Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 4831 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos Randomly Reset Passwords? Or Am I Getting Hacked?

jkconnections
This is at least the 3rd time (honestly think it's more like 4th or 5th) that this has happened to me now and I'm completely frustrated - so frustrated that I'm about to abandon Sophos / Astaro completely and go find something else.

Over the past couple of years of trying to learn and use Astaro, I've had a problem occur randomly for no apparent reason or warning. Essentially what appears to be happening is either Sophos / Astaro forgets my admin and root passwords or else there is a serious security flaw that is allowing an attacker outside of my network to reset or change my passwords.

Case in point, last night I was logged into Sophos UTM 9 (I had been running the Sophos 9 Beta but last night it didn't mention anything about being Beta, so I guess it must be on the fully released version now). In any event, I logged in several times throughout the day without an issue. I leave the machine running 24/7 and today after I got home from work I again tried to login and Sophos says that my admin password doesn't work. I tried my root login and that too didn't work ether; however, my loginuser does still work. I've rebooted but to no avail. Oddly enough the internet works - but I can't login to the management web app.

Note: I have NOT changed my password yesterday or today, yet somehow I am no longer able to login successfully. 

This problem has occurred several different times over the past couple of years - back when I was using Astaro 8 (and I think even version 7). It also happened once while using Sophos Beta 9. Until now, I thought perhaps the problem was me forgetting the login details, but this time around, I used different passwords and made sure I wrote down the login details so I would know that I wasn't the cause of this.

Has anyone else had this happen to them? And does anyone know how I can reset the passwords without reinstalling given that both admin and root passwords don't work?

I sure hope someone can help me get to the bottom of this as I REALLY have liked using Sophos / Astaro, but if no one can help me, then I'm bailing b/c this is completely unacceptable.

With Much Hope for a Fix,
Jonathan


This thread was automatically locked due to age.
  • 0
    In almost 7 years of selling, supporting, and promoting this product, I've not seen the problem you're talking about.  Let's start with some basics:

    1)  What kind of platform is this running on?
    2)  What sort of external access to SSH and Webadmin are you allowing (if any)
    3)  If you have a commercial license, have you tried Astaro / Sophos support?

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    In almost 7 years of selling, supporting, and promoting this product, I've not seen the problem you're talking about.  Let's start with some basics:

    1)  What kind of platform is this running on?
    2)  What sort of external access to SSH and Webadmin are you allowing (if any)
    3)  If you have a commercial license, have you tried Astaro / Sophos support?


    Thanks for the reply!

    1. In the past I was using a dedicated computer for Astaro. Earlier this year I switched over to running Astaro from VMWare. This problem has occurred on both platforms.

    2. Well, I can't recall my exact settings any longer and can't login to verify, but based on my notes that I typed up, I had set the root and loginuser passwords, had not enabled SSH for external access but had enabled Shell for the internal network only. Again, I can't guarantee that is what I had in place but I was trying to keep detailed notes, so that should be fairly close.

    3. I'm a home user - no commercial license currently, so I have not tried support.
  • 0
    I agree with Bruce.  My company started about nine years ago.  I only got involved in the technical aspects about five years ago, but we've never heard of this.

    If you're SSHing into the box, remember that you only can get in as root after you've gotten in as loginuser.  Once you're in as root, you can reset the admin password with:

    cc system_password_reset

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    if your password keeps getting changed then either you are mistyping it or it's one that's been compromised elsewhere online.  head to grc.com/password to generate a truly random one.  If after this you still have this issue backup your computer...format...reload as you obviously have a keylogger installed.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    These are all good suggestions -- I just have not seen a case where this happens on an ASG installation "automagically" ... now, one other thing -- how is the power to your ASG instances?  Do you have a UPS connected, and setup for graceful shutdown of the ASG?  I've only seen it ONCE or TWICE in all these years, but powering off in the middle of something "important" could corrupt the ASG... it's very resilient, but I have seen it happen.  At least one of the times it happened, I found that the HD was getting ready to "go" anyway, so I considered it a contributor [:)]

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BAlfson

    If you're SSHing into the box, remember that you only can get in as root after you've gotten in as loginuser.  Once you're in as root, you can reset the admin password with:

    cc system_password_reset

    Cheers - Bob


    So I think I may be confused about how to get root login access via SSH. If I use Putty and the loginuser to login, how do I then change over to use the root login?
  • 0 in reply to jkconnections 
    loginuser@utm:/home/login > su

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0
    or

    su -

    which will configure the PATH and other environment variables per the root user's profile

    Barry
  • 0
    Well everyone, I'm extremely embarrassed to admit that when I came home from work today and started trying passwords again, I was able to figure out the password. I think what happened was, I had been messing around with the VPN feature and had tried to change the VPN user password but accidentally changed the admin password instead. Just for kicks I tested out the admin password reset as well and I can confirm that everything is working correctly.

    I'm VERY sorry for the false alarm and am majorly embarrassed. I think it's time for me to go sit in the corner and eat some humble pie. [:(]

    Anyway, many thanks to all who have contributed to this thread. At least it proved valuable in the sense that I learned something about the root user.

    Jonathan
  • 0 in reply to jkconnections
    No worries, happens to the best of us.  Welcome to the forum!

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

Cookie Information Banner