Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 3 subscribers
  • Views 5507 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Help! Locked out and unable to reset password.

kyle5281
Hey Guys, 

I tried logging onto one of webmin of one my UTM's today and could not log onto the admin account. Tried SSHing into the Box and it will not accept certificate or password for root or loginuser. 

I have tried resetting it locally, but I am running into the same issue as this post:

https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/22154

The keyboard used to work just fine on the local console before the 9.X Series of updates but does not any more. I have done the reset procedure in the past on 8.9 and did not have any issues.

I am not sure what caused all of my passwords to change. I am hoping it is an update that hosed it and not an intrusion. I don't know how they would have gotten in if it was an intruder since OTP is enabled for all password based login and remote SSH is disabled. Webmin/User are allowed on all networks but a lockout is set and OTP is required as well. IPSEC and Open VPN are the only other services allowed through.

I am running out of ideas. This particular UTM is running on an Optiplex 745 as well. I can try the suggested console method tomorrow after I grab a spare console cable from work.


This thread was automatically locked due to age.
  • 0
    I would restore from a config backup.  Put the backup file in the root directory of a USB memory stick.  When you reboot the UTM with the memory stick inserted, it will load the configuration from the stick instead of from the hard drive.

    Cheers - Bob
  • 0 in reply to BAlfson
    Bob, 

    I appreciate the suggestion. I ended up doing just that. I was trying to avoid it because I had updated several configurations changes since last week's backup. Doesn't look like an intrusion, but I would like to know what hosed all of my passwords. Any advice on where to start looking in the logs? I looked over the updates log, but didn't see anything that failed.

    EDIT: More importantly, is there a way to clear out the old notfications? IPS had a mental breakdown because my other firewall way trying non-stop to connect. I now have over 1000 notifications and it keeps on triggering the spam alerts on my email.

    Thanks,
    Kyle
  • 0
    we had the same problem and we were not able to logon with any user. We changed to another client (RDP) and on this client we were able to log on. 

    The first password on the first client was misstyped and the client was blocked for 10 Minutes!!!
    But in Authentication Services - Advanced - Block password guessing was set: "After 3 attemps" and "block access for 600 seconds".

    Maybe you run in the same trouble as we did.
  • 0 in reply to tim2611_01
    That is entirely possible. What concerns me is the fact all passwords were lost. I could not log in even several hours after. I figured I might have locked myself out, so I waited 20ish minutes before trying again. I think the login messages need to be more verbose if that was the issue. That still doesn't explain why the lockout didnt reset or just decided to wipe all passwords.