|
|
ВНИМАНИЕ: Използвайте форумите на сайта за дa зададете вашите въпроси.
Въпрос |
От: Veleslava Abadjieva |
Дата: 09/22/2003 |
Moga li po niakakyv nachin da nakaram ssh da pishe logove
niakade (napr. /var/log/ssh/logfile)
Inache mai samo po .bash_history moga da se orientiram koi
kakvo e pravil.....
|
Отговор #1 |
От: fallen |
Дата: 09/22/2003 |
Po svoqta syshtnost OpenSSH ne e shell v smisyla na BASH,
KSH, CSH i t.n.
Toi se grizi za kriptirane na TCP wvyzkata i negowata
zadacha e da predade v posledtsvie upravlenieto na process-a
"login", koito se grizi za po-natatyshnoto startirane na
obvivkata i t.n.
Ne sum se zanimaval s podoben problem, no si mislq che nqma
da uspeete tochno prez SSH log-ove da si sledite
potrebitelite.Po-skoro prez log-ovete na obvivkata. Taka che
napishete edin malyk script da gi subira i analizira /Perl,
bash/. Za bash vyv freshmeat mozete da potyrsite imashe edin
patch s koito se praveha dosta gyvkavi restriktzii otnostno
potrebitelite /ne pomnq ime za zalost/. Drugiqt po -
trudoemyk variant e izlolzvaneto na ACL kum nqkoi kernel
patch /grsecurity/ i da se opishat restrictions za da znaete
che nikoi ne buta kude ne bi trqbvalo da buta i da ne
sledite logs.
Mislq che varianta sus sybiraneto na istoriqta i
analiziraneto i e opredeleno naj-byrziq, no zavisi ot
kvalifikatziata na potrebitelite Vi.Da ne zabravqme che
vseki moze da si redaktira hystory-to po default - taka che
se pogrizete i za tova. Drugoto e da sledite tzelostta na
tezi files - ima programi.
Uspehi
|
Отговор #2 |
От: Никола Антонов (nikola (a) debian-nikola< dot >homelinux< dot >net) |
Дата: 09/22/2003 |
Само съм чувал, че имало някакъв kernel module, който служел
за тази работа. Това е най-добрият начин да се продследи
детайлно какво правят потребителите, без те сами да знаят:)
Поинтерсувай се из google;)
|
Отговор #3 |
От: anonymous |
Дата: 09/22/2003 |
ima patchove za bash (google, fm) koito logvat vsichko koeto
vseki razlichen user (uid) izpylniava kato komanda (dori i
da byde unsetnat HISTFILE-a). dosta chesto se polzva pri
honeypots i veroiatno shte ti svyrshi rabota.
|
Отговор #4 |
От: korio |
Дата: 09/23/2003 |
Mda nai-izwestniqt patch predi beshe bash-bofh
|
Отговор #5 |
От: Veleslava Abadjieva |
Дата: 09/23/2003 |
ok, 10x!
|
Отговор #6 |
От: anonymous |
Дата: 09/24/2003 |
dosta dobre raboti :)
/var/log/allhosts:
Sep 24 19:56:10 db-rsync -bash: (10408) [user.group] |.| ssh
smtpserv -i auth/a1.k -p2222
Sep 24 19:57:35 db-rsync -bash: (10408) [user.group] |.|
ifconfig wlan1
Sep 24 19:58:39 db-rsync -bash: (10467) [user.group] |.|
iwpriv wlan1
Sep 24 19:58:49 db-rsync -bash: (10467) [user.group] |.| ps
-ef
Sep 24 20:00:09 db-rsync -bash: (10467) [user.group] |.| df
-k ; sync
|
<< SPESHNO: Debian HELP (6
) | mysql - bufer (2
) >>
|
|
|
|
|