Benachrichtigung bei unberechtigter Shell
Posted: 2007-12-14 13:19
Hallo!
Ich habe mir folgendes Überlegt:
Auf meinen Servern lasse ich per SSH grundsätzlich nur den Zugriff für "normale User" und nicht für root zu. Außerdem nur PKI-Auth. Ich denke also dass es recht unwarscheinlich ist, dass über SSH ein Angriff erfolgen kann. Viel mehr Misstrauen habe ich in PHP-Basierte Webanwendungen wie phpBB und Wordpress. Soweit ich weiß gibt es immer wieder Möglichkeiten über Buffer-Overflows, die ja immer mal wieder auftauchen eine Shell auf dem angegriffenem System zu spawnen. Sicherlich lässt sich das nicht 100%ig verhinden, aber ich will zumindest so schnell wie möglich der erste sein, der das erfährt.
Gibt es ein Programm, das monitoren kann, für welche User eine Shell gespawnt wird? Ansich gibt es auf meinem Server nur einen User (Mich!) dem ich das erlaube, wenn z.B. eine Shell von root oder www-data aufgerufen wird weißt das auf eine Kompromittierung hin. In diesem Fall mächte ich gerne per Email informiert werden. Wie ließe sich das realisieren. /var/log/auth.log? Oder gibt es dafür schon was "fertiges"?
Danke und Grüße
Nico
Ich habe mir folgendes Überlegt:
Auf meinen Servern lasse ich per SSH grundsätzlich nur den Zugriff für "normale User" und nicht für root zu. Außerdem nur PKI-Auth. Ich denke also dass es recht unwarscheinlich ist, dass über SSH ein Angriff erfolgen kann. Viel mehr Misstrauen habe ich in PHP-Basierte Webanwendungen wie phpBB und Wordpress. Soweit ich weiß gibt es immer wieder Möglichkeiten über Buffer-Overflows, die ja immer mal wieder auftauchen eine Shell auf dem angegriffenem System zu spawnen. Sicherlich lässt sich das nicht 100%ig verhinden, aber ich will zumindest so schnell wie möglich der erste sein, der das erfährt.
Gibt es ein Programm, das monitoren kann, für welche User eine Shell gespawnt wird? Ansich gibt es auf meinem Server nur einen User (Mich!) dem ich das erlaube, wenn z.B. eine Shell von root oder www-data aufgerufen wird weißt das auf eine Kompromittierung hin. In diesem Fall mächte ich gerne per Email informiert werden. Wie ließe sich das realisieren. /var/log/auth.log? Oder gibt es dafür schon was "fertiges"?
Danke und Grüße
Nico
Ansonsten bietet grsecurity die Möglichkeit, jegliche Aktivität auf dem System zu protokollieren. Also insbesondere das starten und beenden von Prozessen, syscalls jeglicher Art, etc. Wenn Du das Protokoll on the fly verarbeitest, solltest Du einen Cracker auch auf frischer Tat ertappen können.