login skript => user info/nmap/mail

[kgb_grisu]

Jo,

habe folgendes Vorhaben;

Da man ja als Angreifer immer die lokalen logdateien löschen kann, hier meine Idee:

Ein Skript, was sich bei login (ssh) ausführt. (z.B. bashrc, /etc/passwd..)


nach dem login, soll jeweils das 'who' an eine Emailadresse geschickt werden, Probleme habe ich bisher, dass im 'who' oder 'last' immernoch die dns-namen (p51bf05af.dip0.t..) und nicht eine IP (z.B. 80.54.12.4) steht.

Code: Select all

!/bin/sh

who > /daten/tmp/who.txt; mail -s login an ssh email@domain.xx -attach=/daten/tmp/who.txt

igrendwas in der richtung,

als zweites würde ich gerne ein keines nmap-log des user auch per Email versenden, etwa so;

Code: Select all

nmap -sS -P0 -O -T Paranoid <IP des users, keine Ahnung, wie man die übergibt> > /daten/tmp/nmap.txt; mail -s nmap  email@domain.xx -attach=/daten/tmp/who.txt

Cool wäre noch, wenn mann den Benutzernamen und seine IP in dem script als lokale Variable setzen könnte, dann könnte man diese in das Email subject einfügen.

Würde mich freuen....

kgb[/b]

[captaincrunch]

Rein grundlegend würde ich dir pam_script ( http://www.bofs.co.za/~iburger/pam_script/index.html ) ans Herz legen wollen. Somit ersparst du dir das recht "unsichere" Starten des Scripts beim Einloggen. Setzt natürlich voraus, dass dein sshd auch wirklich PAM nutzt.

Cool wäre noch, wenn mann den Benutzernamen und seine IP in dem script als lokale Variable setzen könnte, dann könnte man diese in das Email subject einfügen.

Da die Mail ja in diesem Fall ohnehin durch den sich einloggenden User versandt wird, hast du (bei "normaler" Konfiguration sowieso den Usernamen. ;)

Was soll das denn bitte mit dem nmap bringen?

[kgb_grisu]

Danke für die antwort,

zwei fragen bleiben noch;

- wie bekomme ich denn eine IP anstatt des aufgelösten hostnamens in last oder who?

- wenn ich die Email beispielsweise über einen anderen Provider (gmx,web etc.) schicken möchte, wie müsste mein shell-command aussehen?

THX

kgb

[goresplatter]

Die DNS Namen beinhalten in der Regel schon die IP.
In Deinem Beispiel (p51bf05af.dip0.t...) ist die IP 0x51BF05AF, also 0x51.0xBF.0x05.0xAF (81.191.5.175).

Andere Provider (meiner zum Beispiel) übergeben den DNS Namen in solcher Form: dslb-084-059-197-XXX.pools.arcor-ip.net

Ein kleines Perl-Script sollte die Extrahierung der IP geregelt bekommen; dat is auf jeden Fall schneller, als ein reverse-Lookup

[Roger Wilco]

Ein kleines Perl-Script sollte die Extrahierung der IP geregelt bekommen; dat is auf jeden Fall schneller, als ein reverse-Lookup

Das trifft aber nicht auf alle Provider zu und das Schema müsste außerdem für jeden Provider angepasst werden. Ich denke die Kosten für einen Lookup des A-Records sind vernachlässigbar (es ist übrigens kein Reverse Lookup ;)).

[goresplatter]

:oops: :oops: :oops:
*selbst-geißel*

hab mich wohl im Sprachgebrauch vergriffen...
Die von mir vorgeschlagene (trial-and-error) Methode ist nur leider die mir auch einzig bekannte. Alles, was sich nicht bereits im DNS-Namen identifiziert, sollte doch dann über eine whois Abfrage lösen lassen, oder?!

[Roger Wilco]

Alles, was sich nicht bereits im DNS-Namen identifiziert, sollte doch dann über eine whois Abfrage lösen lassen, oder?!

Einfach den A-Record des Hostname erfragen. Hat mit WHOIS zunächst mal nix zu tun.

PS: Hast du eigentlich einen Fetisch für die Farbe #0080C0? :lol:

[goresplatter]

PS: Hast du eigentlich einen Fetisch für die Farbe #0080C0? :lol:

...jaja, ein Trauma, das bis in meine erschütterten Kindstage zurückreicht.

Ich kann aber auch anders.
*BACK TO TOPIC*: Ich war der Meinung, whois könnte nicht nur IP => DNS sondern auch IP <= DNS erfragen... Wie würdest Du dann an das IP <= DNS Problem rantreten? (Um den Initiator des Topics auch was zum Lesen zu geben...)

[Roger Wilco]

...jaja, ein Trauma, das bis in meine erschütterten Kindstage zurückreicht.

Gut, dass wir das geklärt haben. ;)

*BACK TO TOPIC*: Ich war der Meinung, whois könnte nicht nur IP => DNS sondern auch IP <= DNS erfragen...

http://en.wikipedia.org/wiki/WHOIS

Wie würdest Du dann an das IP <= DNS Problem rantreten?

Code: Select all

# Forward
host -t a example.org
# Reverse
host 127.0.0.1

Statt host kannst du auch dig oder nslookup oder sonst einen DNS-Client verwenden. Wenn du Spass daran hast und den RFC gelesen hast, kannst du auch netcat dazu benutzen. ;)

[goresplatter]

Danke für den Tip. Ich glaube in diesem Forum muss man sich wohl sehr konkret ausdrücken (- duh! -) ...

Abgesehen davon, dass whois nicht die von mir erdachten Anforderungen erfüllt, meinte ich auch den whois-client, über den die DNS <= IP Auflösung stattfinden sollte...

:oops:

Achso, welches RFC soll das bezüglich netcat sein? Mir dämmert, dass ich etwa 3.496 Hits bekomme, wenn ich meine RFC Datenbank nach `netcat` durchsuche... *grübel*

[Roger Wilco]

Achso, welches RFC soll das bezüglich netcat sein? Mir dämmert, dass ich etwa 3.496 Hits bekomme, wenn ich meine RFC Datenbank nach `netcat` durchsuche... *grübel*

netcat ist ein Programm. Die RFC zu DNS findest du unter http://www.dns.net/dnsrd/rfc/