The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"анализ конфигов"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [ Отслеживать ]

"анализ конфигов"  +/
Сообщение от segods (ok) on 19-Янв-10, 14:09 
Помогите с анализом логов безопасности. Есть подозрения что меня поимели.
Но из-за неопотности я не могу понять из логов что норма, а что нет.
Так нашел 18 sqid фалов
Так нашел 43 suid фалов
И самое страшное 2638 файлов доступных на запись любому, причем это не мои фалы, не из юзердиров.
Привожу логи. К сожалению не нашел как их тут прикрепить файлами.


[root@evil security]# uname -a
Linux evil 2.6.31.6-166.fc12.i686.PAE #1 SMP Wed Dec 9 11:00:30 EST 2009 i686 i686 i386 GNU/Linux

== SGID =================================================================================
33470  100 -rwxr-sr-x   1 root     nobody     101372 Ноя  2 16:04 /usr/bin/ssh-agent
104476   20 -rwxr-sr-x   1 root     mail        17116 Июл 28 09:17 /usr/bin/lockfile
63450  156 -r-xr-s--x   1 root     games      157124 Окт 20 06:31 /usr/bin/gnomine
94287  184 -rwxr-sr-x   1 root     games      186416 Сен 10 20:20 /usr/bin/gnuchess
108820    8 -rwxr-sr-x   1 root     abrt         7104 Ноя 22 23:34 /usr/bin/abrt-pyhook-helper
123856  360 -rwxr-sr-x   1 root     screen     368308 Сен 25 16:39 /usr/bin/screen
26841   44 -rwsr-sr-x   1 root     root        44232 Ноя  5 19:13 /usr/bin/crontab
14086   36 -rwx--s--x   1 root     slocate     35644 Окт  5 17:13 /usr/bin/locate
108808   12 -r-xr-sr-x   1 root     tty         10900 Сен 17 21:12 /usr/bin/wall
109491   12 -rwxr-sr-x   1 root     tty         10128 Дек 15 16:43 /usr/bin/write
108413  348 -r-xr-s--x   1 root     games      352428 Окт 20 06:31 /usr/bin/iagno
14138  108 -r-xr-s--x   1 root     games      109036 Окт 20 06:31 /usr/bin/same-gnome
103795   20 -rwx--s--x   1 root     lock        17336 Дек  3 11:04 /usr/sbin/lockdev
27630  832 -rwxr-sr-x   1 root     smmsp      849656 Сен 16 22:55 /usr/sbin/sendmail.sendmail
61406   16 -rwx--s--x   1 root     utmp        13068 Дек  4 00:19 /usr/lib/vte/gnome-pty-helper
132640   60 -rwxr-sr-x   1 root     root        59780 Ноя 15 03:56 /usr/libexec/kde4/kdesud
12103    8 -rwx--s--x   1 root     utmp         6868 Июл 27 02:45 /usr/libexec/utempter/utempter
112469    8 -rwxr-sr-x   1 root     root         6152 Дек  5 18:14 /sbin/netreport


== SUID =================================================================================
55310   40 -rwsr-xr-x   1 root     root        36876 Июл 26 16:22 /bin/ping6
109215   32 -rwsr-xr-x   1 root     root        32712 Дек 11 21:44 /bin/su
500370   28 -rwsr-xr-x   1 root     root        25476 Ноя 19 22:23 /bin/fusermount
54509   44 -rwsr-xr-x   1 root     root        42072 Июл 26 16:22 /bin/ping
124280   48 -rwsr-xr-x   1 root     root        47524 Дек 15 16:43 /bin/umount
53722   72 -rwsr-xr-x   1 root     root        70348 Дек 15 16:43 /bin/mount
34075  176 -rwsr-xr-x   1 root     root       176780 Ноя 20 19:16 /usr/kerberos/bin/ksu
97612   16 -rws--x--x   1 root     root        16168 Дек 15 16:43 /usr/bin/chfn
81072    8 -rwsr-xr-x   1 root     root         6884 Дек 14 19:41 /usr/bin/kpac_dhcp_helper
305567  948 -rwsr-xr-x   1 root     root       969412 Авг 14  2007 /usr/bin/x0vncserver
33870  172 ---s--x--x   2 root     root       172832 Авг 21 15:24 /usr/bin/sudoedit
17570   20 -rwsr-xr-x   1 root     root        19500 Сен 16 22:41 /usr/bin/rcp
23993   24 -rwsr-xr-x   1 root     root        22648 Сен 14 16:14 /usr/bin/passwd
16763   60 -rwsr-xr-x   1 root     root        61228 Сен  7 19:04 /usr/bin/gpasswd
11322   32 -rwsr-xr-x   1 root     root        28968 Сен  7 19:04 /usr/bin/newgrp
305553 3856 -rwsr-xr-x   1 root     root      3947716 Авг 14  2007 /usr/bin/Xvnc
61415   16 -rws--x--x   1 root     root        14984 Дек 15 16:43 /usr/bin/chsh
105293 1888 -rws--x--x   1 root     root      1931580 Ноя  6 03:45 /usr/bin/Xorg
17541   12 -rwsr-xr-x   1 root     root         9192 Сен 16 22:41 /usr/bin/rsh
109445   52 -rwsr-xr-x   1 root     root        52140 Окт 13 17:45 /usr/bin/at
500344   60 -rwsr-xr-x   1 root     root        59980 Сен  7 19:04 /usr/bin/chage
17540   16 -rwsr-xr-x   1 root     root        14448 Сен 16 22:41 /usr/bin/rlogin
26841   44 -rwsr-sr-x   1 root     root        44232 Ноя  5 19:13 /usr/bin/crontab
500625  808 -rwsr-xr-x   1 root     root       823932 Ноя 11 20:20 /usr/bin/kppp
102401   16 -rwsr-xr-x   1 root     root        16104 Окт 20 17:43 /usr/bin/pkexec
33870  172 ---s--x--x   2 root     root       172832 Авг 21 15:24 /usr/bin/sudo
94737    8 -rwsr-xr-x   1 root     root         5872 Дек 14 19:41 /usr/bin/kgrantpty
24407    8 -rwsr-xr-x   1 root     root         7060 Дек  5 18:14 /usr/sbin/usernetctl
98477    8 -rwsr-x---   1 root     gnokii       7480 Сен  7 20:12 /usr/sbin/mgnokiidev
30588   12 -r-s--x---   1 root     apache      11124 Дек  3 18:26 /usr/sbin/suexec
103130    8 -rwsr-xr-x   1 root     root         6840 Окт 28 16:11 /usr/sbin/userisdnctl
24071   32 -rws--x--x   1 root     root        29880 Окт  5 23:10 /usr/sbin/userhelper
79173    8 -rwsr-xr-x   1 root     root         6312 Сен 28 19:56 /usr/sbin/ccreds_chkpwd
100318   60 -rwsr-xr-x   1 root     root        60944 Дек  4 18:27 /usr/lib/nspluginwrapper/plugin-config
97572   12 -rwsr-xr-x   1 root     root        12272 Окт 20 17:43 /usr/libexec/polkit-1/polkit-agent-helper-1
385944    8 -rwsr-xr-x   1 root     root         6592 Ноя 23 07:51 /usr/libexec/pulse/proximity-helper
274329    8 -rws--x--x   1 vcsa     root         8056 Дек 22 14:06 /usr/libexec/mc/cons.saver
79217   28 -rws--x--x   1 root     root        25271 Ноя  5 15:31 /usr/libexec/pt_chown
25890  208 -rwsr-xr-x   1 root     root       212540 Ноя  2 16:04 /usr/libexec/openssh/ssh-keysign
55831   32 -rwsr-xr-x   1 root     root        30700 Ноя  2 12:20 /sbin/unix_chkpwd
59113    8 -rwsr-xr-x   1 root     root         7668 Ноя  2 12:20 /sbin/pam_timestamp_check
27605  116 -rwsr-xr-x   1 root     root       116640 Дек 10 22:58 /sbin/mount.nfs
500366   52 -rwsr-x---   1 root     dbus        49452 Окт  8 03:06 /lib/dbus-1/dbus-daemon-launch-helper

Вот лог с файлами доступными на запись: http://webfile.ru/4241730

Скажите, плз, что нормально и  почему, а что нет?
Можноли исправить все это, не будет ли косяков если я поменяю права у этих фалов(уберу запись и suid/sgid)?
Хорошо что хоть не пересекаются фалы suid/sgid с доступными на запись всем!

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "анализ конфигов"  +/
Сообщение от Slavaz (ok) on 19-Янв-10, 15:32 
не трогай рабочую машину. При беглом взгляде ничего криминального нет. Разве что гномовые игрушки , шахматы  и Ягно вызывают интерес... Можешь удалить их - это без вреда для системы.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "анализ конфигов"  +/
Сообщение от segods (ok) on 19-Янв-10, 15:46 
>не трогай рабочую машину. При беглом взгляде ничего криминального нет. Разве что
>гномовые игрушки , шахматы  и Ягно вызывают интерес... Можешь удалить
>их - это без вреда для системы.

Дай строчки про игрушки гномовые. не найду где ты их заметил.
Вообще насколько страшно когда есть файлы доступные для записи всем?
Не один раз читал, что получив минимальный доступ народ сразу ищет файлы доступные на запись....

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "анализ конфигов"  +/
Сообщение от Slavaz (ok) on 19-Янв-10, 16:13 
>Дай строчки про игрушки гномовые. не найду где ты их заметил.

Сапёр: /usr/bin/gnomine
шахматы:/usr/bin/gnuchess
ягно:  /usr/bin/iagno
"тот же гном": /usr/bin/same-gnome

>Вообще насколько страшно когда есть файлы доступные для записи всем?

Смотря какие это файлы.Где они? В каких каталогах?

>Не один раз читал, что получив минимальный доступ народ сразу ищет файлы
>доступные на запись....

Народ народу рознь :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "анализ конфигов"  +/
Сообщение от OSO (ok) on 21-Янв-10, 22:49 
>Помогите с анализом логов безопасности. Есть подозрения что меня поимели.

Курите логи в Google

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "анализ конфигов"  +/
Сообщение от segods (ok) on 22-Янв-10, 19:25 
>>Помогите с анализом логов безопасности. Есть подозрения что меня поимели.
>
>Курите логи в Google

Спасибо, но я предпочетаю не наркотическую травку.
Но посылать гуглить каждый файл из списка в 2 000 записей, это подло)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру