GoldenLine
Zaloguj się
Ernest Gulik

Ernest Gulik zmiany

Temat: Nagrywaj ssh i schowaj pod procesy

Witam,

Ustawilem sobie na serwerku nagrywanie sesji ssh za pomoca kilku skryptow i dziala to dobrze tylko chcialbym teraz schowac wszystkie podprocesy. Prubowalem za pomoca tego skrypciku ale musze troche poduczyc sie C. Zeby nie wrzucac wszystkiego tutaj, opisalem to na google site:
https://sites.google.com/site/wozoopalinux/home/securit...

Moj goal tutaj jest by monitorowac input przez ssh ale zeby moj programik i jego dzieci nie byly widoczne jak ktos sobie sprawdzi ps. Dzieki za kazda uwage lub pomoc.

/*

to complie:
# gcc zonk1.c -o sshd1

*/

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/wait.h>
#include <sys/types.h>

int main(int argc, char **argv) {
int st = 0;
int pid = fork();

char *user;

user = getenv("USERNAME");

/* copy new name to child process */
if(pid == 0) {

strcpy(argv[0], "ssh:" );

system("/usr/local/sbin/record");

}

wait(&st);
return 0;
}

Dzieki
Link do wypowiedziLink
Stanisław P.

Stanisław P. Software designer

Temat: Nagrywaj ssh i schowaj pod procesy

Czyli chcesz nagrywać wychodzące połączenie ssh udając że wszystko jest ok i chowając przed użytkownikami informacje że używają "Unsecure SHell"? .... nie
Link do wypowiedziLink
Ernest Gulik

Ernest Gulik zmiany

Temat: Nagrywaj ssh i schowaj pod procesy

Stanisław P.:
Czyli chcesz nagrywać wychodzące połączenie ssh udając że wszystko jest ok i chowając przed użytkownikami informacje że używają "Unsecure SHell"? .... nie

Nie.
Chce miec osobny log kiedy attacker podlaczy sie do systemu i by go nie mogl zlokalizowac. Mozna to okreslic o osobny bakup pliku historii, chociaz nie do konca. Na serwerze kazdy ma swoj profil i plik history sie zapisuje, wiec nic nie jest chowane przed uzytkownikami bo kazdy jest tego swiadomy a chodzi tylko o to ze jak osobnik sie podlaczy to bedzie zacieral slady i ten plik prawdopodnie wyczysci i inne miejsca, wiec to nie jest zadne chowanie przed uzytkownikami tylko prze intruzem i pruba zebrania informacji do analizy po przebytym ataku albo nawet podczas.

Ten maly projekcik potrzebuje troche zmian ale mysle ze to dobry poczatek.

Dzieki za uwage.
Link do wypowiedziLink
Marcin Rybak

Marcin Rybak Administrator

Temat: Nagrywaj ssh i schowaj pod procesy

to może lepiej zamiast odkrywać Amerykę na nowo - wrzuć sobie jakieś kippo czy coś (ssh honeypot'a) a zaraz po tym weź przeglądnij słownik ortograficzny pod kątem słowa "próba".
Link do wypowiedziLink

konto usunięte

Temat: Nagrywaj ssh i schowaj pod procesy

Mam wrażenie, że kippo idzie w trochę innym kierunku niż chciał autor wątku.
Ja poszedłbym na łatwiznę i rozważyłbym snoopy lub, szczególnie jeśli to redhatopodobne, reguł auditd/auditctl.
Link do wypowiedziLink
Maciej Natan Milaszewski

Maciej Natan Milaszewski Kierownik dzialu IT
/ sys administrator

Temat: Nagrywaj ssh i schowaj pod procesy

tak jak mowił moj przedmowca auditd
Link do wypowiedziLink
Stanisław P.

Stanisław P. Software designer

Temat: Nagrywaj ssh i schowaj pod procesy

Popieram, audit. Szczególnie, że jeśli ktoś rzeczywiście włamie się przez exploit na sshd, to shell nie wykona się w standardowy sposób, więc cały projekt na nic. Zamiast odpalić LocalCommand sshd w którymś momencie przed / w trakcie weryfikacji usera zrobi `exec /bin/sh` - włamywaczy w ten sposób nie przechwycisz.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

"Kilka" sesji ssh naraz




Wyślij zaproszenie do
Anuluj