Hjemmeeksamen, ubeskyttet Ubuntu på nett

Nevyn · 19. desember 2006

Hei.

Jeg sitter for øyeblikket og jobber med hjemmeeksamen i ett fag som heter Computer Forensics. Vi har fått utdelt ett VMware image av en Ubuntu maskin som har stått ubeskyttet og upatchet på Internett en del timer, sammen med en del forskjellige tjenester kjørende. Vår oppgave er å undersøke om det har skjedd noe med maskinen, og hvis så er tilfellet hva som har skjedd. Det er ingen garanti for at det faktisk har skjedd noe.

Oppsettet jeg bruker er som følger:

I VMware bruker jeg en versjon av Knoppix som heter for Helix. Dette er en LiveCD som er beregnet på å drive dataetterforskning. Når denne har startet opp så mounter jeg VMware imaget som read-only. Desverre så har det vist seg at flere av de verktøyene som følger med Helix ikke fungere som de skal, eller ikke gir noe resultater. Så jeg har endt opp med manuell lesing av loggene i /var/log/. Ut i fra disse loggene har jeg satt sammen følgende tidslinje:

Klikk for å se/fjerne innholdet nedenfor

Ca 13:30 27. November - Systemet blir installert

13:51 - System reboot (wtmp)

16:06 - Bruker luser logget på pseudo terminal slave /0 (wtmp)

16:07 - Bruker luser logget av pseudo terminal slave /0 (wtmp)

16:09 - Bruker luser logget på pseudo terminal slave /0 (wtmp)

16:09 - Bruker luser logget av pseudo terminal slave /0 (wtmp)

16:10 - Bruker luser logget på pseudo terminal slave /0 (wtmp)

16:16 - Bruker luser logget av pseudo terminal slave /0 (wtmp)

16:45 - System reboot (wtmp)

16:48 - Bruker luser logget på pseudo terminal slave /0 (wtmp)

16:52 - Bruker luser logget av pseudo terminal slave /0 (wtmp)

16:52 - System reboot (wtmp)

16:53 - Bruker luser logget på pseudo terminal slave /0 (wtmp)

17:53 - Bruker luser logget av pseudo terminal slave /0 (wtmp)

18:04 - System reboot (wtmp)

18:10 - System reboot (wtmp)

18:12 - Bruker luser logget på pseudo terminal slave /0 (wtmp)

18:12 - Bruker luser logget av pseudo terminal slave /0 (wtmp)

18:13 - Bruker luser logget på pseudo terminal slave /0 (wtmp)

18:13 - Bruker luser logget av pseudo terminal slave /0 (wtmp)

18:16 - System reboot (wtmp)

18:19 - Bruker luser logget på pseudo terminal slave /0 (wtmp)

18:29 - Bruker luser logget av pseudo terminal slave /0 (wtmp)

18:30 - Bruker luser logget på pseudo terminal slave /0 (wtmp)

18:32 - Bruker luser logget av pseudo terminal slave /0 (wtmp)

18:40 - System reboot (wtmp)

18:46 - Bruker luser logget på pseudo terminal slave /0 (wtmp)

19:39 - Bruker luser logget av pseudo terminal slave /0 (wtmp)

19:46 - Bruker luser logget på pseudo terminal slave /0 (wtmp)

19:47 - Bruker luser logget av pseudo terminal slave /0 (wtmp)

19:48 - Bruker luser logget på pseudo terminal slave /0 (wtmp)

20:41:45 - Bruker mysql opprettes som del av mysql installsjon (auth.log)

20:42:08 - mysql starter opp (daemon.log)

20:42:32 - mysql restartet (daemon.log)

20:44:32 - mysql stenger ned (daemon.log)

20:44:59 - mysql starter opp (daemon.log)

20:45:14 - mysql restartet (daemon.log)

20:55:29 - Apache/2.0.55 konfigurert, fortsetter med normale operasjoner (apache2/error.log)

20:55:38 - Apache stenger ned (apache2/error.log)

20:55:40 - Apache med PHP 5.1.2 starter opp (apache2/error.log)

21:07:14 - Apache stenger ned (apache2/error.log)

21:07:16 - Apache med PHP 4.4.2 starter opp (apache2/error.log)

21:20:30 - rpc.statd starter opp (daemon.log)

21:20:38 - smbd starter opp (samba/log.smbd)

21:28:46 - Første Nessus scan begynner (apache2/access.log)

21:31:41 - Første Nessus scan avsluttes (apache2/access.log)

22:17:15 - System halt (user.log)

22:17:17 - Bytter til runlevel: 0 - System halt (daemon.log)

22:17:23 - smbd stenger ned (samba/log.nmbd)

22:17:31 - mysql stenger ned (daemon.log)

22:17:44 - rpc.statd stenger ned (daemon.log)

22:17:47 - Apache stenger ned (apache2/error.log)

22:46:38 - mysql starter opp (daemon.log)

22:46:57 - smbd starter opp (samba/log.smbd)

22:47:04 - rpc.statd starter opp (daemon.log)

22:47:13 - Apache med PHP 4.4.2 starter opp (apache2/error.log)

22:50:47 - System reboot (user.log)

22:50:47 - Bytter til runlevel: 6 - System reboot (daemon.log)

22:50:50 - smbd stenger ned (samba/log.nmbd)

22:50:56 - mysql stenger ned (daemon.log)

22:51:02 - rpc.statd stenger ned (daemon.log)

22:51:04 - Apache stenger ned (apache2/error.log)

22:52:34 - mysql starter opp (daemon.log)

22:52:41 - smbd starter opp (samba/log.smbd)

22:52:42 - rpc.statd starter opp (daemon.log)

22:52:43 - Apache med PHP 4.4.2 starter opp (apache2/error.log)

22:54:20 - eth0 gikk i promiscuous modus (messages)

22:54:20 - Bruker luser kjører kommandoen tcpdump (auth.log)

23:00:15 - Bruker smmta opprettes som del av sendmail installasjon (auth.log)

23:00:16 - Bruker smmsp opprettes som del av sendmail installasjon (auth.log)

23:07:03 - Bruker telnetd opprettes som del av telnet installasjon (auth.log)

23:08:35 - Bruker sshd opprettes som del av ssh installasjon (auth.log)

23:13:38 - eth0 forlot promiscuous modus (messages)

23:13:47 - eth0 gikk i promiscuous modus (messages)

23:13:47 - Bruker luser kjører kommandoen tcpdump -n (auth.log)

23:28:22 - Andre Nessus scan begynner (apache2/access.log)

23:28 - 23:33 - Nessus forsøker å logge inn via ssh (auth.log)

23:33:27 - Andre Nessus scan avsluttes (apache2/access.log)

23:35:19 - eth0 forlot promiscuous modus (messages)

23:54:06 - Bytter til runlevel: 0 - System halt (daemon.log)

23:54:10 - smbd stenger ned (samba/log.nmbd)

23:54:18 - mysql stenger ned (daemon.log)

23:54:18 - sshd stenger ned (auth.log)

23:54:23 - rpc.statd stenger ned (daemon.log)

23:54:26 - Apache stenger ned (apache2/error.log)

00:04:34 - mysql starter opp (daemon.log)

00:04:37 - System reboot (user.log)

00:04:37 - Bytter til runlevel: 6 - System reboot (daemon.log)

00:04:38 - mysql restartet (daemon.log)

00:04:49 - mysql stenger ned (daemon.log)

00:10:58 - mysql starter opp (daemon.log)

00:11:02 - smbd starter opp (samba/log.smbd)

00:11:03 - rpc.statd starter opp (daemon.log)

00:11:03 - sshd starter opp og lytter på port 22 (auth.log)

00:12:15 - Apache med PHP 4.4.2 starter opp (apache2/error.log)

00:13:48 - System reboot (user.log)

00:13:48 - Bytter til runlevel: 6 - System reboot (daemon.log)

00:14:01 - mysql stenger ned (daemon.log)

00:14:02 - sshd stenger ned (auth.log)

00:14:08 - rpc.statd stenger ned (daemon.log)

00:14:09 - Apache stenger ned (apache2/error.log)

00:16:54 - mysql starter opp (daemon.log)

00:16:59 - smbd starter opp (samba/log.smbd)

00:17:00 - sshd starter opp og lytter på port 22 (auth.log)

00:17:01 - rpc.statd starter opp (daemon.log)

00:18:06 - Apache med PHP 4.4.2 starter opp (apache2/error.log)

00:31:59 - System reboot (user.log)

00:31:59 - Bytter til runlevel: 1 - Single user mode (daemon.log)

00:32:10 - mysql stenger ned (daemon.log)

00:32:12 - sshd stenger ned (auth.log)

00:32:17 - rpc.statd stenger ned (daemon.log)

00:32:18 - Apache stenger ned (apache2/error.log)

00:40:25 - mysql starter opp (daemon.log)

00:40:31 - smbd starter opp (samba/log.smbd)

00:40:31 - Det logges ikke mer i samba/log.smbd

00:40:32 - sshd starter opp og lytter på port 22 (auth.log)

00:40:34 - rpc.statd starter opp (daemon.log)

00:41:37 - Det logges ikke mer i daemon.log, kun fra dhclient

00:41:38 - Apache med PHP 4.4.2 starter opp (apache2/error.log)

00:45:41 - Det logges ikke mer i user.log

00:45:41 - Det logges ikke mer i messages, men det skrives --MARK-- hvert 20. minutt

01:48:55 - Det logges ikke mer i debug

01:49:22 - Bruker luser kjører kommandoen tcpdump -n (auth.log)

01:49:23 - eth0 gikk i promiscuous modus (messages)

01:49:23 - Det logges ikke mer i kern.log

01:50:01 - Det logges ikke mer i samba/log.nmbd

02:13 - Bruker luser logget av pseudo terminal slave /0 (wtmp)

03:05 - System reboot (wtmp)

03:19 - Bruker luser logget på pseudo terminal slave /0 (wtmp)

03:31 - Bruker luser logget av pseudo terminal slave /0 (wtmp)

03:37 - System reboot (wtmp)

03:49 - Bruker luser logget på pseudo terminal slave /0 (wtmp)

04:08 - Bruker luser logget av pseudo terminal slave /0 (wtmp)

04:18:42 - Påloggingsforsøk via sshd fra 89.106.23.22 med brukernavn "test" (auth.log)

04:18:46 - Påloggingsforsøk via sshd fra 89.106.23.22 med brukernavn "guest" (auth.log)

04:18:50 - Påloggingsforsøk via sshd fra 89.106.23.22 med brukernavn "admin" (auth.log)

04:19:00 - Påloggingsforsøk via sshd fra 89.106.23.22 med brukernavn "user" (auth.log)

04:19:04 - Påloggingsforsøk via sshd fra 89.106.23.22 med brukernavn "root" (auth.log)

04:19:15 - Påloggingsforsøk via sshd fra 89.106.23.22 med brukernavn "test" (auth.log)

04:34 - System reboot (wtmp)

04:36 - Bruker luser logget på pseudo terminal slave /0 (wtmp)

04:42 - Bruker luser logget av pseudo terminal slave /0 (wtmp)

04:42 - Bruker luser logget på pseudo terminal slave /0 (wtmp)

05:57 - Bruker luser logget av pseudo terminal slave /0 (wtmp)

06:08 - System reboot (wtmp)

06:13 - System reboot (wtmp)

06:15 - Bruker luser logget på pseudo terminal slave /0 (wtmp)

06:20 - Bruker luser logget av pseudo terminal slave /0 (wtmp)

06:24 - System reboot (wtmp)

06:25 - Bruker luser logget på pseudo terminal slave /0 (wtmp)

08:13:15 - Logging gjenopptas i kern.log igjen

08:13:15 - eth0 forlot promiscuous modus (messages)

08:13:25 - Logging gjenopptas i user.log igjen

08:13:25 - Logging gjenopptas i daemon.log igjen

08:13:28 - System halt (user.log)

08:13:28 - Bytter til runlevel: 0 - System halt (daemon.log)

08:13:35 - smbd stenger ned (samba/log.nmbd)

08:13:35 - Logging gjenopptas i samba/log.nmbd

08:13:48 - mysql stenger ned (daemon.log)

08:13:53 - sshd stenger ned (auth.log)

08:14:03 - rpc.statd stenger ned (daemon.log)

08:14:08 - Apache stenger ned (apache2/error.log)

09:05:49 - Logging gjenopptas i debug igjen

09:06:08 - mysql starter opp (daemon.log)

09:06:14 - smbd starter opp (samba/log.smbd)

09:06:14 - Logging gjenopptas i samba/log.smbd

09:06:15 - sshd starter opp og lytter på port 22 (auth.log)

09:06:16 - rpc.statd starter opp (daemon.log)

09:07:21 - Apache med PHP 4.4.2 starter opp (apache2/error.log)

09:31:56 - System reboot (user.log)

09:31:56 - Bytter til runlevel: 1 - Single user mode (daemon.log)

09:32:06 - mysql stenger ned (daemon.log)

09:32:07 - sshd stenger ned (auth.log)

09:32:11 - rpc.statd stenger ned (daemon.log)

09:32:12 - Apache stenger ned (apache2/error.log)

09:38:00 - mysql starter opp (daemon.log)

09:38:05 - smbd starter opp (samba/log.smbd)

09:38:05 - sshd starter opp og lytter på port 22 (auth.log)

09:38:06 - rpc.statd starter opp (daemon.log)

09:39:16 - Apache med PHP 4.4.2 starter opp (apache2/error.log)

10:00:44 - Bruker luser kjører kommandoen tcpdump -n (auth.log)

10:00:45 - eth0 gikk i promiscuous modus (messages)

10:07:12 - eth0 forlot promiscuous modus (messages)

10:08:06 - System halt (user.log)

10:08:07 - Bytter til runlevel: 0 - System halt (daemon.log)

10:08:18 - smbd stenger ned (samba/log.nmbd)

10:08:34 - mysql stenger ned (daemon.log)

10:08:38 - sshd stenger ned (auth.log)

10:08:51 - rpc.statd stenger ned (daemon.log)

10:08:56 - Apache stenger ned (apache2/error.log)

10:34:48 - mysql starter opp (daemon.log)

10:34:53 - smbd starter opp (samba/log.smbd)

10:34:54 - sshd starter opp og lytter på port 22 (auth.log)

10:34:55 - rpc.statd starter opp (daemon.log)

10:36:07 - Apache med PHP 4.4.2 starter opp (apache2/error.log)

11:58:02 - System halt (user.log)

11:58:02 - Bytter til runlevel: 0 - System halt (daemon.log)

11:58:07 - smbd stenger ned (samba/log.nmbd)

11:58:17 - mysql stenger ned (daemon.log)

11:58:18 - sshd stenger ned (auth.log)

11:58:23 - rpc.statd stenger ned (daemon.log)

11:58:26 - Apache stenger ned (apache2/error.log)

12:14:20 - mysql starter opp (daemon.log)

12:14:30 - smbd starter opp (samba/log.smbd)

12:14:31 - sshd starter opp og lytter på port 22 (auth.log)

12:14:33 - rpc.statd starter opp (daemon.log)

12:15:48 - Apache med PHP 4.4.2 starter opp (apache2/error.log)

12:21:18 - System reboot (user.log)

12:21:18 - Bytter til runlevel: 6 - System reboot (daemon.log)

12:21:20 - smbd stenger ned (samba/log.nmbd)

12:21:29 - mysql stenger ned (daemon.log)

12:21:30 - sshd stenger ned (auth.log)

12:21:36 - Apache stenger ned (apache2/error.log)

12:21:36 - rpc.statd stenger ned (daemon.log)

12:24:38 - mysql starter opp (daemon.log)

12:24:43 - smbd starter opp (samba/log.smbd)

12:24:44 - sshd starter opp og lytter på port 22 (auth.log)

12:24:45 - rpc.statd starter opp (daemon.log)

12:26:31 - Apache med PHP 4.4.2 starter opp (apache2/error.log)

12:29:26 - System reboot (user.log)

12:29:26 - Bytter til runlevel: 6 - System reboot (daemon.log)

12:29:28 - smbd stenger ned (samba/log.nmbd)

12:29:35 - sshd stenger ned (auth.log)

12:29:35 - mysql stenger ned (daemon.log)

12:29:40 - rpc.statd stenger ned (daemon.log)

12:29:41 - Apache stenger ned (apache2/error.log)

Først kommer tidspunktet det skjedde på, så en kort forklaring og så hvor jeg fant informasjonen. I følge denne tidslinjen så kan det se ut som om det har skjedd noe mellom ca 01:00 og 08:00 siden nesten alle loggene plutselig slutter å logge noe som helst rundt da.

Problemet mitt nå er at jeg står fast. Jeg kan ikke spesiellt mye Linux, så jeg aner ikke hva jeg skal gjøre nå. Noen som har forslag til hvor jeg kan lete etter informasjon, eventuellt hva det er jeg leter etter? Antivirusprogram og chkrootkit har ikke funnet noe.

Nevyn

pgdx · 19. desember 2006

Hva er alle rebootene? Hvem er luser? Hvorfor har han/hun/noen installert MySQL/Apache/PHP? Hvorfor er sendmail og telnet installert?

Nevyn · 19. desember 2006

Hva er alle rebootene? Hvem er luser? Hvorfor har han/hun/noen installert MySQL/Apache/PHP? Hvorfor er sendmail og telnet installert?

7535491[/snapback]

Hva alle rebootene er for veit nok du like mye som meg. Mulig det er noe faglærer har gjort bare for å forvirre oss?

luser er den ene brukeren som er opprettet av faglærer.

MySQL/Apache/PHP/Sendmail/Telnet osv. ble nok installert for å øke sjangsene for at noen faktisk prøvde seg på å angripe, og at angrepet eventuelt var suksessfult.

Nevyn

kyrsjo · 19. desember 2006

Du kan jo prøve å sammenlikne filene som befinner seg på systemet med de som skulle vært der ifl. dpkg sin database, md5-sum'er og permissions.

Langbein · 19. desember 2006

Er loggene egentlig så mye verdt? Hvis boksen er blitt roota kan jo loggene enten ha blitt sletta eller triksa med for å skjule spor.

dabear · 19. desember 2006

Kan forøvrig være lurt å sjekke ut .bash_history i alle /home/*-kataloger

kyrsjo · 19. desember 2006

Samt sjekke igjennom passwd-fila.

Freak627 · 19. desember 2006

Viss det hadde vært f.eks en normal hjemmePc så hadde jeg nok begynt og lure på hvor alle de rebootene kom fra viss man ikke har gjort det selv, men jeg er ingen linux expert så skal ikke kommentere no mer

Nevyn · 19. desember 2006

Er loggene egentlig så mye verdt? Hvis boksen er blitt roota kan jo loggene enten ha blitt sletta eller triksa med for å skjule spor.

7537154[/snapback]

Jeg har kjørt chkrootkit, og den fant ingenting. Men jeg vet jo egentlig ikke hvor mye det egentlig er verdt da...

Nevyn

Nevyn · 19. desember 2006

Samt sjekke igjennom passwd-fila.

7538009[/snapback]

Hvis du kan peke ut hvor den ligger hen, så hadde det vært fint... :blush:

Viss det hadde vært f.eks en normal hjemmePc så hadde jeg nok begynt og lure på hvor alle de rebootene kom fra viss man ikke har gjort det selv, men jeg er ingen linux expert så skal ikke kommentere no mer

7538094[/snapback]

Har fundert på det samme selv. Litt merkelig med masse reboots midt på natta, samt at alle loggene ikke har noe innhold på over 6 timer.

Nevyn

kyrsjo · 19. desember 2006

Samt sjekke igjennom passwd-fila.

7538009[/snapback]

Hvis du kan peke ut hvor den ligger hen, så hadde det vært fint...

Det er her jeg sier noe et sted i mellom "det er din eksamen" og "dette burde du definitivt vite".

Viss det hadde vært f.eks en normal hjemmePc så hadde jeg nok begynt og lure på hvor alle de rebootene kom fra viss man ikke har gjort det selv, men jeg er ingen linux expert så skal ikke kommentere no mer

7538094[/snapback]

Har fundert på det samme selv. Litt merkelig med masse reboots midt på natta, samt at alle loggene ikke har noe innhold på over 6 timer.

Nevyn

7538291[/snapback]

:hmm:

Og maskina stod på?

Hvordan kan du vite hvorvidt de andre loggene er konsistente?

_M@ts_ · 19. desember 2006

Ser jo nesten ut som en windows logg med alle de rebootene

20. desember 2006

Samt sjekke igjennom passwd-fila.

7538009[/snapback]

Hvis du kan peke ut hvor den ligger hen, så hadde det vært fint...

7538291[/snapback]

Hvis du ikke vet hvor passwd ligger så sier jeg bare lykke til :no:

pgdx · 20. desember 2006

/etc/passwd og /etc/shadow. I /etc ligger alle konfigurasjonsfilene.

cat /etc/passwd.

Hvis dette er en hjemme-PC synes jeg det er rart at Apache2, MySQL, sendmail m.m. kjører. Alle rebootene er meget mistenkelige.

Lykke til med eksamenen... Jeg synes oppgaven høres merkelig ut. En ubeskyttet Ubuntu-boks? Hvis den bare har én bruker og ingen tjenester, skal det være særdeles vanskelig å komme inn på den. openssh er ikke installert fra scratch og eneste måten å komme inn på den er ved fysisk tilgang, og da kan hvem som helst gjøre hva som helst, uansett OS, du trenger bare en live-CD, f. eks.

Nevyn · 20. desember 2006

Det er her jeg sier noe et sted i mellom "det er din eksamen" og "dette burde du definitivt vite".

At det er jeg som må gjøre oppgaven er jeg klar over, så all hjelp jeg kan få er veldig velkommen. At jeg burde vite dette er nok en annen sak. Vi har ikke fått noen som helst opplæring i Linux på skolen, så det er ikke alle som stiller likt for å løse denne oppgaven.

Og maskina stod på?

Hvordan kan du vite hvorvidt de andre loggene er konsistente?

7539659[/snapback]

Det kan jeg selfølgelig ikke. Men ett sted må jeg jo begynne. Hadde det vært min maskin så hadde jeg ikke giddi med detta. Var det mistanke om at noen hadde angrepet den så hadde jeg bare reinstallert.

Hvis du ikke vet hvor passwd ligger så sier jeg bare lykke til

7539813[/snapback]

Takk for det :!:

/etc/passwd og /etc/shadow. I /etc ligger alle konfigurasjonsfilene.

cat /etc/passwd.

Hvis dette er en hjemme-PC synes jeg det er rart at Apache2, MySQL, sendmail m.m. kjører. Alle rebootene er meget mistenkelige.

Lykke til med eksamenen... Jeg synes oppgaven høres merkelig ut. En ubeskyttet Ubuntu-boks? Hvis den bare har én bruker og ingen tjenester, skal det være særdeles vanskelig å komme inn på den. openssh er ikke installert fra scratch og eneste måten å komme inn på den er ved fysisk tilgang, og da kan hvem som helst gjøre hva som helst, uansett OS, du trenger bare en live-CD, f. eks.

7539888[/snapback]

Takk for svar. Nå har jeg hvertfall fått en formening om sannsynligheten for at noe faktisk har skjedd her. Og så har jeg flere filer som jeg må lete gjennom .

Nevyn

Wattengård · 20. desember 2006

Vært inne på tanken på at alle rebootene faktisk ikke er rebooter men bare en hacking av loggfilen? Vedkommende som har vært inne har erstattet faktiske linjer med den reboot linja (fra wtmp)

-C-

Nevyn · 20. desember 2006

Vært inne på tanken på at alle rebootene faktisk ikke er rebooter men bare en hacking av loggfilen? Vedkommende som har vært inne har erstattet faktiske linjer med den reboot linja (fra wtmp)

-C-

7541438[/snapback]

Nei, det hadde jeg faktisk ikke tenkt på. Det er også en ting jeg må prøve å undersøke nærmere.

Nevyn

kyrsjo · 20. desember 2006

Det er her jeg sier noe et sted i mellom "det er din eksamen" og "dette burde du definitivt vite".

At det er jeg som må gjøre oppgaven er jeg klar over, så all hjelp jeg kan få er veldig velkommen. At jeg burde vite dette er nok en annen sak. Vi har ikke fått noen som helst opplæring i Linux på skolen, så det er ikke alle som stiller likt for å løse denne oppgaven.

Hvor er det du går da? Dersom du har fått en eksamen som går på å analysere en linux-maskin, så nekter jeg å tro at det ikke er meningen at dere skal kunne linux. Kansje professoren regnet meg at "dersom dere går på en it-sikkerhetslinje, så kan dere linux. I allefall bør dere kunne det.".

Og maskina stod på?

Hvordan kan du vite hvorvidt de andre loggene er konsistente?

7539659[/snapback]

Det kan jeg selfølgelig ikke. Men ett sted må jeg jo begynne. Hadde det vært min maskin så hadde jeg ikke giddi med detta. Var det mistanke om at noen hadde angrepet den så hadde jeg bare reinstallert.

Ja, det er standard prosedyre - "reinstall from thrusted media". Men uansett er det greit å få ut data, samt finne hvor anngrepet kom fra (så man kan spikre dem opp etter øyelokkene). Har selv ett par anngrepsforsøk i ny og ne mot egen maskin (den er relativt bra sikra, men har et par tjenester ut mot det åpne internettet), og har fått spikret dem opp alle som en (untatt et relativt heftig ett fra Kina - jeg fant isp'en til vedkommende, men kviet meg for å si i fra da jeg ikke ønsket å forårsake at vedkommende fikk en kule i bakhodet heller... Med tanke på hvor mange services han kjørte ut mot nettet, er jeg temmelig sikker på at han var uskyldig, og han kom ingen vei...)

Forøvrig: Linux-hjemmemaskiner får ikke angrep mot seg, med mindre fyren som har satt den opp enten er en idiot (ala kineseren), eller har ekstremt sensitive data. Spyware, virus etc. er et ikke-tema...

Hvis du ikke vet hvor passwd ligger så sier jeg bare lykke til

7539813[/snapback]

Takk for det :!:

Tror du bør ta en titt på "man passwd". Den er sentral... Og nei, den inneholder ingen passord (i dag, navnet er historiske grunner).

/etc/passwd og /etc/shadow. I /etc ligger alle konfigurasjonsfilene.

cat /etc/passwd.

Hvis dette er en hjemme-PC synes jeg det er rart at Apache2, MySQL, sendmail m.m. kjører. Alle rebootene er meget mistenkelige.

Lykke til med eksamenen... Jeg synes oppgaven høres merkelig ut. En ubeskyttet Ubuntu-boks? Hvis den bare har én bruker og ingen tjenester, skal det være særdeles vanskelig å komme inn på den. openssh er ikke installert fra scratch og eneste måten å komme inn på den er ved fysisk tilgang, og da kan hvem som helst gjøre hva som helst, uansett OS, du trenger bare en live-CD, f. eks.

7539888[/snapback]

Takk for svar. Nå har jeg hvertfall fått en formening om sannsynligheten for at noe faktisk har skjedd her. Og så har jeg flere filer som jeg må lete gjennom .

Nevyn

7540892[/snapback]

Meget vanskelig å komme inn ja - vil tro professoren har skrudd på mye rart for å få den sårbar... En standard ubuntu-maskin vil ikke svare på forespørsler utenfra, og da er den mer eller mindre pr. definisjon ikke sårbar (med mindre administrator gjør noe dumt.)

Men finn ut hva dpkg er, og sammenlikn filene på maskinen (md5-summer eller noe) med filer fra en maskin som har de samme pakkene installert (du hadde wmware, så det å sette opp en "identisk" maskin og se hva som er tukla med burde være en smal sak. Sammenlinkningsprogrammer finnes det en del av for å sammenlikne tekstfiler når du har funnet hvilke som er forskjellig) Du klarer sikkert å skrive et script eller noe som ordner dette - og ta en titt på "man md5sum".

Nevyn · 20. desember 2006

Hvor er det du går da? Dersom du har fått en eksamen som går på å analysere en linux-maskin, så nekter jeg å tro at det ikke er meningen at dere skal kunne linux. Kansje professoren regnet meg at "dersom dere går på en it-sikkerhetslinje, så kan dere linux. I allefall bør dere kunne det.".

Går på Høgskolen i Gjøvik, infosikkerhet. Jeg har en mistanke om at det hele handler om lisensrettigheter og slikt. Hvis det var en Windowsmaskin som skulle vært brukt på en lignende måte så hadde det muligens blitt mer surr med å få fikset lisenser og slikt.

Forøvrig: Linux-hjemmemaskiner får ikke angrep mot seg, med mindre fyren som har satt den opp enten er en idiot (ala kineseren), eller har ekstremt sensitive data. Spyware, virus etc. er et ikke-tema...

Det er jo greit og vite. Som du kanskje har skjønte så oppholder jeg meg vansligvis i en Windows verden til daglig, og der er jo det så vanlig at man etterhvert bare ignorerer det.

Men finn ut hva dpkg er, og sammenlikn filene på maskinen (md5-summer eller noe) med filer fra en maskin som har de samme pakkene installert (du hadde wmware, så det å sette opp en "identisk" maskin og se hva som er tukla med burde være en smal sak. Sammenlinkningsprogrammer finnes det en del av for å sammenlikne tekstfiler når du har funnet hvilke som er forskjellig) Du klarer sikkert å skrive et script eller noe som ordner dette - og ta en titt på "man md5sum".

Det var en god idè, det må jeg prøve å få til.

Nevyn

pgdx · 20. desember 2006

Hadde det vært min maskin så hadde jeg ikke giddi med detta. Var det mistanke om at noen hadde angrepet den så hadde jeg bare reinstallert.
7540892[/snapback]

Da tror jeg ikke du har mye innsikt i hva sikkerhet går ut på. Hva med sensitive opplysninger som ligger på maskinen? En av tingene du bør finne ut av er om noen har fått tilgang til filene i hjemmeområdet /home/luser

Logg inn

Hjemmeeksamen, ubeskyttet Ubuntu på nett

Anbefalte innlegg

Nevyn

Videoannonse

pgdx

Nevyn

kyrsjo

Langbein

dabear

kyrsjo

Freak627

Nevyn

Nevyn

kyrsjo

_M@ts_

Gjest Slettet+432

pgdx

Nevyn

Wattengård

Nevyn

kyrsjo

Nevyn

pgdx

Opprett en konto eller logg inn for å kommentere

Opprett konto

Logg inn

Hvem er aktive 0 medlemmer