[LUG.ro] Seguridad & Seguimiento de usuarios.

Federico Wiecko lugro@lugro.org.ar
18 Sep 2003 01:13:59 -0300 

Una cosa mas a todo lo que te dijeron, chequea los puertos que tenes
abiertos hacia afuera (con nmap o nc) y deshabilita todos aquellos que
no consideres necesarios. Podes ver que programa esta asociado con que
puerto usando lsof o netstat.
Fijate ademas los permisos (lsattr ) de los binarios en /bin, /usr/bin
(comparalos con otra distro = a la tuya) ...generalmente cuando
modifican un binario le cambian sus permisos originales para hacerlos
inmutables.

Suerte !

El mié, 17-09-2003 a las 13:59, Alberto Ferrer escribió:
> Voy a poner el safe_dir de php en ON, capas es eso ;)
> El mié, 17-09-2003 a las 13:06, Alejandro Gomez Fernandez escribió:
> > Alberto: 
> > 
> > 	Tenes instalado php? Muchas veces corre con el usuario nobody y cuando
> > subis un archivo (sea una foto para una pagina o algo DESDE una pagina
> > en php) te crea un archivo temporal, generalmente en el /tmp.
> > 	Tal vez estes un poco paranoico (cosa que en el tema de seguridad no
> > esta mal).
> > 
> > 	Dependiendo del grado de paranoia que tengas (y voy a asumir que es
> > como el mio) hace algo asi:
> > 
> > 		Generate un programa (en lo que quieras: particularmente usaria perl)
> > que corra PERMANETEMENTE como si fuera un demonio, que chequee segundo a
> > segundo el estado del /tmp. En cuanto encuentre alguna "variacion" o un
> > archivo "sospechoso" (y aca tenes que usar el mismo metodo que usas
> > manualmente para sospechar de un archivo) larga 2 procesos del sistema
> > independientes: lsof y netstat. Obviamente envia la salida a archivos.
> > Si te interesa aca podes hacer algo mas: o los analizas por programa en
> > el momento o te envias un mensaje al celular mientras estas haciendo un
> > snapshot del sistema, con todos los comandos que se te ocurran: ps axf,
> > netstat, who, lsof, etc y todas las salidas las envias a un archivo.
> > Ademas podes chequear los permisos de estos archivos (los sospechosos) y
> > si en algun momento se hacen ejecutables podes tomar alguna accion como
> > cambiar los permisos, chequear automaticamente la salida de los "ps axf"
> > o algun otro de tu agrado, ver que procesos se disparan e incluso matar
> > alguno no deseado o no esperado, en forma automatica. Podrias por ej,
> > ver cual es la conexion que subio el archivo y matarl, ... aca se da
> > para que te vueles tanto como quieras (dependiendo de lo que tengas que
> > proteger).
> > 		Si, esto es un poco peligroso, pero depende del grado de paranoia...
> > 	
> > 
> > 
> > 
> > Alejandro.
> > 			
> > 
> > 
> > El mié, 17 de 09 de 2003 a las 12:18, ArinoO@bancobsf.com.ar escribió:
> > > Que es lo que está subiendo y como sabes que el sistma no está almacenando
> > > archivos temporales?
> > > 
> > > -----Mensaje original-----
> > > De: Alberto Ferrer [mailto:albertof@barrahome.org]
> > > Enviado el: miércoles 17 de septiembre de 2003 9:34
> > > Para: lugro@lugro.org.ar
> > > Asunto: [LUG.ro] Seguridad & Seguimiento de usuarios.
> > > 
> > > 
> > > Hay alguna forma de monitorear en tiempo real lo que hace un usuario en el
> > > sistema?.
> > > 
> > > Tiene que se de forma remota, tengo un usuario de sistema (nobody) alguien
> > > sube cosas a /tmp, mire las formas conosidas y las no de como puede subirlo,
> > > el server es de hosting y no lo encuentro (la forma de como sube el exploit)
> > > todabia no llega a ejecutar nada, pero esta cerca, tengo todo actualizado al
> > > dia, SSH, FTPD, MYSQL, SSL, APACHE, MYSQL, y otras mas, que puede ser?
> > > 
> > > 
> > > _______________________________________________
> > > Lugro mailing list
> > > Lugro@lugro.org.ar
> > > http://www.lugro.org.ar/mailman/listinfo/lugro
> > > 
> > > _______________________________________________
> > > Lugro mailing list
> > > Lugro@lugro.org.ar
> > > http://www.lugro.org.ar/mailman/listinfo/lugro
> > 
> > _______________________________________________
> > Lugro mailing list
> > Lugro@lugro.org.ar
> > http://www.lugro.org.ar/mailman/listinfo/lugro
> > 
> > 
> 
> 
> _______________________________________________
> Lugro mailing list
> Lugro@lugro.org.ar
> http://www.lugro.org.ar/mailman/listinfo/lugro
>