, 23:27

Naja, jetzt werde ich erstmal ein neues, fettes, langes Passwort für "root" vergeben und wenn jemand Tipps hat, die einfach umzusetzen sind und wie, bin ich ganz Ohr.

King of the Hill
Beiträge: 12187
Registriert: 02.08.2008, 15:06
Wohnort: Hannover/Wuerzburg
Kontaktdaten:

Re: Root-Passwort bei ESXi 6.7 ändert sich selbstständig!

Beitragvon irix » 02.05.2020, 23:40

Dein laaaannnnnnnnnnnnnnnnges Passwort aendert nichts daran das der Account gesperrt wird.

Der ESXi darf nicht am Internet haengen.

Gruss
Joerg

Member
Beiträge: 24
Registriert: 01.05.2020, 15:15

Re: Root-Passwort bei ESXi 6.7 ändert sich selbstständig!

Beitragvon AK18 » 03.05.2020, 02:03

Irix/Jörg, ich kann aber nicht 1000km fahren um am ESXi etwas zu ändern. Wenn es eine einfach Lösung gibt, dass Ding abzusichern, ok, mach ich gern wenn es mir jemand erklärt.

King of the Hill
Beiträge: 12998
Registriert: 01.10.2008, 12:54
Wohnort: laut USV-Log am Ende der Welt...

Re: Root-Passwort bei ESXi 6.7 ändert sich selbstständig!

Beitragvon Dayworker » 03.05.2020, 03:25

Die beiden Möglichkeiten habe ich dir genannt und jeder halbwegs brauchbare ESXi-Provider bietet einen Remote-Zugang an. Dieser ist jedoch seltenst kostenlos zu bekommen.
Falls du keinen Remote-Zugang buchen kannst, was im Ernstfall wegen PSOD oder auch bei ESXi-Upgrades extrem ungünstig ist, richte dir eine VPN-VM ein und hinterlege diese in Auto-Start/Stopp des ESXi an Position 1. Danach kannst du den direkten Internet-Zugriff auf den ESXi dichtmachen.

Member
Beiträge: 172
Registriert: 01.12.2015, 18:35

Re: Root-Passwort bei ESXi 6.7 ändert sich selbstständig!

Beitragvon Stefan.r » 03.05.2020, 17:23

wie heißt denn dein Provider? weil eigentlich alle die esx noch anbieten machen den host meist nur per vpn erreichbar.


Zurück zu „vSphere 6.7“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste