Benachrichtigung bei unberechtigter Shell

[noiz]

Hallo!

Ich habe mir folgendes Überlegt:

Auf meinen Servern lasse ich per SSH grundsätzlich nur den Zugriff für "normale User" und nicht für root zu. Außerdem nur PKI-Auth. Ich denke also dass es recht unwarscheinlich ist, dass über SSH ein Angriff erfolgen kann. Viel mehr Misstrauen habe ich in PHP-Basierte Webanwendungen wie phpBB und Wordpress. Soweit ich weiß gibt es immer wieder Möglichkeiten über Buffer-Overflows, die ja immer mal wieder auftauchen eine Shell auf dem angegriffenem System zu spawnen. Sicherlich lässt sich das nicht 100%ig verhinden, aber ich will zumindest so schnell wie möglich der erste sein, der das erfährt.

Gibt es ein Programm, das monitoren kann, für welche User eine Shell gespawnt wird? Ansich gibt es auf meinem Server nur einen User (Mich!) dem ich das erlaube, wenn z.B. eine Shell von root oder www-data aufgerufen wird weißt das auf eine Kompromittierung hin. In diesem Fall mächte ich gerne per Email informiert werden. Wie ließe sich das realisieren. /var/log/auth.log? Oder gibt es dafür schon was "fertiges"?

Danke und Grüße

Nico

[daemotron]

Du könntest Dir mit Perl oder Python einen kleinen Daemon scripten, der /proc überwacht und bei unlauteren Aktivitäten Alarm schlägt. Die "Billig-Lösung" (Cron-Job, der die Ausgabe von ps auxww einmal minütlich auswertet) halte ich für unzureichend - ein dummes Skript-Kiddie merkt das vielleicht nicht rechtzeitig, aber ein gewiefterer Angreifer rechnet mit einer solchen Falle. Wenn Du ganz schwere Geschütze auffahren willst, greifst Du zu einem der "großen" Intrusion Detection Systeme. Prelude oder Snort sollten dazu schon in der Lage sein Ansonsten bietet grsecurity die Möglichkeit, jegliche Aktivität auf dem System zu protokollieren. Also insbesondere das starten und beenden von Prozessen, syscalls jeglicher Art, etc. Wenn Du das Protokoll on the fly verarbeitest, solltest Du einen Cracker auch auf frischer Tat ertappen können.