neznámí uživatelé v /etc/shadow

a co obsahuji zaznamy v /etc/passwd k temto uctum ?

6.3.2013 21:31 emmm
Rozbalit Rozbalit vše Re: neznámí uživatelé v /etc/shadow

v /etc/passwd ten podezřelý účet není. zajímavé je, že když jsem se teď na server znovu přihlásil, tak ten uživatel má zase jiný "název"

gCCcDYbhbtZYVPbodTIs/Ua5a/:15750:0:99999:7:::

ještě doplním, že jde o CentOS 6.3

Zadaj príkaz netstat -anv a výstup daj ako prílohu.

Myslím, že niekto má okrem teba kontrolu nad systémom.

Root v linuxe : "Root povedal, linux vykona."

6.3.2013 21:43 emmm
Rozbalit Rozbalit vše Re: neznámí uživatelé v /etc/shadow

Příloha:

netstat.txt (6656 bytů)

díky za pomoc, přikládám

6.3.2013 21:52 ewew | skóre: 40 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: neznámí uživatelé v /etc/shadow

Aké tam máš služby ?

Skús ps -Af a prilož výstup.

Root v linuxe : "Root povedal, linux vykona."

6.3.2013 22:00 emmm
Rozbalit Rozbalit vše Re: neznámí uživatelé v /etc/shadow

Příloha:

ps.txt (5264 bytů)

je tam apache, mysql a postfix

6.3.2013 22:05 ewew | skóre: 40 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: neznámí uživatelé v /etc/shadow

Po akom intervale sa objavia cudzi užívateľia ?

Ktoré služby sú verejné ?

Root v linuxe : "Root povedal, linux vykona."

6.3.2013 21:54 hermelin | skóre: 21
Rozbalit Rozbalit vše Re: neznámí uživatelé v /etc/shadow

jeste prosim dej vypis

ps axu

ja centos nikde neprovozuji ale kdyby mi neco neustale sahalo do /etc/shadow tak bych moc klidny nebyl

6.3.2013 22:06 emmm
Rozbalit Rozbalit vše Re: neznámí uživatelé v /etc/shadow

Příloha:

ps2.txt (6644 bytů)

přikládám

6.3.2013 22:06 hermelin | skóre: 21
Rozbalit Rozbalit vše Re: neznámí uživatelé v /etc/shadow

a jeste zkus

find / -user "aktualni divne jmeno v shadow"

apt-get install chkrootkit

6.3.2013 22:05 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: neznámí uživatelé v /etc/shadow

Když už tak i aide, tripwire a yasat (http://yasat.sourceforge.net/)

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.

6.3.2013 22:09 NN
Rozbalit Rozbalit vše Re: neznámí uživatelé v /etc/shadow

Na to je pravdepodobne uz pozde..

6.3.2013 22:17 hermelin | skóre: 21
Rozbalit Rozbalit vše Re: neznámí uživatelé v /etc/shadow

mozna tohle by mohlo pomoc na kontrolu integrity systemu http://packages.debian.org/squeeze/debsums

6.3.2013 22:38 emmm
Rozbalit Rozbalit vše Re: neznámí uživatelé v /etc/shadow

zkusil jsem chrootkit a rkhunter a nic nenašli.

jak mohu na centosu ověřit integritu balíčků podobně jako s debsums? rpm -qvV * ?

6.3.2013 22:41 hermelin | skóre: 21
Rozbalit Rozbalit vše Re: neznámí uživatelé v /etc/shadow

rpm -Va > /root/system.checked

http://www.tldp.org/HOWTO/Security-Quickstart-HOWTO/intrusion.html

Předpokládám, že účty máš pouze lokální, takže nějaká obskurnost týkající se nelokálních účtů to není.

Pokud něco záhadného zapisuje do určitého souboru, zkusil bych to nejdřív najít přes fanotify. Asi nejsnažší, byť ne zrovna efektivní cesta je zkompilovat fatrace a spustit

cd /etc
fatrace -c -t | grep /etc/shadow

Jakmile nějaký proces něco udělá s /etc/shadow, tak se to vypíše i s pidem a jménem procesu. Není samozřejmě záruka, že to něco najde.

Dotaz: neznámí uživatelé v /etc/shadow

Odpovědi