Тема: Пробив или ...? (Прочетена 1551 пъти)

glarus · « -: Feb 18, 2007, 18:13 »

Здравейте !

Днес забелязах нещо много обезпокоително при мен :

Примерен код

$ ls -al
...
drwxr-xr-x 20 root root 4096 Feb 18 15:39 root
...
drwxr-xr-x 2 root root 4096 Feb 18 11:47 sbin

Вероятно има и други подобни нередности по диска, но не съм
наясно къде какви права трябва да има установени.

Почти никога не инсталирам програми извън хранилищата на Дебиян, а рутърът вкъщи има вградена защитна стена (споделям интернета само с един приятел). Имам подозрения, че това е станало докато миналата седмица инсталирах на първия дял на диска Ubuntu 6.10, но не съм сигурен в това.

Някой сблъсквал ли се е с подобен проблем ? Ще съм ви благодарен ако можете да ми дадете насоки какво да направя.

P.S. Ако тази информация може да помогне, ето резултата от някои команди :

Примерен код

# netstat -lt
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 *:swat *:* LISTEN
tcp 0 0 *:netbios-ssn *:* LISTEN
tcp 0 0 *:auth *:* LISTEN
tcp 0 0 *:ftp *:* LISTEN
tcp 0 0 localhost:ipp *:* LISTEN
tcp 0 0 *:microsoft-ds *:* LISTEN
tcp 0 0 *:7741 *:* LISTEN

# netstat -lu
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
udp 0 0 *:7741 *:*
udp 0 0 *:ipp *:*

Hapkoc · « **Отговор #1 -:** Feb 18, 2007, 21:41 »

Знаеш ли, че не го бях забелязал това. Явно в Debian смятат, че е ок домашната директория на root да е читаема от всички, понеже проверих на няколко машини и навсякъде е така. За сравенение - Fedora Core не е така...

Иначе sbin си е ок, така трябва да е.

Mitaka · « **Отговор #2 -:** Feb 18, 2007, 21:41 »

Свали си chkrootkit (apt-get install chkrootkit) и го пусни.
Ако има някаква боза - би трябвало да я засече.

Виж какво ти казва pstree - кой процес какво извиква и т.н.

Погледни какво имаш в /tmp..

Ако наистина си сигурен, че машината ти е хакната - преинсталирай. Защото никога не можеш да знаеш каква вратичка си е оставил хакера....

glarus · « **Отговор #3 -:** Feb 18, 2007, 23:07 »

Благодаря за отзивчивостта. В такъв случай май е фалшива тревога. Поне аз не можах да открия нищо с chkrootkit, а pstree май не вади нищо съмнително :

Примерен код

init-+-Xprt
   |-acpid
   |-cron
   |-cupsd
   |-2*[dbus-daemon]
   |-dbus-launch
   |-dcopserver
   |-dirmngr
   |-events/0
   |-gam_server
   |-gconfd-2
   |-gdm---gdm-+-Xorg
   | `-startkde-+-kwrapper
   | `-ssh-agent
   |-6*[getty]
   |-hald---hald-runner-+-hald-addon-acpi
   | |-hald-addon-keyb
   | `-hald-addon-stor
   |-inetd
   |-kaccess
   |-kded
   |-kdeinit-+-firefox-bin---6*[{firefox-bin}]
   | |-gksu---su---gksu-run-helper---synaptic
   | |-kio_file
   | |-klauncher
   | `-kwin
   |-kdesktop
   |-kdesud
   |-khelper
   |-kicker
   |-kio_uiserver
   |-klipper
   |-klogd
   |-kmix
   |-knodemgrd_0
   |-knotify
   |-korgac
   |-ksmserver
   |-ksoftirqd/0
   |-kthread-+-aio/0
   | |-irda_sir_wq
   | |-kacpid
   | |-kblockd/0
   | |-khpsbpkt
   | |-khubd
   | |-4*[kjournald]
   | |-kpsmoused
   | |-kseriod
   | |-kswapd0
   | |-pccardd
   | `-2*[pdflush]
   |-kxkb
   |-lisa
   |-lpd
   |-migration/0
   |-smbd---smbd
   |-syslogd
   |-udevd
   |-vmnet-bridge
   |-vsftpd
   |-winbindd---winbindd
   |-xfs
   `-yakuake-+-2*[bash]
   |-bash---su---bash---pstree
   `-bash---mc---bash

П.П. И все пак не мога да разбера защо почти всичко от /sbin може да се чете и изпълнява от всички потребители. До колкото си спомням в Slackware например не беше така.

senser · « **Отговор #4 -:** Feb 19, 2007, 00:16 »

между другото аз също преди време забелязах тази "странност" за правата на "/root" директорията при gentoo.......

оправих ги ръчно ама така и не се разрових има ли някаква причина за това

alabal · « **Отговор #5 -:** Feb 19, 2007, 01:19 »

//offtopic

Цитат

$ ls -al /root/
ls: cannot open directory /root/: Permission denied

Отговор на ls на инсталация на Gentoo на по-малко от месец.
Същият отговор под Fedora Core 6. Не съм променял права на root директорията.

Златко · « **Отговор #6 -:** Feb 19, 2007, 09:43 »

Не знам дали е пробив, но прочети това.

'>

Hapkoc · « **Отговор #7 -:** Feb 19, 2007, 10:21 »

Цитат

Не знам дали е пробив, но прочети това.

Това някаква шега ли е? За какво го даваш тоя линк? В тази "статия" на idg дори няма препратка към източника им (Университета в Индиана?)...

gat3way · « **Отговор #8 -:** Feb 19, 2007, 10:21 »

И какъв е проблемът да изпълняваш неща от /sbin ? Примерно интересно ми е някаква теоретична опасна ситуация, свързана с това?

growchie · « **Отговор #9 -:** Feb 19, 2007, 10:46 »

Не се тревожи, правата на root директорията са такива в ubuntu. Или е немарливост или нещо свързано с sudo механизма. В gentoo поне беше забранена за четене извън групата. От това което съм ползвал до сега RedHat и SuSE по подразбиране наистинаправят root директорията частна.

Златко · « **Отговор #10 -:** Feb 19, 2007, 11:33 »

Цитат (Hapkoc @ Фев. 19 2007,11:21)

Това някаква шега ли е? За какво го даваш тоя линк?

Пардон, това беше off-topic, трябваше да го подчертая.

'>

bozho · « **Отговор #11 -:** Feb 19, 2007, 14:43 »

Цитат (glarus @ Фев. 19 2007,00:07)

П.П. И все пак не мога да разбера защо почти всичко от /sbin може да се чете и изпълнява от всички потребители. До колкото си спомням в Slackware например не беше така.

а дали може

'>
Опитай и тогава кажи.
Това, че има:

drwxr-xr-x 2 root root 6824 1997-10-06 11:10 sbin/
и вътре да речем

-rwxr-xr-x 1 root root 10664 2006-08-14 01:20 arping*

не значи, че друг освен root може да ги изпълни.
(горното е от слак)

Автор Тема: Пробив или ...? (Прочетена 1551 пъти)

Mitaka