login skript => user info/nmap/mail

Bash, Shell, PHP, Python, Perl, CGI
kgb_grisu
Posts: 8
Joined: 2005-08-05 12:56

login skript => user info/nmap/mail

Post by kgb_grisu » 2006-02-02 14:19

Jo,

habe folgendes Vorhaben;

Da man ja als Angreifer immer die lokalen logdateien löschen kann, hier meine Idee:

Ein Skript, was sich bei login (ssh) ausführt. (z.B. bashrc, /etc/passwd..)


nach dem login, soll jeweils das 'who' an eine Emailadresse geschickt werden, Probleme habe ich bisher, dass im 'who' oder 'last' immernoch die dns-namen (p51bf05af.dip0.t..) und nicht eine IP (z.B. 80.54.12.4) steht.



Code: Select all


!/bin/sh

who > /daten/tmp/who.txt; mail -s login an ssh email@domain.xx -attach=/daten/tmp/who.txt

igrendwas in der richtung,

als zweites würde ich gerne ein keines nmap-log des user auch per Email versenden, etwa so;

Code: Select all


nmap -sS -P0 -O -T Paranoid <IP des users, keine Ahnung, wie man die übergibt> > /daten/tmp/nmap.txt; mail -s nmap  email@domain.xx -attach=/daten/tmp/who.txt

Cool wäre noch, wenn mann den Benutzernamen und seine IP in dem script als lokale Variable setzen könnte, dann könnte man diese in das Email subject einfügen.

Würde mich freuen....

kgb[/b]

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: login skript => user info/nmap/mail

Post by captaincrunch » 2006-02-02 14:27

Rein grundlegend würde ich dir pam_script ( http://www.bofs.co.za/~iburger/pam_script/index.html ) ans Herz legen wollen. Somit ersparst du dir das recht "unsichere" Starten des Scripts beim Einloggen. Setzt natürlich voraus, dass dein sshd auch wirklich PAM nutzt.
Cool wäre noch, wenn mann den Benutzernamen und seine IP in dem script als lokale Variable setzen könnte, dann könnte man diese in das Email subject einfügen.
Da die Mail ja in diesem Fall ohnehin durch den sich einloggenden User versandt wird, hast du (bei "normaler" Konfiguration sowieso den Usernamen. ;)

Was soll das denn bitte mit dem nmap bringen?
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

kgb_grisu
Posts: 8
Joined: 2005-08-05 12:56

Re: login skript => user info/nmap/mail

Post by kgb_grisu » 2006-02-02 14:34

Danke für die antwort,

zwei fragen bleiben noch;

- wie bekomme ich denn eine IP anstatt des aufgelösten hostnamens in last oder who?

- wenn ich die Email beispielsweise über einen anderen Provider (gmx,web etc.) schicken möchte, wie müsste mein shell-command aussehen?

THX

kgb

goresplatter
Posts: 15
Joined: 2006-01-20 00:28
Location: Halle (Saale)

IPs anzeigen

Post by goresplatter » 2006-02-08 13:02

Die DNS Namen beinhalten in der Regel schon die IP.
In Deinem Beispiel (p51bf05af.dip0.t...) ist die IP 0x51BF05AF, also 0x51.0xBF.0x05.0xAF (81.191.5.175).

Andere Provider (meiner zum Beispiel) übergeben den DNS Namen in solcher Form: dslb-084-059-197-XXX.pools.arcor-ip.net

Ein kleines Perl-Script sollte die Extrahierung der IP geregelt bekommen; dat is auf jeden Fall schneller, als ein reverse-Lookup

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: IPs anzeigen

Post by Roger Wilco » 2006-02-08 20:34

goreSplatter wrote:Ein kleines Perl-Script sollte die Extrahierung der IP geregelt bekommen; dat is auf jeden Fall schneller, als ein reverse-Lookup
Das trifft aber nicht auf alle Provider zu und das Schema müsste außerdem für jeden Provider angepasst werden. Ich denke die Kosten für einen Lookup des A-Records sind vernachlässigbar (es ist übrigens kein Reverse Lookup ;)).

goresplatter
Posts: 15
Joined: 2006-01-20 00:28
Location: Halle (Saale)

Re: login skript => user info/nmap/mail

Post by goresplatter » 2006-02-09 03:27

:oops: :oops: :oops:
*selbst-geißel*

hab mich wohl im Sprachgebrauch vergriffen...
Die von mir vorgeschlagene (trial-and-error) Methode ist nur leider die mir auch einzig bekannte. Alles, was sich nicht bereits im DNS-Namen identifiziert, sollte doch dann über eine whois Abfrage lösen lassen, oder?!

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: login skript => user info/nmap/mail

Post by Roger Wilco » 2006-02-09 18:35

goreSplatter wrote:Alles, was sich nicht bereits im DNS-Namen identifiziert, sollte doch dann über eine whois Abfrage lösen lassen, oder?!
Einfach den A-Record des Hostname erfragen. Hat mit WHOIS zunächst mal nix zu tun.

PS: Hast du eigentlich einen Fetisch für die Farbe #0080C0? :lol:

goresplatter
Posts: 15
Joined: 2006-01-20 00:28
Location: Halle (Saale)

Re: login skript => user info/nmap/mail

Post by goresplatter » 2006-02-09 18:41

Roger Wilco wrote:PS: Hast du eigentlich einen Fetisch für die Farbe #0080C0? :lol:
...jaja, ein Trauma, das bis in meine erschütterten Kindstage zurückreicht.

Ich kann aber auch anders.
*BACK TO TOPIC*: Ich war der Meinung, whois könnte nicht nur IP => DNS sondern auch IP <= DNS erfragen... Wie würdest Du dann an das IP <= DNS Problem rantreten? (Um den Initiator des Topics auch was zum Lesen zu geben...)

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: login skript => user info/nmap/mail

Post by Roger Wilco » 2006-02-09 18:46

goreSplatter wrote:...jaja, ein Trauma, das bis in meine erschütterten Kindstage zurückreicht.
Gut, dass wir das geklärt haben. ;)
goreSplatter wrote:*BACK TO TOPIC*: Ich war der Meinung, whois könnte nicht nur IP => DNS sondern auch IP <= DNS erfragen...
http://en.wikipedia.org/wiki/WHOIS
goreSplatter wrote:Wie würdest Du dann an das IP <= DNS Problem rantreten?

Code: Select all

# Forward
host -t a example.org
# Reverse
host 127.0.0.1
Statt host kannst du auch dig oder nslookup oder sonst einen DNS-Client verwenden. Wenn du Spass daran hast und den RFC gelesen hast, kannst du auch netcat dazu benutzen. ;)

goresplatter
Posts: 15
Joined: 2006-01-20 00:28
Location: Halle (Saale)

Re: login skript => user info/nmap/mail

Post by goresplatter » 2006-02-09 18:55

Danke für den Tip. Ich glaube in diesem Forum muss man sich wohl sehr konkret ausdrücken (- duh! -) ...

Abgesehen davon, dass whois nicht die von mir erdachten Anforderungen erfüllt, meinte ich auch den whois-client, über den die DNS <= IP Auflösung stattfinden sollte...


:oops:

Achso, welches RFC soll das bezüglich netcat sein? Mir dämmert, dass ich etwa 3.496 Hits bekomme, wenn ich meine RFC Datenbank nach `netcat` durchsuche... *grübel*

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: login skript => user info/nmap/mail

Post by Roger Wilco » 2006-02-09 19:02

goreSplatter wrote:Achso, welches RFC soll das bezüglich netcat sein? Mir dämmert, dass ich etwa 3.496 Hits bekomme, wenn ich meine RFC Datenbank nach `netcat` durchsuche... *grübel*
netcat ist ein Programm. Die RFC zu DNS findest du unter http://www.dns.net/dnsrd/rfc/