Телеграмм чат группы phd

04:17пожаловаться #1

K

Но меня не интересовали команды, запущенные не от рута.

04:18пожаловаться #2

m

Но меня не интересовали команды, запущенные не от рута.

Ну вот да, если убрать фильтр по привилегированным (с euid=0) опять в логи начинает лить этот линкер.

04:51пожаловаться #3

K

mad3e7cat

Ну вот да, если убрать фильтр по привилегированным (с euid=0) опять в логи начинает лить этот линкер.

Это лоадер, а не линкер. Можно всё-таки показать пример лога?

05:28пожаловаться #4

m

Тут это названо линкером просто
https://man7.org/linux/man-pages/man8/ld.so.8.html

12:10пожаловаться #5

m

Это лоадер, а не линкер. Можно всё-таки показать пример лога?

Скину попозже, как доберусь до рабочего компа

Nikolai Arefiev in SOС Технологии

12:10пожаловаться #6

NA

FYI https://github.com/rstcloud/rstthreats

GitHub

rstcloud/rstthreats

Aggregated Indicators of Compromise collected and cross-verified from multiple open and community-supported sources, enriched and ranked using our intelligence platform for you - rstcloud/rstthreats

Ranis G (wfx) in SOС Технологии

21:22пожаловаться #7

RG

Nikolai Arefiev

FYI https://github.com/rstcloud/rstthreats

GitHub

rstcloud/rstthreats

Aggregated Indicators of Compromise collected and cross-verified from multiple open and community-supported sources, enriched and ranked using our intelligence platform for you - rstcloud/rstthreats

а как часто они собираются их обновлять интересно

23:58пожаловаться #8

2020 July 12

$

$t3v3;0) in SOС Технологии

Ranis G (wfx)

а как часто они собираются их обновлять интересно

Они?)

00:02пожаловаться #9

$

$t3v3;0) in SOС Технологии

Это Коля как раз и ваяет

Ranis G (wfx) in SOС Технологии

00:02пожаловаться #10

RG

а все)

Nikolai Arefiev in SOС Технологии

00:03пожаловаться #11

NA

Судя по crontab у них git push в 10:00 по МСК каждый день ))))

00:34пожаловаться #12

2020 July 13

m

Это лоадер, а не линкер. Можно всё-таки показать пример лога?

type=PATH msg=audit(1594634649.843:2913869391): item=1 name="/lib64/ld-linux-x86-64.so.2" inode=526880 dev=fd:0b mode=0100755 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0

13:13пожаловаться #13

m

max in SOС Технологии

mad3e7cat

type=PATH msg=audit(1594634649.843:2913869391): item=1 name="/lib64/ld-linux-x86-64.so.2" inode=526880 dev=fd:0b mode=0100755 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0

Это только часть события. Целиком можно найти по id 1594634649:843:2913869391

13:22пожаловаться #14

m

Вот пример 3 событий:

1594639453.504:2913933860
sudo ausearch -a 2913933860 -i
----
type=PATH msg=audit(07/13/2020 11:24:13.504:2913933860) : item=1 name=/lib64/ld-linux-x86-64.so.2 inode=****** dev=**:** mode=file,755 ouid=root ogid=root rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0
type=PATH msg=audit(07/13/2020 11:24:13.504:2913933860) : item=0 name=/***/***/bin/python2.7 inode=****** dev=**:** mode=file,555 ouid=***** ogid=***** rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0
type=EXECVE msg=audit(07/13/2020 11:24:13.504:2913933860) : argc=3 a0=/***/***/bin/python2.7 a1=/***/***/bin/***.py a2=execute
type=SYSCALL msg=audit(07/13/2020 11:24:13.504:2913933860) : arch=x86_64 syscall=execve success=yes exit=0 a0=0x*** a1=0x*** a2=0x*** a3=0x*** items=2 ppid=13317 pid=38930 auid=*** uid=*** gid=*** euid=*** suid=*** fsuid=*** egid=*** sgid=*** fsgid=*** tty=(none) ses=124677 comm=python2.7 exe=/***/***/bin/python2.7 key=TEST

1594639453.596:2913933863
sudo ausearch -a 2913933863 -i
----
type=PATH msg=audit(07/13/2020 11:24:13.596:2913933863) : item=2 name=/lib64/ld-linux-x86-64.so.2 inode=****** dev=**:** mode=file,755 ouid=root ogid=root rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0
type=PATH msg=audit(07/13/2020 11:24:13.596:2913933863) : item=1 name=/bin/sh inode=****** dev=**:** mode=file,755 ouid=root ogid=root rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0
type=PATH msg=audit(07/13/2020 11:24:13.596:2913933863) : item=0 name=/sbin/ldconfig inode=****** dev=fd:0b mode=file,755 ouid=root ogid=root rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0
type=EXECVE msg=audit(07/13/2020 11:24:13.596:2913933863) : argc=3 a0=/bin/sh a1=/sbin/ldconfig a2=-p
type=SYSCALL msg=audit(07/13/2020 11:24:13.596:2913933863) : arch=x86_64 syscall=execve success=yes exit=0 a0=0x*** a1=0x*** a2=0x*** a3=0x*** items=3 ppid=38930 pid=38935 auid=*** uid=*** gid=*** euid=*** suid=*** fsuid=*** egid=*** sgid=*** fsgid=*** tty=(none) ses=124677 comm=ldconfig exe=/bin/dash key=TEST

1594639453.676:2913933866
sudo ausearch -a 2913933866 -i
----
type=PATH msg=audit(07/13/2020 11:24:13.676:2913933866) : item=1 name=/lib64/ld-linux-x86-64.so.2 inode=****** dev=**:** mode=file,755 ouid=root ogid=root rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0
type=PATH msg=audit(07/13/2020 11:24:13.676:2913933866) : item=0 name=/bin/uname inode=****** dev=**:** mode=file,755 ouid=root ogid=root rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0
type=EXECVE msg=audit(07/13/2020 11:24:13.676:2913933866) : argc=2 a0=uname a1=-p
type=SYSCALL msg=audit(07/13/2020 11:24:13.676:2913933866) : arch=x86_64 syscall=execve success=yes exit=0 a0=*** a1=0x*** a2=0x*** a3=0x1 items=2 ppid=38938 pid=38939 auid=*** uid=*** gid=*** euid=*** suid=*** fsuid=*** egid=*** sgid=*** fsgid=*** tty=(none) ses=124677 comm=uname exe=/bin/uname key=TEST

14:59пожаловаться #15

m

Каждому сопутствует, как видно, одно событие PATH с name=путь до ld

15:02пожаловаться #16

K

mad3e7cat

Вот пример 3 событий:

1594639453.504:2913933860
sudo ausearch -a 2913933860 -i
----
type=PATH msg=audit(07/13/2020 11:24:13.504:2913933860) : item=1 name=/lib64/ld-linux-x86-64.so.2 inode=****** dev=**:** mode=file,755 ouid=root ogid=root rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0
type=PATH msg=audit(07/13/2020 11:24:13.504:2913933860) : item=0 name=/***/***/bin/python2.7 inode=****** dev=**:** mode=file,555 ouid=***** ogid=***** rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0
type=EXECVE msg=audit(07/13/2020 11:24:13.504:2913933860) : argc=3 a0=/***/***/bin/python2.7 a1=/***/***/bin/***.py a2=execute
type=SYSCALL msg=audit(07/13/2020 11:24:13.504:2913933860) : arch=x86_64 syscall=execve success=yes exit=0 a0=0x*** a1=0x*** a2=0x*** a3=0x*** items=2 ppid=13317 pid=38930 auid=*** uid=*** gid=*** euid=*** suid=*** fsuid=*** egid=*** sgid=*** fsgid=*** tty=(none) ses=124677 comm=python2.7 exe=/***/***/bin/python2.7 key=TEST

1594639453.596:2913933863
sudo ausearch -a 2913933863 -i
----
type=PATH msg=audit(07/13/2020 11:24:13.596:2913933863) : item=2 name=/lib64/ld-linux-x86-64.so.2 inode=****** dev=**:** mode=file,755 ouid=root ogid=root rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0
type=PATH msg=audit(07/13/2020 11:24:13.596:2913933863) : item=1 name=/bin/sh inode=****** dev=**:** mode=file,755 ouid=root ogid=root rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0
type=PATH msg=audit(07/13/2020 11:24:13.596:2913933863) : item=0 name=/sbin/ldconfig inode=****** dev=fd:0b mode=file,755 ouid=root ogid=root rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0
type=EXECVE msg=audit(07/13/2020 11:24:13.596:2913933863) : argc=3 a0=/bin/sh a1=/sbin/ldconfig a2=-p
type=SYSCALL msg=audit(07/13/2020 11:24:13.596:2913933863) : arch=x86_64 syscall=execve success=yes exit=0 a0=0x*** a1=0x*** a2=0x*** a3=0x*** items=3 ppid=38930 pid=38935 auid=*** uid=*** gid=*** euid=*** suid=*** fsuid=*** egid=*** sgid=*** fsgid=*** tty=(none) ses=124677 comm=ldconfig exe=/bin/dash key=TEST

1594639453.676:2913933866
sudo ausearch -a 2913933866 -i
----
type=PATH msg=audit(07/13/2020 11:24:13.676:2913933866) : item=1 name=/lib64/ld-linux-x86-64.so.2 inode=****** dev=**:** mode=file,755 ouid=root ogid=root rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0
type=PATH msg=audit(07/13/2020 11:24:13.676:2913933866) : item=0 name=/bin/uname inode=****** dev=**:** mode=file,755 ouid=root ogid=root rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0
type=EXECVE msg=audit(07/13/2020 11:24:13.676:2913933866) : argc=2 a0=uname a1=-p
type=SYSCALL msg=audit(07/13/2020 11:24:13.676:2913933866) : arch=x86_64 syscall=execve success=yes exit=0 a0=*** a1=0x*** a2=0x*** a3=0x1 items=2 ppid=38938 pid=38939 auid=*** uid=*** gid=*** euid=*** suid=*** fsuid=*** egid=*** sgid=*** fsgid=*** tty=(none) ses=124677 comm=uname exe=/bin/uname key=TEST

в таком порядке:

sudo auditctl -a exclude,never -F msgtype=PATH
sudo auditctl -a exit,always -F arch=b64 -F euid=0 -S execve

после этого type=PATH должно перестать логировать, но EXECVE и SYSCALL должны остаться.

17:56пожаловаться #17

m

в таком порядке:

sudo auditctl -a exclude,never -F msgtype=PATH
sudo auditctl -a exit,always -F arch=b64 -F euid=0 -S execve

после этого type=PATH должно перестать логировать, но EXECVE и SYSCALL должны остаться.

Но это ведь вообще убирает все PATH и добавляет execve. А если PATH нужны ещё по каким-то - их уже не буду видеть правильно?

18:09пожаловаться #18

K

да

18:09пожаловаться #19

K

поэтому я бы десять раз подумал, прежде, чем так делать