Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Mam pytanko.. w jaki sposób można wyświetlić listę userów w systemie?
Nie chodzi mi o pełną listę tylko tych dodanych jakby samodzielnie przez roota
(pomijając userów procesów itp.)
Miałem małe włamanie słownikiem na jednego usera po ssh..
Chciałbym sprawdzić listę userów.. i przy okazji kierował ktoś kiedyś taką sprawę na policję?
Mam sporo śladów chyba pozostawionych..
Offline
cat /etc/passwd i do tego pewnie warunek UID>=1000
Offline
Co do pozostawionych śladów to zależy jak masz maszynę skonfigurowaną, co jest logowane a co nie.
Jeśli chodzi o kierowanie tego na policję - to średnio ma to sens. Przyjąć przyjmą zgłoszenie ale po pewnym czasie dostaniesz ubrane w piękne słowa "spier***" czyli coś w deseń - "Sprawców nie udało się ustalić, ble ble ble"
Zainteresuj się fail2ban czy też CSF.
Co do listy userów to tak jak powiedział debianus_userus "skatuj" /etc/passwd z warunkiem na uid>=1000
Ostatnio edytowany przez winnetou (2010-07-07 17:13:47)
Offline
[quote=winnetou]...
Jeśli chodzi o kierowanie tego na policję - to średnio ma to sens. Przyjąć przyjmą zgłoszenie ale po pewnym czasie dostaniesz ubrane w piękne słowa "spier***" czyli coś w deseń - "Sprawców nie udało się ustalić, ble ble ble"
...[/quote]
Jeśli będzie Ci potrzebna dupokrytka, to warto mieć nawet takie dictum na piśmie - jeśli ktoś miałby Cię potem ciągać itp.; no na podobnej zasadzie jak się zgłasza utratę dokumentów czy kradzież tablic rejestracyjnych.
Jeśli zaś to zabawa hobbystyczna to faktycznie chyba nie ma sensu...
Ostatnio edytowany przez ippo76 (2010-07-07 18:28:04)
Offline
Bardziej zależy mi na tym, żeby mieć papier na to..
Z mojego serwera było logowanie na kilkanaście innych ssh.
Jestem w posiadaniu nawet listy haseł, loginów i adresów do tych maszyn.
Ktoś wie jak wyglądają formalności w takiej sprawie? co przygotować ewentualnie?
porobiłem kopie logów i historii powłoki wraz z checksum'ami
Offline
Ja niestety (albo stety?) nie mam pojęcia, aczkolwiek spodziewaj się, że będą chcieli Cię zniechęcić do złożenia zawiadomienia :)
Offline
Chmm... Nie ma mowy o jakimkolwiek zniechęcaniu do złożenia zawiadomienia o przestępstwie, przecież policja jest do tego (ścigania przestępstw) powołana! Przedstaw wydruki, dołącz je do zawiadomienia, możesz jeszcze żądać zaświadczenia o złożeniu zawiadomienia o popełnieniu przestępstwa...
Co do znalezienia sprawców... no cóż... raz jak byłem (jestem?) pokrzywdzonym udało się, więc czemu ma się nie powieść w tym przypadku?
Offline
Artykuł z hakin9, bodajże z 2008 roku o [url=http://nfsec.pl/hakin9/helix.pdf]analizie po włamaniowej[/url], może się jakieś informacje przydadzą z artykułu.
Offline
Ogólnie zasada jest taka kont powinno być jak najmniej.
Wszystkie nieużywane konta powinny być zablokowane lub usunięte. Hasła powinny być trudne do złamania... najlepiej posłużyć się Johntheripper do sprawdzenia haseł.
Offline
Time (s) | Query |
---|---|
0.00007 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00060 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.133.138.129' WHERE u.id=1 |
0.00069 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.133.138.129', 1733366268) |
0.00038 | SELECT * FROM punbb_online WHERE logged<1733365968 |
0.00036 | SELECT topic_id FROM punbb_posts WHERE id=151338 |
0.00273 | SELECT id FROM punbb_posts WHERE topic_id=17173 ORDER BY posted |
0.00318 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=17173 AND t.moved_to IS NULL |
0.00121 | SELECT search_for, replace_with FROM punbb_censoring |
0.00057 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=17173 ORDER BY p.id LIMIT 0,25 |
0.00696 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=17173 |
Total query time: 0.01679 s |