Старый 27.02.2012, 03:23   #1
b3
 
Аватар для b3
 
Регистрация: 18.08.2010
Сообщений: 352
Репутация: 105
По умолчанию Автоматизация сбора информации на сервере.

Небольшой bash сценарий для сбора информации на сервере. Бывает забываем проверить что либо, тот же shadow на чтение при кривых правах (бывает когда одмин ололо) в таких случаях автоматизация рулит =)

Ознакомиться :
https://gist.github.com/b3dEvilooper/57a679c05da2c43b2069f58f56411239

[B][I][U]

Сбор данных:
Код:
general information: Общая информация - процессор, ядро, id, mount и тд.
security fails: Забытые дампы памяти, неверные права shadow-файла и тд.
av, firewalls: поиск установленных руткитхантеров, антивирусов, правил фаерволов.
Usefull: Полезности в виде интерпретаторов икомпиляторов.
users info: Список всех пользователей и проверка прав домашних каталогов на чтение
у пользователей чей ИД больше 500 
(стандарт пользователя ето ИД от 1000 но встречались сервера и ИД от 500)
library info: вывод библиотек из /lib /lib64, инфа о libc
crontab info: читалка всех кронтабов из /etc /var/spool/cron по возможности.
FIND suid files: поиск суидных файлов в системе.

Последний раз редактировалось b3; 02.01.2019 в 15:25.. Причина: upd 01.03.2013
b3 вне форума   Ответить с цитированием
Старый 27.02.2012, 10:30   #2
SynQ
 
Регистрация: 11.07.2010
Сообщений: 953
Репутация: 352
По умолчанию

Я бы проверку на /proc/sys/net/rds заменил на проверку наличия /lib/modules/..../rds.ko (не помню точное название модуля)), т.к. модуль почти никогда не загружен сразу, а подгружается при создании PF_RDS сокета. Тоже можно и для econet.ko сделать.
SynQ вне форума   Ответить с цитированием
Старый 27.02.2012, 12:26   #3
12309
 
Регистрация: 25.12.2011
Сообщений: 265
Репутация: 33
По умолчанию

еще по теме зацени http://www.trapkit.de/tools/checksec.html
12309 вне форума   Ответить с цитированием
Старый 27.02.2012, 13:31   #4
Raz0r
 
Аватар для Raz0r
 
Регистрация: 17.07.2010
Сообщений: 100
Репутация: 78
По умолчанию

http://bindshell.it.cx/intersect.html
Raz0r вне форума   Ответить с цитированием
Старый 04.05.2012, 11:04   #5
12309
 
Регистрация: 25.12.2011
Сообщений: 265
Репутация: 33
По умолчанию

унылый скрипт, претендующий на звание
Цитата:
Ransack is a post exploitation shellscript for penetration testers. Its purpose is to grab any information deemed relevant on a system, post root compromise. This information may include config files, ssh keys, ssl keys, or any other information deemed valuable.
всю инфу собирает банальным find'ом и прочими lsof'ами, но взглянуть стоит.
http://packetstormsecurity.org/files/112450/ransack.sh.txt
12309 вне форума   Ответить с цитированием
Старый 06.06.2012, 23:21   #6
dolbobit
 
Регистрация: 03.06.2012
Сообщений: 8
Репутация: 0
По умолчанию

Добавлю свои 5 копеек =)
Код:
 #####
#
# /proc/sys/vm/mmap_min_addr
#

if [ -r "/proc/sys/vm/mmap_min_addr" ]
then
	if [ "`cat /proc/sys/vm/mmap_min_addr`" -eq "0" ]
	then
		posible_vuln "/proc/sys/vm/mmap_min_addr = 0";
		info "http://www.grsecurity.net/~spender/exploits/enlightenment.tgz"
	else	
	    if [ -x "`which pulseaudio 2>/dev/null`" ]
	    then
		if [ -u "`which pulseaudio 2>/dev/null`" ]
		then
		    posible_vuln "SUID pulseaudio bypass MMAP_MIN_ADDR = 0";
		    info "http://www.grsecurity.net/~spender/exploits/enlightenment.tgz"
		fi;
	    fi;
	fi;
	
fi;
dolbobit вне форума   Ответить с цитированием
Старый 19.07.2012, 17:13   #7
RoD
 
Аватар для RoD
 
Регистрация: 25.10.2010
Сообщений: 19
Репутация: 5
По умолчанию

Где взял уже не помню Ananke v0.06
RoD вне форума   Ответить с цитированием
Старый 26.07.2012, 21:22   #8
Pashkela
 
Аватар для Pashkela
 
Регистрация: 05.07.2010
Сообщений: 1,243
По умолчанию

https://rdot.org/forum/attachment.php?attachmentid=280&d=1343389768

Последний раз редактировалось Pashkela; 27.07.2012 в 15:50..
Pashkela вне форума   Ответить с цитированием
Старый 01.03.2013, 04:47   #9
b3
 
Аватар для b3
 
Регистрация: 18.08.2010
Сообщений: 352
Репутация: 105
По умолчанию

Обновил скрипт, кое что добавил. Жду ваших комментариев
b3 вне форума   Ответить с цитированием
Старый 04.04.2013, 13:19   #10
echo419
 
Регистрация: 01.11.2012
Сообщений: 5
Репутация: 0
По умолчанию

Поправь
Цитата:
echo -e "[+]uanme -a:";uname -a
echo419 вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot