Security Lab



Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти  
Форум » Администрирование » UNIX системы
Страницы: Пред. 1 2
RSS
freeBSD
 
#21
Это нравится:0Да/0Нет
09.06.2003 01:11:25
А по моему проще сдлать так:
делаеш ps aux и смотриш под каким ПИДом у этого юзера запущена облочка(скорее всего будет sh или еще что-то подобное,смотря какой шелл стоит)а потом просто делаеш kill+pid под которым запущен шелл и все,юзера выкидывает из оболочики
 
 
 
#22
Это нравится:0Да/0Нет
09.06.2003 06:34:12
И 24 часа в сутки сидишь и шлеш kill-сигналы всем подряд
Какая-то нехорошая пословица на Руси про простоту есть...
 
 
 
#23
Это нравится:0Да/0Нет
09.06.2003 09:42:45
Цитата
RiD1 пишет:
А по моему проще сдлать так:
делаеш ps aux и смотриш под каким ПИДом у этого юзера запущена облочка(скорее всего будет sh или еще что-то подобное,смотря какой шелл стоит)а потом просто делаеш kill+pid под которым запущен шелл и все,юзера выкидывает из оболочики
хм, что ты будешь делать если, скажем при первом попадании в твою систему я пересобираю с backdoor ... ну скажем login? Что тогда будешь отстреливать? Дай пример выявления такого доступа ...
 
 
 
#24
Это нравится:0Да/0Нет
09.06.2003 12:03:09
надо вычислить по логам ip этого кренделя, потом сделать ему nslookup и если это диалапщик - бросать логи его прову (чтобы он выдал тебе его инфо)
если это static то еще проще...(ripe итд)
ну а если из твоей сетки.... то даешь ему в рог сам.. =))

Во втором случае ipfw add drop all from x.x.x.x to y.y.y.y
где x.x.x.x - его ip, y.y.y.y - твой ip
В первом случае то же самое только на всю сеть провайдера
(если конечно тебя не интересуют пользователи этого провайжера)

Потом разбираешься как он попал в систему, вырезаешь руткиты если есть, убираешь ipfw del это правило, добавляешь такое же только на sshd.
voila!
 
 
 
#25
Это нравится:0Да/0Нет
18.09.2003 16:07:43
Цитата
_rip пишет:

хм, что ты будешь делать если, скажем при первом попадании в твою систему я пересобираю с backdoor ... ну скажем login? Что тогда будешь отстреливать? Дай пример выявления такого доступа ...

Во FreeBSD mtree, в Linux trepware. Программы следящие за изменением размеров и прав доступа к файлам. Обычно автоматизированно высылающие раз в день репорты о состоянии системы.
 
 
 
#26
Это нравится:0Да/0Нет
18.09.2003 16:42:13
Отвечая на памый первый вопрос - в принципе возникает встречный - какова причина ? Варианты :

1) Он узнал чей-то пароль и пользуется шеллом - поменять пароль. passwd <имя пользователя>
2) Он имеет свой аккаунт на сервере и пароль не ломал, но согласно договора шел ему не предоставляется - изменяем оболочку входа в систему в файле /etc/passwd c /bin/sh (csh) на /sbin/nologin (для редактирования лучше использовать комманду vipw).
3) Он взломал систему. Тут смотри то, что написал выше keydet.

От себя добавлю, что чтение логов не всегда помагает. Так зачастую при выбивании эксплоитом того или иного сервиса, в логах вообще ничего не говориться о том, кто и откуда это делал. Далее, следует помнить, что голубая мечта опытного хакера - машина с остановленным или "подправленным" сислогом, либо запоротым wtmp.

----------
"Ежели один человек что-то собрать сумел, то другой завсегда разобрать сможет"
 
 
 
Страницы: Пред. 1 2
Читают тему