В какой лог упадет выполнение команды Whoami?

Question

[MoyMirok]

Всем привет. В какой лог упадет исполнение команды whoami в ubuntu? в syslog не вижу.

Comments

[AlexVWill]

Возможно и ни в какой. Не обязательно же все команды в логи пишут. Если так прям опасаешься выполнения этой команды, попробуй заблокировать её выполнение. Из /bin каталога удали файл whoami или переименуй его как нибудь.

Answer 1

[pfg21]

а зачем ее в лог запихивать ??
команда отработалась нормально, никаких ошибок.

Comments

[MoyMirok]

Для обнаружения в логе эксплойта. Если, например, через 0day уязвимость кто-то выполнит такую или подобную системную команду удаленно.

[pfg21]

MoyMirok, напиши скрипт, подменяющий действие whoami, с записью действий в какой-либо лог и выполнением whoami.

[MoyMirok]

pfg21, Дело не только в whoaim, это просто индикатор может быть и touch, и mkdir и т.дитп

[alex1478]

MoyMirok, тогда вам стоит посмотреть в сторону audit

[MoyMirok]

alex1478, Спасибо. Это название ПО или класс по?

[pfg21]

MoyMirok, стандартный демон аудита событий в линухе.
https://itsecforu.ru/2019/01/23/%D0%BA%D0%B0%D0%BA...

[MoyMirok]

pfg21, О, спасибо

Answer 2

[MoyMirok]

Понял, что ни в какой лог. Потому создал лог, куда будет падать

Comments

[Александр Карабанов]

Будь осторожен с записью истории команд в лог - там могут фигурировать пароли в открытом виде.

[MoyMirok]

Александр Карабанов, У меня больше нет идей, как эффективно отслеживать сккомпрометированую машину

[Александр Карабанов]

MoyMirok, почему ты решил, что воспользуются именно whoami, я например, когда "пентестю" использую id, да и потом куда запишется история, если оболочка была запущена от имени www-data?

Рассмотри, как вариант Настройка auditd для обнаружения и расследования и...

[MoyMirok]

Александр Карабанов, потому что я рассматриваю на примере конкретной 0day уязвимости. Когда злоумышленник получает доступ к системе через пользователя сервиса. Да, мы же не запускаем веб-сервисы под рутом.

[MoyMirok]

Александр Карабанов, Спасибо за ссылку

[Александр Карабанов]

MoyMirok, www-data совсем не root

[MoyMirok]

Александр Карабанов, Как запустить что-то под www-data если сервис с дыркой, например, работает под урезанным пользователем servicename?

[Александр Карабанов]

MoyMirok, для начала линписом ищешь известные уязвимости, потом применяешь эксплоит. В последнее время дырка в pkexek популярна, например. Тут знаний-то особых ненадо, только умение гуглить.

[MoyMirok]

Александр Карабанов, Понятно, спасибо