utok na fw ?

Vladymyr Iljyc Lenin J.Micka na sh.cvut.cz
Čtvrtek Březen 4 10:15:12 CET 1999 

Miroslav BENES wrote:
> Problem1 : Pri prihlasovani z vnitrni site terminalem (TTerm pro) se
> vzdycky hlasim na svoje jmeno a pak si prikazem su povolim prava
> roota. Ted to ale zahlasi po zadani hesla :
> su: cannot set groups
 
mozna bych se nejprve mrknu do souboru /etc/groups

> Vim jiste, ze to driv (cca pred 3-mi tydny) nedelalo a od te doby
> jsem se tam z terminalu neprihlasoval. Prihlaseni primo na roota jde
> z terminalu i z konzoly bez problemu. Uzivatele ani skupiny se za cca
> posledniho pul roku nemenili. Je to priznak nejakeho utoku, chyba hw
> nebo neco jineho ?
 
> Problem2 : Krome roota jsou nadefinavani 2 uzivatele. Oba maji v
> /home svoje domovske adresare :
> [root na fw-tenez /home]# ls -l
> total 2
> drwxrwxr-x   2 root     root         1024 Feb 12 12:02 benes
> drwxrwxr-x   2 root     root         1024 Feb 12 12:02 servis
> Je normalni, aby mel "bezny" uzivatel nastaven vlastnika sveho
> adresare roota ?

ne to opravdu normalni neni, ale zalezi na tom jak bylo konto vytvoreno
na druhou stranu pokud jsi definoval ze konta maji UID 0(coz nektery
lidi delaj) pak to vypisuji prvni zaznam z /etc/passwd pro dany UID (coz
zcela jiste bude root)

> Dalsi podivne chovani je pri vypisu obsahu :
> [root na fw-tenez servis]# cd /home/benes/
> [root na fw-tenez benes]# ls -l
> total 0
> [root na fw-tenez benes]#
> Pritom v okne mc vidim 6 souboru (.bashrc atd.) na svoje jmeno s
> pravy 664. Jak je mozne, ze root nevidi soubory prikazem ls, kdyz mu
> je ukaze mc ?

v tom bych zahadu nehledal
skus si dat `ls -a` budes prekvapen
ls totiz standartne nevypisuje soubory zacinajici teckou, ty jsou brany
jako skryte
proto se do nich ukladaji vetsinou konfigurace, profily, startscripty
aj.

> Problem3: Prohlizel jsem logy, ale nic zvlasniho nevidim. Snad jenom
> tohle :
> secure.2 :
> Feb 15 06:55:07 fw-tenez login: FAILED LOGIN 1 FROM (null) FOR root,
> Authentication failure
> secure.3 :
> Feb 12 12:24:04 fw-tenez login: FAILED LOGIN 1 FROM (null) FOR root,
> Authentication failure

tak tohle opravdu nevim
nejspis nejaky login program, ktery jeste nezvladl resolvovat hosta
protoze konzolu by to urcite zapsalo 

rozhodne doporucuju projet adresare /bin /sbin /usr/bin /usr/sbin a
potom i nektere lib (treba sednmail) zda se tam nenachazi nejaky nedavno
zmeneny soubor(treba login, in.telnetd, nebo jiny demon, su, proste taky
dulezity programy)
jiste vetsina hackeru znas tar takze to datum opravdu nemusi byt nove,
ale pokud se to nekdo pokusil nabourat a nechal zaznam v secure logu,
tak asi moc zkusenej nebude

taky se to obcas da poznat podle otevrenych portu, i kdyz u FW asi moc
ne
ja sem na jeden hack prisel tak, ze ten clovek co mi naboural komp si
pustil demona (no prepsal mi rwhod) ale krom standartniho portu mel ten
rwhod otevreny jeste kerber port a protoze kerbera nemam, tak sem to
objevil(ale to byla opravdu nahoda)
-- 

							= lenin =
proste lenin

Další informace o konferenci Linux