Bajan Ferenc Ãrta:
Ezt találtam:
/tmp/.scan/ss VÃrus azonosÃtva Linux/Shark.A
/tmp/.scan/ssh-scan VÃrus azonosÃtva Linux/Sshscan.A
Van a /tmp könyvtárban egy ., nevű!!! mappa, abban vannak ilyenek:
/tmp/.,:
összesen 1264
-rwxr-xr-x 1 tanar tanarok 447156 2005-10-19 19:42 -bash
-rwx--x--x 1 tanar tanarok 22465 2001-06-13 12:03 mech.help
-rw-r--r-- 1 tanar tanarok 1004 2010-02-12 09:00 mech.levels
-rw------- 1 tanar tanarok 6 2010-02-12 01:03 mech.pid
-rw-r--r-- 1 tanar tanarok 673 2010-02-12 09:00 mech.session
-rw-r--r-- 1 tanar tanarok 1265 2010-02-10 23:04 mech.set
drwx--x--x 2 tanar tanarok 4096 2004-05-28 06:29 randfiles
-rwxr-xr-x 1 tanar tanarok 361279 2006-04-08 13:05 -sh
-rwx--x--x 1 tanar tanarok 419068 2006-04-08 13:05 -sshd
/tmp/.,/randfiles:
összesen 92
-rw------- 1 tanar tanarok 5195 2001-04-07 04:38 randaway.e
-rw------- 1 tanar tanarok 3982 2001-04-07 04:38 randinsult.e
-rw------- 1 tanar tanarok 830 2001-04-07 04:38 randkicks.e
-rw------- 1 tanar tanarok 519 2001-04-07 04:38 randnicks.e
-rw------- 1 tanar tanarok 2495 2001-04-07 04:38 randpickup.e
-rw------- 1 tanar tanarok 55316 2001-04-07 04:38 randsay.e
-rw------- 1 tanar tanarok 3651 2001-04-07 04:38 randsignoff.e
-rw------- 1 tanar tanarok 1465 2001-04-07 04:38 randversions.e
Elég-e, ha a /tmp mappa partÃciójának noexec attribútumot adok,
letörlöm ezeket a cuccosokat és a felhasználónak (aki használja, arról
nem tudom elképzelni, hogy ilyen dolgokat elhelyez) lecserélem a
jelszavát? Egyébként a kollegina csak sambán jár be, a felhasználónak
semmilyen shell sincs beállÃtva, úgyhogy utána kell még néznem, hol
jutott be az, aki ezeket odarakta, ssh-ra gyanaxom.
Szia!
Elso korben egy teljes rendszerellenorzest kene csinalni (rkhunter,
lynis, chkrootkit, tripwire, stb), logok atnyalazasa. Aztan annak
fuggvenyeben, ha nem lett "ementali sajt" a rendszer, befoltozni a
lyukat. Persze, ha mar nem erdemes toldozni foltzni (es ki tudja meg
talalalsz-e minden lyukat), akkor inkabb reinstall, es a backupbol (ha
volt) visszaallitani a dolgokat. Majd szigoritani a biztonsagi
beallitasokon. Pl. ajanlott a noexec, nosuid, nodev parameterekkel
csatolni a particiokat. Minden felhasznalo a megfelelo jogokat adni.
Amire nem szukseges, onnan levenni a setuid es setguid jogokat. Majd
tobb helyen, tobb modon is lehet korlatozni a felhasznalokat, hogy
honnan lephetnek be. Pl. ssh konfigban korlatozni, hogy milyen
felhasznaloval lehet belepni, es csak kulccsos authentikacioval, csak
megbizthato gepekrol. Tovabba lehet meg varialni az /etc/hosts.allow es
/etc/hosts.deny fajlokkal is. Vagy egy jol beallitott iptables melle
fail2ban, tcpwrapper, stb. hasznalata.
_______________________________________________
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.1let.hu/illemtan.html
Ügyfélszolgálat FAQ: http://www.kozhalo2.hu/Faq.aspx
