Sukulainen tietomurto [case closed]

[tippitappi]

Olen jo pidemmän aikaa epäillyt,että tällä koneella on silloin tällöin joku toinenkin.
Ne on pelkkiä "musta tuntuu" juttuja,mutta kumminkin kohdistuneet tiettyyn ihmiseen.
Kyseisellä ihmisellä on ollut pääsy koneelle ilman valvontaa aina välillä,root salasana ym. on tosin ollut piilossa,mutta perustiedoilla ja jos aikaa on,pääsee kai suht helposti "testaamaan" taitojaan koneelle murtautumisessa?

Vaihdoin tänään asdl/palomuurin salasanan ja nollasin sen asetukset. Lisäks kaikkien salasanojen ja käyttäjätunnuksien vaihto.
Kas kummaa,semmonen "tökkiminen" sivujen latauksessa ja muutenkin mitä olen ihmetellyt taas viimeaikoina loppui samantien 

Windows-puolella pystyisin jäljittämään,että mistä moinen,mut Debianissa ei taidot riitä.
En pysty katsomaan edes prosessilistaa niin,että tietäisin onko siellä mitään ylimääräistä.
Löytyiskö jotai suht helppokäyttöistä verkonseurantaan käytettävää ohjelmaa millä saisin pojan kiinni?

Uteliaisuuttaan varmaan testailee koneelle murtautumista,mut ei kyllä tarvis katsella toisten yksityisasioita...

[Petri Järvisalo]

no ensimmäiseksi kannattaa katsoa /var/log/auth.log
sieltä näkee kuka on vieraillut ja milloin

[_Pete_]

no ensimmäiseksi kannattaa katsoa /var/log/auth.log
sieltä näkee kuka on vieraillut ja milloin

Sikäli mikäli tuota ei ole muokattu.

[Fadoski]

Kannattaa tarkastaa järjestelmä myös rootkittien varalta. Eli kannattaa asentaa chkrootkit ja rkhunter (molemmat taitavat löytyä pakettivarastosta)
Paras nuo tietysti olisi ajaa joltain LiveCDltä (esim HELIX). Ainahan on mahdollisuus että binäärejä on korvailtu. Tai että ytimeen on ladattu tiedostoja/verkkoyhteyksiä ym. piilotteleva moduuli.

Ja totta tosiaan: logit kannattaa tarkistaa. Kannattaa myös selata läpi käyttäjien .bash_history (löytyy käyttäjän kotikansiosta) josta näkee viimeisimmät komennot jotka on ajettu.

Muutama hyödyllinen komento:

Koodia: [Valitse]

ps aux
- Näyttää kaikki prosessit

Koodia: [Valitse]

netstat -natup

-Antaa tietoa verkkoyhteyksistä

Koodia: [Valitse]

lsof -i
-Näyttää millä prosesseilla on verkkoyhteyksiä auki

Koodia: [Valitse]

nmap -v -p1-65535 localhost
-Käy läpi koneen kaikki 65535 mahdollisesti auki olevaa porttia.

Mutta tosiaan, jos ps, netstat ja muut ovat korvattu troijalaisversioilla, eivät nuo komennot anna luotettavia vastauksia.

EDIT: Verkkoyhteyksiä voit seurata esim. tcpdumpilla tai graafisesti Wiresharkilla. Nämä ohjelmat näyttävät kaikki paketit mitkä johtoa pitkin kulkee

[tippitappi]

Mitähän esimerkiksi tässä on tehty?

update-rc.d
cd /etc/rc2.d
dir
cd S20firestarter
nano S20firestarter

En ole ikinä komentoriviltä tehnyt tuollaista,muistaisin kyllä jos olisin.

Ja jos joku osaisi neuvoa,niin mistä logista näkee milloin se GrDesktop on asennettu?

[Fadoski]

GrDesktop:
grdesktop is a GNOME frontend, for the remote desktop client (rdesktop).
It can save several connections (including their options), and browse the network for available terminal servers.

Tuossa on muokattu selvästi firestarterin initscriptiä... Vaikea sanoa tosin mitä sinne on muutettu.
Jos haluat olla varma että järjestelmä on täysin puhdas, suosittelen uudelleenasennusta.

[fingerling]

voisit ottaa kiinni itse teossa tekijän jos vaikka saisit hänen ip:n. Tarkoituksena on warmaan ollut vakoileminen ja sun koneen kautta tiedostojen lataaminen

[lompolo]

Mitähän esimerkiksi tässä on tehty?

Tuossa on muokattu selvästi firestarterin initscriptiä... Vaikea sanoa tosin mitä sinne on muutettu.
Jos haluat olla varma että järjestelmä on täysin puhdas, suosittelen uudelleenasennusta.

Jep Firestarter on muuten ohjelma porttien aukaisemiseen ja sulkemiseen. Muutokset selviävät ehkä ottamalla kopio muutetusta tiedostosta. Poistamalla sen jälkeen firestarter asetustiedostoineen (purge). Asentamalla sen jälkeen firestarter uudestaan ja vertailemalla kyseistä tiedostoa otettuun kopioon.

Ja jos joku osaisi neuvoa,niin mistä logista näkee milloin se GrDesktop on asennettu?

Tiedosto on /var/log/dpkg.log tai dpkg.1.log

Koodia: [Valitse]

cat /var/log/dpkg.log |grep -i grdesktopTämä hakee rivejä, missä lukee grdesktop. Isoilla ja pienillä kirjaimilla ei ole väliä.

Koodia: [Valitse]

laston myös kätevä komento

[Fadoski]

Jep Firestarter on muuten ohjelma porttien aukaisemiseen ja sulkemiseen. Muutokset selviävät ehkä ottamalla kopio muutetusta tiedostosta. Poistamalla sen jälkeen firestarter asetustiedostoineen (purge). Asentamalla sen jälkeen firestarter uudestaan ja vertailemalla kyseistä tiedostoa otettuun kopioon.

Totta! Enpä tullut itse ajatelleeksi

voisit ottaa kiinni itse teossa tekijän jos vaikka saisit hänen ip:n. Tarkoituksena on warmaan ollut vakoileminen ja sun koneen kautta tiedostojen lataaminen

Totta tämäkin, jos remote desktop on todella päällä ja kuuntelee jossain portissa, voisit avata tämän portin palomuuristasi ja laittaa tcpdumpin tai wiresharkin kaappaamaan tähän remote desktopin porttiin suuntautuvia paketteja.

[tippitappi]

Minä sitten eilen vähän hätäilin,ja menin poistamaan sen grdesktopin 

Olisi vaan pitänyt poistaa siitä joku ajettava tiedosto,ja käydä sen ohjelman tekemät logit läpi.
Nyt on "todisteet" hukattu,ja alkaa tuntumaan,että jos minä olenkin vaan vähän vainoharhainen tämän asian suhteen...

Oli se GrD tehnyt toisen käyttäjän kansioon jotain asetustiedostoja,mitä en sitten malttanut katsoa root:ttina vaan poistin koko ohjelman asetustiedostoineen.

Et se sitten tästä jutusta.