Помогите с анализом логов безопасности. Есть подозрения что меня поимели.
Но из-за неопотности я не могу понять из логов что норма, а что нет.
Так нашел 18 sqid фалов
Так нашел 43 suid фалов
И самое страшное 2638 файлов доступных на запись любому, причем это не мои фалы, не из юзердиров.
Привожу логи. К сожалению не нашел как их тут прикрепить файлами.
[root@evil security]# uname -a
Linux evil 2.6.31.6-166.fc12.i686.PAE #1 SMP Wed Dec 9 11:00:30 EST 2009 i686 i686 i386 GNU/Linux== SGID =================================================================================
33470 100 -rwxr-sr-x 1 root nobody 101372 Ноя 2 16:04 /usr/bin/ssh-agent
104476 20 -rwxr-sr-x 1 root mail 17116 Июл 28 09:17 /usr/bin/lockfile
63450 156 -r-xr-s--x 1 root games 157124 Окт 20 06:31 /usr/bin/gnomine
94287 184 -rwxr-sr-x 1 root games 186416 Сен 10 20:20 /usr/bin/gnuchess
108820 8 -rwxr-sr-x 1 root abrt 7104 Ноя 22 23:34 /usr/bin/abrt-pyhook-helper
123856 360 -rwxr-sr-x 1 root screen 368308 Сен 25 16:39 /usr/bin/screen
26841 44 -rwsr-sr-x 1 root root 44232 Ноя 5 19:13 /usr/bin/crontab
14086 36 -rwx--s--x 1 root slocate 35644 Окт 5 17:13 /usr/bin/locate
108808 12 -r-xr-sr-x 1 root tty 10900 Сен 17 21:12 /usr/bin/wall
109491 12 -rwxr-sr-x 1 root tty 10128 Дек 15 16:43 /usr/bin/write
108413 348 -r-xr-s--x 1 root games 352428 Окт 20 06:31 /usr/bin/iagno
14138 108 -r-xr-s--x 1 root games 109036 Окт 20 06:31 /usr/bin/same-gnome
103795 20 -rwx--s--x 1 root lock 17336 Дек 3 11:04 /usr/sbin/lockdev
27630 832 -rwxr-sr-x 1 root smmsp 849656 Сен 16 22:55 /usr/sbin/sendmail.sendmail
61406 16 -rwx--s--x 1 root utmp 13068 Дек 4 00:19 /usr/lib/vte/gnome-pty-helper
132640 60 -rwxr-sr-x 1 root root 59780 Ноя 15 03:56 /usr/libexec/kde4/kdesud
12103 8 -rwx--s--x 1 root utmp 6868 Июл 27 02:45 /usr/libexec/utempter/utempter
112469 8 -rwxr-sr-x 1 root root 6152 Дек 5 18:14 /sbin/netreport
== SUID =================================================================================
55310 40 -rwsr-xr-x 1 root root 36876 Июл 26 16:22 /bin/ping6
109215 32 -rwsr-xr-x 1 root root 32712 Дек 11 21:44 /bin/su
500370 28 -rwsr-xr-x 1 root root 25476 Ноя 19 22:23 /bin/fusermount
54509 44 -rwsr-xr-x 1 root root 42072 Июл 26 16:22 /bin/ping
124280 48 -rwsr-xr-x 1 root root 47524 Дек 15 16:43 /bin/umount
53722 72 -rwsr-xr-x 1 root root 70348 Дек 15 16:43 /bin/mount
34075 176 -rwsr-xr-x 1 root root 176780 Ноя 20 19:16 /usr/kerberos/bin/ksu
97612 16 -rws--x--x 1 root root 16168 Дек 15 16:43 /usr/bin/chfn
81072 8 -rwsr-xr-x 1 root root 6884 Дек 14 19:41 /usr/bin/kpac_dhcp_helper
305567 948 -rwsr-xr-x 1 root root 969412 Авг 14 2007 /usr/bin/x0vncserver
33870 172 ---s--x--x 2 root root 172832 Авг 21 15:24 /usr/bin/sudoedit
17570 20 -rwsr-xr-x 1 root root 19500 Сен 16 22:41 /usr/bin/rcp
23993 24 -rwsr-xr-x 1 root root 22648 Сен 14 16:14 /usr/bin/passwd
16763 60 -rwsr-xr-x 1 root root 61228 Сен 7 19:04 /usr/bin/gpasswd
11322 32 -rwsr-xr-x 1 root root 28968 Сен 7 19:04 /usr/bin/newgrp
305553 3856 -rwsr-xr-x 1 root root 3947716 Авг 14 2007 /usr/bin/Xvnc
61415 16 -rws--x--x 1 root root 14984 Дек 15 16:43 /usr/bin/chsh
105293 1888 -rws--x--x 1 root root 1931580 Ноя 6 03:45 /usr/bin/Xorg
17541 12 -rwsr-xr-x 1 root root 9192 Сен 16 22:41 /usr/bin/rsh
109445 52 -rwsr-xr-x 1 root root 52140 Окт 13 17:45 /usr/bin/at
500344 60 -rwsr-xr-x 1 root root 59980 Сен 7 19:04 /usr/bin/chage
17540 16 -rwsr-xr-x 1 root root 14448 Сен 16 22:41 /usr/bin/rlogin
26841 44 -rwsr-sr-x 1 root root 44232 Ноя 5 19:13 /usr/bin/crontab
500625 808 -rwsr-xr-x 1 root root 823932 Ноя 11 20:20 /usr/bin/kppp
102401 16 -rwsr-xr-x 1 root root 16104 Окт 20 17:43 /usr/bin/pkexec
33870 172 ---s--x--x 2 root root 172832 Авг 21 15:24 /usr/bin/sudo
94737 8 -rwsr-xr-x 1 root root 5872 Дек 14 19:41 /usr/bin/kgrantpty
24407 8 -rwsr-xr-x 1 root root 7060 Дек 5 18:14 /usr/sbin/usernetctl
98477 8 -rwsr-x--- 1 root gnokii 7480 Сен 7 20:12 /usr/sbin/mgnokiidev
30588 12 -r-s--x--- 1 root apache 11124 Дек 3 18:26 /usr/sbin/suexec
103130 8 -rwsr-xr-x 1 root root 6840 Окт 28 16:11 /usr/sbin/userisdnctl
24071 32 -rws--x--x 1 root root 29880 Окт 5 23:10 /usr/sbin/userhelper
79173 8 -rwsr-xr-x 1 root root 6312 Сен 28 19:56 /usr/sbin/ccreds_chkpwd
100318 60 -rwsr-xr-x 1 root root 60944 Дек 4 18:27 /usr/lib/nspluginwrapper/plugin-config
97572 12 -rwsr-xr-x 1 root root 12272 Окт 20 17:43 /usr/libexec/polkit-1/polkit-agent-helper-1
385944 8 -rwsr-xr-x 1 root root 6592 Ноя 23 07:51 /usr/libexec/pulse/proximity-helper
274329 8 -rws--x--x 1 vcsa root 8056 Дек 22 14:06 /usr/libexec/mc/cons.saver
79217 28 -rws--x--x 1 root root 25271 Ноя 5 15:31 /usr/libexec/pt_chown
25890 208 -rwsr-xr-x 1 root root 212540 Ноя 2 16:04 /usr/libexec/openssh/ssh-keysign
55831 32 -rwsr-xr-x 1 root root 30700 Ноя 2 12:20 /sbin/unix_chkpwd
59113 8 -rwsr-xr-x 1 root root 7668 Ноя 2 12:20 /sbin/pam_timestamp_check
27605 116 -rwsr-xr-x 1 root root 116640 Дек 10 22:58 /sbin/mount.nfs
500366 52 -rwsr-x--- 1 root dbus 49452 Окт 8 03:06 /lib/dbus-1/dbus-daemon-launch-helperВот лог с файлами доступными на запись: http://webfile.ru/4241730
Скажите, плз, что нормально и почему, а что нет?
Можноли исправить все это, не будет ли косяков если я поменяю права у этих фалов(уберу запись и suid/sgid)?
Хорошо что хоть не пересекаются фалы suid/sgid с доступными на запись всем!
не трогай рабочую машину. При беглом взгляде ничего криминального нет. Разве что гномовые игрушки , шахматы и Ягно вызывают интерес... Можешь удалить их - это без вреда для системы.
>не трогай рабочую машину. При беглом взгляде ничего криминального нет. Разве что
>гномовые игрушки , шахматы и Ягно вызывают интерес... Можешь удалить
>их - это без вреда для системы.Дай строчки про игрушки гномовые. не найду где ты их заметил.
Вообще насколько страшно когда есть файлы доступные для записи всем?
Не один раз читал, что получив минимальный доступ народ сразу ищет файлы доступные на запись....
>Дай строчки про игрушки гномовые. не найду где ты их заметил.Сапёр: /usr/bin/gnomine
шахматы:/usr/bin/gnuchess
ягно: /usr/bin/iagno
"тот же гном": /usr/bin/same-gnome>Вообще насколько страшно когда есть файлы доступные для записи всем?
Смотря какие это файлы.Где они? В каких каталогах?
>Не один раз читал, что получив минимальный доступ народ сразу ищет файлы
>доступные на запись....Народ народу рознь :)
>Помогите с анализом логов безопасности. Есть подозрения что меня поимели.Курите логи в Google
>>Помогите с анализом логов безопасности. Есть подозрения что меня поимели.
>
>Курите логи в GoogleСпасибо, но я предпочетаю не наркотическую травку.
Но посылать гуглить каждый файл из списка в 2 000 записей, это подло)