HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   Форум АНТИЧАТ > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Песочница
Перезагрузить страницу Админ не спит,палит iframe help
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

  #1  
Старый 22.09.2012, 19:36
blesse
Участник форума
Регистрация: 18.01.2012
Сообщений: 162
Провел на форуме:
29647

Репутация: 1
По умолчанию
Собственно я в линуксе недавно поэтому прошу помощи.

Вопрос такой:

Вот я залил шелл,порутал. 3недели жил пока я активность не проявлял а тут вставил ифрейм и все потерли.

Вопрос какие логи надо чистить:

Случай первый :

Орудовал я через веб(с шелла) в 2 файлах добавил по 2 строчки, может админ поставил какие тулзы которые фиксирует все изменения ? Как такие тулзы обнаружить? Где можно посмотреть bash history рута?

Случай второй

Код:
1. Бинпорт с шелла
2. Запуск суидника с паролем который мне дал права рута
3. Сменил права на индекс через шелл добавил строчку и поставил права обратно.
Где я наследил?
 
Ответить с цитированием

  #2  
Старый 22.09.2012, 20:00
BigBear
Новичок
Регистрация: 04.12.2008
Сообщений: 11
Провел на форуме:
69033

Репутация: 8
По умолчанию
Цитата:
Сообщение от blesse  
Собственно я в линуксе недавно поэтому прошу помощи.
Вопрос такой:
Вот я залил шелл,порутал. 3недели жил пока я активность не проявлял а тут вставил ифрейм и все потерли.
Вопрос какие логи надо чистить:
Случай первый :
Орудовал я через веб(с шелла) в 2 файлах добавил по 2 строчки, может админ поставил какие тулзы которые фиксирует все изменения ? Как такие тулзы обнаружить? Где можно посмотреть bash history рута?
Случай второй
Код:
1. Бинпорт с шелла
2. Запуск суидника с паролем который мне дал права рута
3. Сменил права на индекс через шелл добавил строчку и поставил права обратно.
Где я наследил?
Случай первый - access.log и error.log. Узнать пути где эти файлы почистить поможет эта тема

Случай второй - access.log и error.log + файл перл-скрипта или Си (смотря на чём биндпорт) в папке /tmp (путь абсолютный)
 
Ответить с цитированием

  #3  
Старый 23.09.2012, 08:22
[loy]
Участник форума
Регистрация: 24.03.2006
Сообщений: 184
Провел на форуме:
344009

Репутация: 72
По умолчанию
Я как админ, тебе могу посоветовать:

> 3. Сменил права на индекс через шелл добавил строчку и поставил права обратно.

Также выставляй с помощью touch ту дату last modification

> 1. Бинпорт с шелла

Очень легко палится при правильно-настроенном фаерволе и логгировании левых пакетов ( iptables ... -j LOG) или при частом (параноидальном) вызове netstat -lanp

> 2. Запуск суидника с паролем который мне дал права рута - проверка процессов по названию процессов от рута

Задачи 3, 2 можно делать с помощью крона.

Также как вариант может стоять отлов новых и изменённых файлов с помощью md5sum ( для параноиков -- есть скрипт, могу поделится )

Баш хистори и не только баш, будет лежать по-дефоулту в хомдире пользователя.

Код:
getent passwd|grep root|cut -f6 -d:
получишь хомдиру рута, а там ищи файлы

Код:
ls -lia .*history*
 
Ответить с цитированием

  #4  
Старый 23.09.2012, 09:33
blesse
Участник форума
Регистрация: 18.01.2012
Сообщений: 162
Провел на форуме:
29647

Репутация: 1
По умолчанию
Цитата:
Сообщение от [loy  
"]
[loy] said:
Я как админ, тебе могу посоветовать:
> 3. Сменил права на индекс через шелл добавил строчку и поставил права обратно.
Также выставляй с помощью touch ту дату last modification
> 1. Бинпорт с шелла
Очень легко палится при правильно-настроенном фаерволе и логгировании левых пакетов ( iptables ... -j LOG) или при частом (параноидальном) вызове netstat -lanp
> 2. Запуск суидника с паролем который мне дал права рута - проверка процессов по названию процессов от рута
Задачи 3, 2 можно делать с помощью крона.
Также как вариант может стоять отлов новых и изменённых файлов с помощью md5sum ( для параноиков -- есть скрипт, могу поделится )
Баш хистори и не только баш, будет лежать по-дефоулту в хомдире пользователя.
Код:
getent passwd|grep root|cut -f6 -d:
получишь хомдиру рута, а там ищи файлы
Код:
ls -lia .*history*
Да поделить пожалуйста.

Как такого рода скрипт можно обнаружить? просто на обоих серверах админы либо ленивые либо некомпетентные ибо не дырки не могут залатать ,не суидник мой с названием "exploit" не могут снести.

Да и шелла живут а как к индексу полезешь то все....
 
Ответить с цитированием

  #5  
Старый 23.09.2012, 15:17
[loy]
Участник форума
Регистрация: 24.03.2006
Сообщений: 184
Провел на форуме:
344009

Репутация: 72
По умолчанию
Смотри /etc/crontab и /var/spool/cron/* на предмет "странных" скриптов.
 
Ответить с цитированием

  #6  
Старый 23.09.2012, 15:23
justonline
Постоянный
Регистрация: 27.07.2011
Сообщений: 499
Провел на форуме:
179355

Репутация: 53
По умолчанию
вставь в существующий js скрипт функцию, которая создает дом объект с фреймом
 
Ответить с цитированием

  #7  
Старый 23.09.2012, 17:11
blesse
Участник форума
Регистрация: 18.01.2012
Сообщений: 162
Провел на форуме:
29647

Репутация: 1
По умолчанию
Цитата:
Сообщение от justonline  
вставь в существующий js скрипт функцию, которая создает дом объект с фреймом
подробнее можно?(пример кода)
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.