From: The RED (jdred@gmx.net)
Date: Mon 18 Apr 2005 - 19:01:03 EEST
sshd 17683 0.0 0.2 6652 1276 ? S 16:58 0:00 sshd: root
[net]
peki bu işlem doğal mı?
normalde benim ssh işlemlerim şunlar:
root 969 0.0 0.1 5308 956 ? S Apr14 0:01
/usr/sbin/sshd
root 22015 0.0 0.3 8516 1864 ? S 18:24 0:00 \_ sshd:
root@pts/0
root 22062 0.0 0.2 4820 1392 pts/0 S 18:25 0:00 \_ -bash
root 24876 0.0 0.1 3596 768 pts/0 R 18:44 0:00 \_
ps au
benim işlemlerim haricindeki sshd: root [net] işlemi doğal mı yoksa ben mi
artık bu problemler yüzünden paranoya yapmaya başladım?
diyordum ki, maili yazmayı bitirdiğimde sshd: root [net] şeklinde görünen
işlemin artık görünmediğini farklettim. daha önce ps auxf çektiğimde en
altta görünüyordu hep, ama şimdi görünmüyor.. bunun hakkında fikri olan var
mı?
netstat (-tnlp) sonuçlarında herhangi bir anormallik görünmüyor bu arada.
----- Original Message -----
From: "İlker Erek Duran" <ilker.duran@gmail.com>
To: <linux-guvenlik@liste.linux.org.tr>
Sent: Monday, April 18, 2005 5:43 PM
Subject: Re: [Linux-guvenlik] r0nin
> Merhaba,
>
> netstat -tnlp çıktısını gönderebilirseniz aslında daha iyi olur ama
> yine de girebildiklerine göre mutlaka bir executable
> çalıştırıyorlardır. nobody kullanıcısının crontab'ına bakarsanız:
> crontab -u nobody -l
> sanırım birşeyler yüklemiştir. Eğer netstat ile bir port gözükmüyor,
> crontab'da da herhangi bir kayıt yok ise bence işiniz biraz zor çünkü
> muhtamelen root hakkı elde edip ls, who, cd gibi dosyalarınızı
> değiştirmiş olabilir.
>
> bir de netstat ve ps ile çalışan programları incelemenizde yarar var.
> Process ID'lerine göre
> /proc/$PROCESS_ID/cmdline
> dosyalarına bakarsanız, çalışan zararlı programı bulabilirsiniz.
> Ancak bunu bulup silmeniz bilgisayarınızı temizlemeniz anlamına gelmez
> maalesef.
>
> Bu arada tmp dizinlerinin güvenliği için /var/tmp'nin /tmp'ye bir link
> olması ve noexec bağlanması gerekiyor. Bir dahaki kurulumunuzda bunu
> da göz önünde bulundurursunuz.
>
> Bir de eğer PHP-Nuke açığı ile girilmişse root hakkı elde etmesi biraz
> zor gibi.
> /var/tmp/... (üç nokta :))
> dizinine bakmayı bir deneyin, genelde bu şekilde executable'ları
> gizliyorlar.
>
> --
> İlker Erek Duran
> E-posta: ilker.duran@gmail.com
> Icq: 150824206
>
>
_______________________________________________
Linux-guvenlik mailing list
Linux-guvenlik@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik