[LUG.ro] Seguridad & Seguimiento de usuarios.

Alberto Ferrer lugro@lugro.org.ar
Wed, 17 Sep 2003 13:59:05 -0300 

Voy a poner el safe_dir de php en ON, capas es eso ;)
El mié, 17-09-2003 a las 13:06, Alejandro Gomez Fernandez escribió:
> Alberto: 
> 
> 	Tenes instalado php? Muchas veces corre con el usuario nobody y cuando
> subis un archivo (sea una foto para una pagina o algo DESDE una pagina
> en php) te crea un archivo temporal, generalmente en el /tmp.
> 	Tal vez estes un poco paranoico (cosa que en el tema de seguridad no
> esta mal).
> 
> 	Dependiendo del grado de paranoia que tengas (y voy a asumir que es
> como el mio) hace algo asi:
> 
> 		Generate un programa (en lo que quieras: particularmente usaria perl)
> que corra PERMANETEMENTE como si fuera un demonio, que chequee segundo a
> segundo el estado del /tmp. En cuanto encuentre alguna "variacion" o un
> archivo "sospechoso" (y aca tenes que usar el mismo metodo que usas
> manualmente para sospechar de un archivo) larga 2 procesos del sistema
> independientes: lsof y netstat. Obviamente envia la salida a archivos.
> Si te interesa aca podes hacer algo mas: o los analizas por programa en
> el momento o te envias un mensaje al celular mientras estas haciendo un
> snapshot del sistema, con todos los comandos que se te ocurran: ps axf,
> netstat, who, lsof, etc y todas las salidas las envias a un archivo.
> Ademas podes chequear los permisos de estos archivos (los sospechosos) y
> si en algun momento se hacen ejecutables podes tomar alguna accion como
> cambiar los permisos, chequear automaticamente la salida de los "ps axf"
> o algun otro de tu agrado, ver que procesos se disparan e incluso matar
> alguno no deseado o no esperado, en forma automatica. Podrias por ej,
> ver cual es la conexion que subio el archivo y matarl, ... aca se da
> para que te vueles tanto como quieras (dependiendo de lo que tengas que
> proteger).
> 		Si, esto es un poco peligroso, pero depende del grado de paranoia...
> 	
> 
> 
> 
> Alejandro.
> 			
> 
> 
> El mié, 17 de 09 de 2003 a las 12:18, ArinoO@bancobsf.com.ar escribió:
> > Que es lo que está subiendo y como sabes que el sistma no está almacenando
> > archivos temporales?
> > 
> > -----Mensaje original-----
> > De: Alberto Ferrer [mailto:albertof@barrahome.org]
> > Enviado el: miércoles 17 de septiembre de 2003 9:34
> > Para: lugro@lugro.org.ar
> > Asunto: [LUG.ro] Seguridad & Seguimiento de usuarios.
> > 
> > 
> > Hay alguna forma de monitorear en tiempo real lo que hace un usuario en el
> > sistema?.
> > 
> > Tiene que se de forma remota, tengo un usuario de sistema (nobody) alguien
> > sube cosas a /tmp, mire las formas conosidas y las no de como puede subirlo,
> > el server es de hosting y no lo encuentro (la forma de como sube el exploit)
> > todabia no llega a ejecutar nada, pero esta cerca, tengo todo actualizado al
> > dia, SSH, FTPD, MYSQL, SSL, APACHE, MYSQL, y otras mas, que puede ser?
> > 
> > 
> > _______________________________________________
> > Lugro mailing list
> > Lugro@lugro.org.ar
> > http://www.lugro.org.ar/mailman/listinfo/lugro
> > 
> > _______________________________________________
> > Lugro mailing list
> > Lugro@lugro.org.ar
> > http://www.lugro.org.ar/mailman/listinfo/lugro
> 
> _______________________________________________
> Lugro mailing list
> Lugro@lugro.org.ar
> http://www.lugro.org.ar/mailman/listinfo/lugro
> 
>