|
|
|
VNIMANIE: Izpolzvaite forumite na saita za da zadadete vashite vuprosi.
| Vupros |
| Ot: Veleslava Abadjieva |
Data: 09/22/2003 |
Moga li po niakakyv nachin da nakaram ssh da pishe logove
niakade (napr. /var/log/ssh/logfile)
Inache mai samo po .bash_history moga da se orientiram koi
kakvo e pravil.....
|
| Otgovor #1 |
| Ot: fallen |
Data: 09/22/2003 |
Po svoqta syshtnost OpenSSH ne e shell v smisyla na BASH,
KSH, CSH i t.n.
Toi se grizi za kriptirane na TCP wvyzkata i negowata
zadacha e da predade v posledtsvie upravlenieto na process-a
"login", koito se grizi za po-natatyshnoto startirane na
obvivkata i t.n.
Ne sum se zanimaval s podoben problem, no si mislq che nqma
da uspeete tochno prez SSH log-ove da si sledite
potrebitelite.Po-skoro prez log-ovete na obvivkata. Taka che
napishete edin malyk script da gi subira i analizira /Perl,
bash/. Za bash vyv freshmeat mozete da potyrsite imashe edin
patch s koito se praveha dosta gyvkavi restriktzii otnostno
potrebitelite /ne pomnq ime za zalost/. Drugiqt po -
trudoemyk variant e izlolzvaneto na ACL kum nqkoi kernel
patch /grsecurity/ i da se opishat restrictions za da znaete
che nikoi ne buta kude ne bi trqbvalo da buta i da ne
sledite logs.
Mislq che varianta sus sybiraneto na istoriqta i
analiziraneto i e opredeleno naj-byrziq, no zavisi ot
kvalifikatziata na potrebitelite Vi.Da ne zabravqme che
vseki moze da si redaktira hystory-to po default - taka che
se pogrizete i za tova. Drugoto e da sledite tzelostta na
tezi files - ima programi.
Uspehi
|
| Otgovor #2 |
| Ot: Nikola Antonov (nikola __@__ debian-nikola[ tochka ]homelinux[ tochka ]net) |
Data: 09/22/2003 |
Samo sum chuval, che imalo niakakuv kernel module, koito sluzhel
za tazi rabota. Tova e nai-dobriiat nachin da se prodsledi
detailno kakvo praviat potrebitelite, bez te sami da znaiat:)
Pointersuvai se iz google;)
|
| Otgovor #3 |
| Ot: anonymous |
Data: 09/22/2003 |
ima patchove za bash (google, fm) koito logvat vsichko koeto
vseki razlichen user (uid) izpylniava kato komanda (dori i
da byde unsetnat HISTFILE-a). dosta chesto se polzva pri
honeypots i veroiatno shte ti svyrshi rabota.
|
| Otgovor #4 |
| Ot: korio |
Data: 09/23/2003 |
Mda nai-izwestniqt patch predi beshe bash-bofh
|
| Otgovor #5 |
| Ot: Veleslava Abadjieva |
Data: 09/23/2003 |
ok, 10x!
|
| Otgovor #6 |
| Ot: anonymous |
Data: 09/24/2003 |
dosta dobre raboti :)
/var/log/allhosts:
Sep 24 19:56:10 db-rsync -bash: (10408) [user.group] |.| ssh
smtpserv -i auth/a1.k -p2222
Sep 24 19:57:35 db-rsync -bash: (10408) [user.group] |.|
ifconfig wlan1
Sep 24 19:58:39 db-rsync -bash: (10467) [user.group] |.|
iwpriv wlan1
Sep 24 19:58:49 db-rsync -bash: (10467) [user.group] |.| ps
-ef
Sep 24 20:00:09 db-rsync -bash: (10467) [user.group] |.| df
-k ; sync
|
<< SPESHNO: Debian HELP (6
) | mysql - bufer (2
) >>
|
|
|
|
|
|
