Dislikes Dislikes:  0
Ergebnis 1 bis 5 von 5

Thema: System kompromittiert? Unberechtigter User-Login über lokales Systemkonto.

  1. #1

    Registriert seit
    28.11.17
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    5

    Standard System kompromittiert? Unberechtigter User-Login über lokales Systemkonto.

    Anzeige
    Hallo zusammen,

    ich betreibe einen Cluster mit zwei Maschinen (CentOS)

    An Datum x habe ich eine Änderung am System durchgeführt. Das war vor ca. 2 Wochen. Gerade bin ich wieder auf die Systeme gegangen und dann wurde mir bei der Anmeldung unter "last logged user" ein Rechnername angezeigt, den ich nicht kannte.
    Wenn ich nun über den Befehl last | tac mir die Systemzugriffe anzeigen lasse, finde ich folgende Unstimmigkeiten:

    An besagtes Datum (wo ich die Konfigurationen durchgeführt habe), finde ich auf beiden Systemen den Zeitstempel für den Login über ein lokales Systemkonto (Passwort Auth). Auf System Nr 1. erfolgte der Zugriff über die FQDN meines Arbeitsplatzrechners (also alles ok), auf System Nr. 2 erfolgte der Zugriff über die FQDN eines Arbeitsplatzrechners eines anderen Mitarbeiters (den ich bis gerade nicht kannte :-) ). Wie der Zufall so will handelt es sich hier um ein Consultant, der also oft mit seinem Notebook unterwegs ist.

    Des weiteren sieht es für mich so aus, als wurden alle weiteren Zeitstempel auf besagten System manipuliert, denn ich war auf besagten System noch das eine oder andere mal drauf. Auf dem einen System sehe ich das, auf den anderen System sind die Zeitstempel hingegen nicht mehr vorhanden, da ist alles nach dem seltsamen Systemzugriff über den Rechner des Anderen Mitarbeiters abgeschnitten.

    Die Command-History ist sauber, hier sehe ich keine Commands die ich nicht abgesetzt hätte.

    Jemand eine Idee, was ich mir noch ansehen könnte und wie ich mich nun verhalten soll?
    Geändert von Yoko (01.02.18 um 11:47 Uhr)

  2. #2
    Moderator Avatar von xeno
    Registriert seit
    09.09.04
    Danke (erhalten)
    10
    Gefällt mir (erhalten)
    199

    Standard

    Zitat Zitat von Yoko Beitrag anzeigen
    Die Command-History ist sauber, hier sehe ich keine Commands die ich nicht abgesetzt hätte.
    Bei einigen (oder vielen? oder allen?) Shells werden per default Befehle, denen ein Whitespace vorausgeht, nicht mit in die History geschrieben. Verlass dich also nicht darauf.

  3. #3

    Registriert seit
    28.11.17
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    5

    Standard

    Hallo Xeno,

    danke für deine Antwort.
    Zunächst: Ich habe weitere Zugriffe entdeckt (verschieden Systeme) durch unterschiedliche Notebooks von Consultants. Der Personenkreis hat zufällig auch mit den gleichen Kunden zu tun.

    Bei allen System ist die history "sauber", aber wie du sagst, verlasse ich mich hier nicht drauf. Die weiteren Logins nach den erfolgten Systemzugriffen wurden definitiv weggeräumt und auch die Message-Logs sind auffällig aufgeräumt. Es wirkt alles etwas "abgeschnitten".

    Ich habe die Situation schon nach oben hin eskaliert, Betroffene Systeme werden eingesammelt und wir forschen nun genauer.

    Au Backe ...

    Gruß

    Yoko

  4. #4
    Moderator Avatar von bitmuncher
    Registriert seit
    30.09.06
    Danke (erhalten)
    150
    Gefällt mir (erhalten)
    1654

    Standard

    Installiere doch einfach mal Snoopy und tracke damit alle User-Aktivitäten. Idealerweise fütterst du die Logs an einen Remote-Logging-Server, so dass sie nicht manipuliert werden können. Ausserdem kannst du auch ein HIDS wie Wazuh/OSSEC mit einem Remote-Master einsetzen um verdächtige Aktivitäten zu tracken.

    Nebenher solltest du aber natürlich auch mal prüfen ob alle Systemprogramme noch den Stand haben, den sie laut Paketverwaltung haben sollten ('rpm -V' ist dein Freund). Ggf. auch mal mit rkhunter scannen ob versteckte Prozesse o.ä. vorhanden sind. Nicht vergessen, dass man bei CentOS 'unhide' zusätzlich zu rkhunter installieren muss, wenn man in der Lage sein will mit rkhunter nach versteckten Prozessen zu suchen. Das ist keine automatische Abhängigkeit.

    Btw: Wenn der Zugriff über SSH erfolgt, sollte man die Passwort-Authentifizierung deaktivieren und Logins nur via Keyfile zulassen. Das lässt sich nicht so leicht knacken wie ein Passwort. Ausserdem sollte man sicherstellen, dass kein User sudo ohne Passwort ausführen kann, wenn das nicht zwingend notwendig ist.

    Bitmuncher's TechBlog - My Homepage
    Denken ist manchmal so, als würde man wissen auskotzen.

    Neue Beiträge im Habo via Twitter - Das HaBo auf FB

  5. Danke Yoko thanked for this post
    Gefällt mir Yoko liked this post
  6. #5

    Registriert seit
    28.11.17
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    5

    Standard

    Anzeige
    Hallo Bitmuncher,

    danke für deine Antwort und schnelle Hilfe.
    Wir haben kurzer Hand eine Firma spezalisiert auf IT Sicherheit beauftragt. Besagte Firma analysiert jetzt die Betroffenen VM's und installiert zukünftig in unserem Netzwerk ein IDS, Logging Server etc.

    Ich interessiere mich zwar für IT Sicherheit (deshalb bin ich auch hier angemeldet), aber meine Kernkompetenz liegt defintiv in einem Anderen Bereich. Naja, vielleicht lern ich jetzt noch was ...

    Ein paar Dinge (wie Zertifikat Auth) habe ich derweils schon umgesetzt.

  7. Gefällt mir bitmuncher liked this post

Ähnliche Themen

  1. WBB 2.X Login über eigenes Script mitnutzen
    Von SargoDarya im Forum Code Kitchen
    Antworten: 2
    Letzter Beitrag: 23.06.08, 17:31
  2. Burning Board login über joomla
    Von Moskito83 im Forum (Web-) Design und webbasierte Sprachen
    Antworten: 7
    Letzter Beitrag: 02.02.08, 18:46
  3. Via PXE Grub booten und lokales system starten
    Von Jadawin im Forum Linux/UNIX
    Antworten: 1
    Letzter Beitrag: 13.01.08, 13:25
  4. Login über Internet
    Von herti im Forum Linux/UNIX
    Antworten: 1
    Letzter Beitrag: 12.10.05, 07:45
  5. Antworten: 6
    Letzter Beitrag: 21.11.04, 16:55

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •