Monitorare un utente
iDave
idave a idave.it
Lun 26 Lug 2004 17:45:21 UTC
Ciao a tutti,
Ho il sospetto che su un server che ho in gestione un utente stia cercando
di "fare il furbo" (installare eseguibili dannosi, tentare privilege
escalation, eccetera). Per essere sicuro che sia lui e non un cracker che
sta cercando di entrare sfruttando una debolezza del sistema mi servirebbe
di installare un programma che monitori tutte le "mosse" di quell'utente,
che ne registri data e ora di ingresso e uscita e, se utilizza una shell,
che shell sta utilizzando.
Ho inoltre un'altra macchina che ha dei problemi di crackers. Stavolta sono
sicuro che siano crackers perché alla macchina accedo solo io... Dunque
questa macchina ha su 4-5 siti tutti che hanno installato qualche script
poco aggiornato. Ho esplorato la struttura delle directory di questo server
e ho cercato tutti gli script "vecchi", sostituendoli con le versioni
aggironate, ma non c'è stato verso.
Questi maledetti crackers (brasiliani, quanto li odio!!!) entrano sempre.
Fortunatamente il server è configurato bene quindi non riescono a fare danni
permanenti perché riescono a eseguire programmi solo come utenti "httpd" (ma
so bene che anche con quello possono fare abbastanza casino). Danni
temporanei si però perché riescono a crashare apache. Io gestisco apache con
i daemontools ma nemmeno loro riescono a tirarlo su perché lui salta su con
l'errore "could not bind address". E infatti se mi collego alla porta 80 del
mio server qualcuno che apre la connessione c'è anche se non compare nulla a
schermo. Devo quindi fare svc -d su apache, killare i processi aperti dai
cracker e quindi fare svc -u.
Mi chiedevo se non ci fosse un modo per risalire all'eventuale "falla"
sfruttata dall'hacker, posto che si deve trattare per forza di uno che entra
con i privilegi dell'utente apache. Non c'è modo magari di individuare lo
script incriminato? Dai log non sono riuscito a cavare un ragno dal buco
perché succede che a un certo punto apache crasha e non c'è più nulla da
fare se non killare i programmini maledetti come ho scritto sopra.
Le due macchine a cui faccio riferimento qui sopra hanno i software server
aggiornati (cioè il problema non sta sicuramente nel demone server perché è
tutto aggiornato con le ultimissime patch tipo apache 2.0.50...), da qui il
dubbio che sia colpa di uno script
Come se non bastasse, ho un amico che mi chiede
23-07-2004 11:25: Antonio ha scritto:
> Caro Davide, Mi trovo ad avere un problema con una macchina che ho io in
> gestione, anche se non è un server "grosso" perché l'ho usata solo per fare
> dei test con la mia connessione adsl. Ho installato RedHat 8 su questa
> macchina e ho scoperto che quasi tutte le directory /usr/local/* hanno il
> setgid. O meglio: le directory che hanno il setgid sono quelle che contengono
> i programmi che ho compilatio io come ad esempio apache 2 e postgresql. Il
> bello è che gli eseguibili che stanno dentro quelle directory non ce l'hanno
> il setgid! Mi chiedo quindi se questo sia una cosa normale o se io mi debba
> preoccupare. So che tu sei iscritto a varie liste che parlano di linux quindi
> ti chiedo per favore di girare anche a loro la domanda.
>
> Ecco la lista delle directory "incriminate"
> drwxr-sr-x 35 root root 4096 Jul 25 01:56 .
> drwxr-xr-x 17 root root 4096 Jan 21 2004 ..
> drwxr-sr-x 6 root root 4096 Mar 28 13:20 ant
> drwxr-sr-x 20 root root 4096 Jul 25 02:02 apache2
> drwxr-xr-x 16 root root 4096 Mar 31 17:03 apaOLD
> drwxr-xr-x 6 root root 4096 Dec 24 2003 BerkeleyDB.4.2
> drwxr-sr-x 3 root root 8192 Jul 23 12:09 bin
> drwxr-xr-x 2 1000 1000 4096 Jun 18 23:24 chkrootkit
> drwxr-sr-x 2 root root 4096 Jul 25 01:57 cpdd
> drwxr-xr-x 3 root root 4096 Jul 2 2003 doc
> drwxr-xr-x 4 root root 4096 Jun 14 22:40 etc
> drwxr-xr-x 2 root root 4096 Jul 2 2003 games
> drwxr-sr-x 4 root root 4096 Dec 24 2003 imap
> drwxr-xr-x 20 root root 4096 Jul 23 12:09 include
> -rw-r--r-- 1 root root 665 Dec 23 2003 index.html
> drwxr-xr-x 2 root root 4096 Feb 23 17:04 info
> drwxr-xr-x 12 root root 8192 Jul 23 12:09 lib
> drwxr-xr-x 2 root root 4096 Apr 20 19:53 libexec
> drwxr-xr-x 9 root root 4096 Dec 24 2003 man
> drwxr-sr-x 11 root root 4096 Jun 10 00:49 mnogosearch
> drwxr-sr-x 6 root root 4096 Jul 16 23:18 mrtg-2
> drwxr-xr-x 13 root mysql 4096 Feb 23 16:30 mysql
> drwxr-sr-x 6 root root 4096 Jan 21 2004 netpbm
> drwxr-sr-x 9 postgres root 4096 Dec 24 2003 pgsql
> drwxr-sr-x 6 root root 4096 Dec 24 2003 pure-ftpd
> drwxr-sr-x 6 root root 4096 Feb 22 19:47 rkhunter
> drwxr-sr-x 10 root root 4096 Dec 24 2003 rrdtool-1.0.45
> drwxr-xr-x 2 root root 4096 Jul 23 12:09 sbin
> drwxr-xr-x 26 root root 4096 Jul 16 23:30 share
> drwxr-xr-x 23 root root 4096 Jul 23 16:13 src
> drwxr-xr-x 9 root root 4096 Jun 15 00:07 ssl
> drwxr-sr-x 2 root root 4096 Dec 24 2003 SystemStats2
> drwxr-xr-x 11 tomcat tomcat 4096 Jun 6 15:04 tomcat
> drwxr-xr-x 94 root bin 4096 Jan 19 2004 webmin
> drwxr-xr-x 100 root bin 4096 Jun 13 14:51 webmin-1.140
> drwxr-sr-x 2 root root 4096 Dec 24 2003 xseg
> Grazie, Antonio
Riguardo a quest'ultimo caso, non capisco se ci sia da preoccuparsi o no. Il
punto è che le directory che sono setgid qui sopra, sono quelle dei
programmi che ha compilato lui quindi mi domando se non sia un comportamento
"normale" da parte dei make install dei progetti open source.
Sinceramente non conosco bene il funzionamento di setgid, ma ho provato
sulla mia macchina a impostare una directory con setgid e gli eseguibili
all'interno funzionavano correttamente, ossia non venivano setgiddati in
alcun modo. Non capisco bene se quello sia quindi un segnale preoccupante o
meno.
Grazie a tutti per aver letto questa pappardella
fiducioso in un vostro aiuto
iDave
++++++++++++++++++++++++++++++++++++++++++++++++++++++
+ iDave - idave (at) idave.it - http://idave.it/ +
+ ICQ# 128602582 - Linux registered user #281540 +
++++++++++++++++++++++++++++++++++++++++++++++++++++++
+ I PC hanno il tasto 'reset' perchè sono progettati +
+ per i sistemi operativi Microsoft. +
++++++++++++++++++++++++++++++++++++++++++++++++++++++
Maggiori informazioni sulla lista
Lug
|