Kirjoittaja Aihe: Sukulainen tietomurto [case closed]  (Luettu 5601 kertaa)

tippitappi

  • Käyttäjä
  • Viestejä: 9
    • Profiili
Sukulainen tietomurto [case closed]
« : 08.09.07 - klo:00.46 »
Olen jo pidemmän aikaa epäillyt,että tällä koneella on silloin tällöin joku toinenkin.
Ne on pelkkiä "musta tuntuu" juttuja,mutta kumminkin kohdistuneet tiettyyn ihmiseen.
Kyseisellä ihmisellä on ollut pääsy koneelle ilman valvontaa aina välillä,root salasana ym. on tosin ollut piilossa,mutta perustiedoilla ja jos aikaa on,pääsee kai suht helposti "testaamaan" taitojaan koneelle murtautumisessa?

Vaihdoin tänään asdl/palomuurin salasanan ja nollasin sen asetukset. Lisäks kaikkien salasanojen ja käyttäjätunnuksien vaihto.
Kas kummaa,semmonen "tökkiminen" sivujen latauksessa ja muutenkin mitä olen ihmetellyt taas viimeaikoina loppui samantien 

Windows-puolella pystyisin jäljittämään,että mistä moinen,mut Debianissa ei taidot riitä.
En pysty katsomaan edes prosessilistaa niin,että tietäisin onko siellä mitään ylimääräistä.
Löytyiskö jotai suht helppokäyttöistä verkonseurantaan käytettävää ohjelmaa millä saisin pojan kiinni?

Uteliaisuuttaan varmaan testailee koneelle murtautumista,mut ei kyllä tarvis katsella toisten yksityisasioita...
« Viimeksi muokattu: 16.09.07 - klo:22.17 kirjoittanut Petri Järvisalo »

Petri Järvisalo

  • Käyttäjä
  • Viestejä: 579
    • Profiili
    • Kotisivut
Vs: Sukulainen tietomurto
« Vastaus #1 : 08.09.07 - klo:03.40 »
no ensimmäiseksi kannattaa katsoa /var/log/auth.log
sieltä näkee kuka on vieraillut ja milloin
Lisää [ratkaistu] ketjun ensimmäisen viestin otsikkoon, kun ongelma on ratkennut.

_Pete_

  • Käyttäjä
  • Viestejä: 1845
  • Fufufuuffuuu
    • Profiili
Vs: Sukulainen tietomurto
« Vastaus #2 : 08.09.07 - klo:07.33 »
no ensimmäiseksi kannattaa katsoa /var/log/auth.log
sieltä näkee kuka on vieraillut ja milloin

Sikäli mikäli tuota ei ole muokattu.


Fadoski

  • Käyttäjä
  • Viestejä: 12
    • Profiili
Vs: Sukulainen tietomurto
« Vastaus #3 : 08.09.07 - klo:12.47 »
Kannattaa tarkastaa järjestelmä myös rootkittien varalta. Eli kannattaa asentaa chkrootkit ja rkhunter (molemmat taitavat löytyä pakettivarastosta)
Paras nuo tietysti olisi ajaa joltain LiveCDltä (esim HELIX). Ainahan on mahdollisuus että binäärejä on korvailtu. Tai että ytimeen on ladattu tiedostoja/verkkoyhteyksiä ym. piilotteleva moduuli.

Ja totta tosiaan: logit kannattaa tarkistaa. Kannattaa myös selata läpi käyttäjien .bash_history (löytyy käyttäjän kotikansiosta) josta näkee viimeisimmät komennot jotka on ajettu.

Muutama hyödyllinen komento:

Koodia: [Valitse]
ps aux
- Näyttää kaikki prosessit
Koodia: [Valitse]
netstat -natup

-Antaa tietoa verkkoyhteyksistä
Koodia: [Valitse]
lsof -i
-Näyttää millä prosesseilla on verkkoyhteyksiä auki
Koodia: [Valitse]
nmap -v -p1-65535 localhost
-Käy läpi koneen kaikki 65535 mahdollisesti auki olevaa porttia.

Mutta tosiaan, jos ps, netstat ja muut ovat korvattu troijalaisversioilla, eivät nuo komennot anna luotettavia vastauksia.

EDIT: Verkkoyhteyksiä voit seurata esim. tcpdumpilla tai graafisesti Wiresharkilla. Nämä ohjelmat näyttävät kaikki paketit mitkä johtoa pitkin kulkee :P
« Viimeksi muokattu: 08.09.07 - klo:17.46 kirjoittanut Fadoski »

tippitappi

  • Käyttäjä
  • Viestejä: 9
    • Profiili
Vs: Sukulainen tietomurto
« Vastaus #4 : 08.09.07 - klo:19.52 »
Mitähän esimerkiksi tässä on tehty?

update-rc.d
cd /etc/rc2.d
dir
cd S20firestarter
nano S20firestarter

En ole ikinä komentoriviltä tehnyt tuollaista,muistaisin kyllä jos olisin.

Ja jos joku osaisi neuvoa,niin mistä logista näkee milloin se GrDesktop on asennettu?

Fadoski

  • Käyttäjä
  • Viestejä: 12
    • Profiili
Vs: Sukulainen tietomurto
« Vastaus #5 : 08.09.07 - klo:20.12 »
GrDesktop:
grdesktop is a GNOME frontend, for the remote desktop client (rdesktop).
It can save several connections (including their options), and browse the network for available terminal servers.

Tuossa on muokattu selvästi firestarterin initscriptiä... Vaikea sanoa tosin mitä sinne on muutettu.
Jos haluat olla varma että järjestelmä on täysin puhdas, suosittelen uudelleenasennusta.

fingerling

  • Käyttäjä
  • Viestejä: 200
  • Linux user #460757
    • Profiili
Vs: Sukulainen tietomurto
« Vastaus #6 : 08.09.07 - klo:20.29 »
voisit ottaa kiinni itse teossa tekijän jos vaikka saisit hänen ip:n. Tarkoituksena on warmaan ollut vakoileminen ja sun koneen kautta tiedostojen lataaminen
Kun sekä ylläpitäjä että käyttäjä on sama henkilö, ajaudutaan skitsofreniaan. -Asmo Koskinen

lompolo

  • Käyttäjä
  • Viestejä: 852
    • Profiili
Vs: Sukulainen tietomurto
« Vastaus #7 : 08.09.07 - klo:22.50 »
Lainaus
Mitähän esimerkiksi tässä on tehty?

Lainaus
Tuossa on muokattu selvästi firestarterin initscriptiä... Vaikea sanoa tosin mitä sinne on muutettu.
Jos haluat olla varma että järjestelmä on täysin puhdas, suosittelen uudelleenasennusta.

Jep Firestarter on muuten ohjelma porttien aukaisemiseen ja sulkemiseen. Muutokset selviävät ehkä ottamalla kopio muutetusta tiedostosta. Poistamalla sen jälkeen firestarter asetustiedostoineen (purge). Asentamalla sen jälkeen firestarter uudestaan ja vertailemalla kyseistä tiedostoa otettuun kopioon.

Lainaus
Ja jos joku osaisi neuvoa,niin mistä logista näkee milloin se GrDesktop on asennettu?

Tiedosto on /var/log/dpkg.log tai dpkg.1.log
Koodia: [Valitse]
cat /var/log/dpkg.log |grep -i grdesktopTämä hakee rivejä, missä lukee grdesktop. Isoilla ja pienillä kirjaimilla ei ole väliä.

Koodia: [Valitse]
laston myös kätevä komento

Fadoski

  • Käyttäjä
  • Viestejä: 12
    • Profiili
Vs: Sukulainen tietomurto
« Vastaus #8 : 09.09.07 - klo:10.54 »
Lainaus
Jep Firestarter on muuten ohjelma porttien aukaisemiseen ja sulkemiseen. Muutokset selviävät ehkä ottamalla kopio muutetusta tiedostosta. Poistamalla sen jälkeen firestarter asetustiedostoineen (purge). Asentamalla sen jälkeen firestarter uudestaan ja vertailemalla kyseistä tiedostoa otettuun kopioon.

Totta! Enpä tullut itse ajatelleeksi :)

Lainaus
voisit ottaa kiinni itse teossa tekijän jos vaikka saisit hänen ip:n. Tarkoituksena on warmaan ollut vakoileminen ja sun koneen kautta tiedostojen lataaminen

Totta tämäkin, jos remote desktop on todella päällä ja kuuntelee jossain portissa, voisit avata tämän portin palomuuristasi ja laittaa tcpdumpin tai wiresharkin kaappaamaan tähän remote desktopin porttiin suuntautuvia paketteja.

tippitappi

  • Käyttäjä
  • Viestejä: 9
    • Profiili
Vs: Sukulainen tietomurto
« Vastaus #9 : 09.09.07 - klo:18.44 »
Minä sitten eilen vähän hätäilin,ja menin poistamaan sen grdesktopin  :-[

Olisi vaan pitänyt poistaa siitä joku ajettava tiedosto,ja käydä sen ohjelman tekemät logit läpi.
Nyt on "todisteet" hukattu,ja alkaa tuntumaan,että jos minä olenkin vaan vähän vainoharhainen tämän asian suhteen...

Oli se GrD tehnyt toisen käyttäjän kansioon jotain asetustiedostoja,mitä en sitten malttanut katsoa root:ttina vaan poistin koko ohjelman asetustiedostoineen.

Et se sitten tästä jutusta.