forum.lissyara.su

Добавлено: **2012-02-15 17:37:32**

На хостинг-сервере есть "дыра". Кто-то создает юзера, выполняет от его имени сканирование портов, в итоге грохает все содержимое /var/log

настроил AUDIT((flag: all) - не отслеживает команды adduser и rmuser
Настроил syslog-ng, но толку мало
Кто пишет /var/log/userlog? syslog этим не занимается, поскольку в конфиге нету о /var/log/userlog ничего

Добавлено: **2012-02-15 17:49:02**

хотелось бы убедиться в истинности посылки

в итоге грохает все содержимое /var/log

там какие-то необычные права на файлы у вас стоят? не

Код: Выделить всё

-rw-r--r--  1 root  wheel

??

а эта инфа

создает юзера, выполняет от его имени сканирование портов

откуда?
и зачем для этого создавать пользователя, если потом все равно тереть /var/log?

по /home/*/*history поиск ничего не дает?

Добавлено: **2012-02-15 17:52:45**

drwxr-xr-x 2 mail mail 512 Feb 15 14:31 exim
drwxr-xr-x 3 root wheel 512 Feb 15 14:31 httpd
-rw-r--r-- 1 root wheel 47807 Feb 15 16:50 messages
drwxr-xr-x 2 root wheel 512 Feb 15 16:44 proftpd
-rw------- 1 root wheel 4006 Feb 15 16:41 userlog
-rw-r--r-- 1 root wheel 228390 Feb 15 16:44 xferlog

откуда я знаю зачем создавать пользователя. я констатирую факт. меня сейчас интересует каким образом этот юзер создается. вернее кто его создает.

Добавлено: **2012-02-15 17:55:01**

по /home/*/*history поиск ничего не дает?

Добавлено: **2012-02-15 17:57:59**

The pw utility writes a log to the /var/log/userlog file when actions
such as user or group additions or deletions occur. The location of this
logfile can be changed in pw.conf(5).

Добавлено: **2012-02-15 17:59:35**

О! спасибо за идею. туплю... сейчас буду смотреть на предмет adduser

Добавлено: **2012-02-17 13:19:26**

history файлов нету ни у кого, кроме пару юзеров (но там чисто)
скриптом пере установил права на папки юзеров. запретил удалять содержимое var/log через chflags
пока все тихо. как злоумышленник получал права рута пока загадка...

Добавлено: **2012-02-18 7:51:13**

а через pw.conf не пробовали лог в другое место писать? даже если пока тишина, лучше перенастроить? если рецидив будет - будут лапки

Добавлено: **2012-02-18 7:55:42**

думал, переложу, но думаю что мне тот лог ничего не даст. adduser разрешено только от root'а. нужно думать как он берет права рута.

Добавлено: **2012-02-18 20:11:23**

Код: Выделить всё

 cat /root/.ssh/authorized_keys

?

Добавлено: **2012-02-20 11:48:13**

cat: /root/.ssh/authorized_keys: No such file or directory

Добавлено: **2012-02-20 12:16:19**

Код: Выделить всё

# ls -l /root/.ssh/ |grep autho
-rw-r--r--  1 root  wheel  1526 Jul 25  2011 authorized_keys2

Добавлено: **2012-02-20 12:19:03**

чисто все

Добавлено: **2012-02-20 12:20:46**

Код: Выделить всё

# grep . /usr/local/etc/sudoers |grep -v ^#
root    ALL=(ALL) ALL
wassya        ALL=(programmers)   NOPASSWD: /usr/bin/top
wassya        ALL=(programmers)   NOPASSWD: /bin/ps

Добавлено: **2012-02-20 12:23:15**

я это проверил в первую очередь. там все ок.

Добавлено: **2012-02-20 12:41:48**

А много пользователей имеют авторизированный доступ к самому серверу?
Просто дело в том, что недавно столкнулся с подобной проблемой: на одном ресурсе постоянно менялись php-скрипты, куда добавлялась реклама. Думали, что лезли через дырку и меняли их. Реальность оказалось намного проще - во всех пакостях был виноват администратор.

Добавлено: **2012-02-22 10:13:16**

Если есть возможность то настрой отправку syslog сообщений на другой сервер.
Даже если все сотрут на скопроментированной машине, логи останутся нетронутыми на другой.
Хотя уже поздно, но установи ports/security/aide пусть проверяет по крону изменения в системе например раз в час и результаты отсылает на твой ящик.
Там сразу увидишь что меняют.
Можно попробовать поставить termlog но надо обеспечить чтобы он логи скидывал не на локальную машину.

Добавлено: **2012-02-22 11:21:14**

спасибо за помощь,попробую, поскольку проблема осталась актуальной.

Добавлено: **2012-02-22 11:38:40**

savio писал(а):проблема осталась актуальной.

это всмысле

запретил удалять содержимое var/log через chflags

не помогло??

Код: Выделить всё

/var/cron/tabs

проверяли?

Добавлено: **2012-02-22 11:47:28**

chflags помогло, но это разве решение проблемы?
через пару дней снял chflags, в тот же день /var/log стал пустым
audit'ом ничего не могу найти, наверное не там рою.....

Добавлено: **2012-02-22 12:51:13**

По хорошему надо снять образ с системы и полностью переустановить ОС.
А уже потом не спеша проверять что там и как было взломано.
Хотя шансов не так много.
Играть в кошки мышки можно долго.
Кроме всего прочего можно воспользоваться rkhunter и chkrootkit.

Добавлено: **2012-02-22 13:01:28**

включить кроном мониторинг типа

Код: Выделить всё

# last -10 >> /path/to/mylog

раз в минуту (или чаще, sleep)
по идее последний залогинившийся и будет злодей.

Добавлено: **2012-03-12 3:07:36**

если кому интересно, то прошо помочь идеей

аудит палит факт удаления из /var/log (создал папку /var/log/papka, в ней подкаталог и пустой текстовый файл)

header,120,11,rmdir(2),0,Mon Feb 27 02:55:39 2012, + 126 msec
path,/var/log/papka/test
attribute,755,root,wheel,70,33820674,135082191
subject,-1,root,wheel,root,wheel,98110,0,0,0.0.0.0
return,success,0
trailer,120

header,124,11,unlink(2),0,Mon Feb 27 02:55:39 2012, + 126 msec
path,/var/log/papka/test.txt
attribute,644,root,wheel,70,33820676,0
subject,-1,root,wheel,root,wheel,98110,0,0,0.0.0.0
return,success,0
trailer,124

header,86,11,rmdir(2),0,Mon Feb 27 02:55:39 2012, + 126 msec
path,/var/log/papka
subject,-1,root,wheel,root,wheel,98110,0,0,0.0.0.0
return,failure : Operation not permitted,4294967295
trailer,86

Но аудит дает только номер процесса (в даном случаи 98110), а мне нужно название название службы/программы, путь к запущеному скрипту и так далее с этим PID'ом.
есть в природе что-то такое?

forum.lissyara.su

Кто пишет /var/log/userlog?

Кто пишет /var/log/userlog?

Re: Кто пишет /var/log/userlog?

Re: Кто пишет /var/log/userlog?

Re: Кто пишет /var/log/userlog?

Re: Кто пишет /var/log/userlog?

Re: Кто пишет /var/log/userlog?

Re: Кто пишет /var/log/userlog?

Re: Кто пишет /var/log/userlog?

Re: Кто пишет /var/log/userlog?

Re: Кто пишет /var/log/userlog?

Re: Кто пишет /var/log/userlog?

Re: Кто пишет /var/log/userlog?

Re: Кто пишет /var/log/userlog?

Re: Кто пишет /var/log/userlog?

Re: Кто пишет /var/log/userlog?

Re: Кто пишет /var/log/userlog?

Re: Кто пишет /var/log/userlog?

Re: Кто пишет /var/log/userlog?

Re: Кто пишет /var/log/userlog?

Re: Кто пишет /var/log/userlog?

Re: Кто пишет /var/log/userlog?

Re: Кто пишет /var/log/userlog?

Re: Кто пишет /var/log/userlog?