[LUG.ro] Seguridad & Seguimiento de usuarios.

Alejandro Gomez Fernandez lugro@lugro.org.ar
17 Sep 2003 13:06:02 -0300 

Alberto: 

	Tenes instalado php? Muchas veces corre con el usuario nobody y cuando
subis un archivo (sea una foto para una pagina o algo DESDE una pagina
en php) te crea un archivo temporal, generalmente en el /tmp.
	Tal vez estes un poco paranoico (cosa que en el tema de seguridad no
esta mal).

	Dependiendo del grado de paranoia que tengas (y voy a asumir que es
como el mio) hace algo asi:

		Generate un programa (en lo que quieras: particularmente usaria perl)
que corra PERMANETEMENTE como si fuera un demonio, que chequee segundo a
segundo el estado del /tmp. En cuanto encuentre alguna "variacion" o un
archivo "sospechoso" (y aca tenes que usar el mismo metodo que usas
manualmente para sospechar de un archivo) larga 2 procesos del sistema
independientes: lsof y netstat. Obviamente envia la salida a archivos.
Si te interesa aca podes hacer algo mas: o los analizas por programa en
el momento o te envias un mensaje al celular mientras estas haciendo un
snapshot del sistema, con todos los comandos que se te ocurran: ps axf,
netstat, who, lsof, etc y todas las salidas las envias a un archivo.
Ademas podes chequear los permisos de estos archivos (los sospechosos) y
si en algun momento se hacen ejecutables podes tomar alguna accion como
cambiar los permisos, chequear automaticamente la salida de los "ps axf"
o algun otro de tu agrado, ver que procesos se disparan e incluso matar
alguno no deseado o no esperado, en forma automatica. Podrias por ej,
ver cual es la conexion que subio el archivo y matarl, ... aca se da
para que te vueles tanto como quieras (dependiendo de lo que tengas que
proteger).
		Si, esto es un poco peligroso, pero depende del grado de paranoia...
	



Alejandro.
			


El mié, 17 de 09 de 2003 a las 12:18, ArinoO@bancobsf.com.ar escribió:
> Que es lo que está subiendo y como sabes que el sistma no está almacenando
> archivos temporales?
> 
> -----Mensaje original-----
> De: Alberto Ferrer [mailto:albertof@barrahome.org]
> Enviado el: miércoles 17 de septiembre de 2003 9:34
> Para: lugro@lugro.org.ar
> Asunto: [LUG.ro] Seguridad & Seguimiento de usuarios.
> 
> 
> Hay alguna forma de monitorear en tiempo real lo que hace un usuario en el
> sistema?.
> 
> Tiene que se de forma remota, tengo un usuario de sistema (nobody) alguien
> sube cosas a /tmp, mire las formas conosidas y las no de como puede subirlo,
> el server es de hosting y no lo encuentro (la forma de como sube el exploit)
> todabia no llega a ejecutar nada, pero esta cerca, tengo todo actualizado al
> dia, SSH, FTPD, MYSQL, SSL, APACHE, MYSQL, y otras mas, que puede ser?
> 
> 
> _______________________________________________
> Lugro mailing list
> Lugro@lugro.org.ar
> http://www.lugro.org.ar/mailman/listinfo/lugro
> 
> _______________________________________________
> Lugro mailing list
> Lugro@lugro.org.ar
> http://www.lugro.org.ar/mailman/listinfo/lugro