Голосование

Слетала ли у вас система Дебиан при отсутствии настроенных фаервола и антивируса?

Да, слетала. Защита вообще не стояла, всё было по умолчанию.
1 (33.3%)
Да, слетала. Защита стояла, но не настраивалась.
0 (0%)
Да, слетала. Защита стояла и настраивалась, но всё равно система была скомпрометирована.
0 (0%)
Нет, не слетала. Защита вообще не стояла, всё было по умолчанию.
2 (66.7%)
Нет, не слетала. Защита стояла и не настраивалась.
0 (0%)
Нет, не слетала. У меня стоит настроенная защита.
0 (0%)

Проголосовало пользователей: 3

Голосование закончилось: 30 Мая 2008, 02:34

Автор Тема: Смена владельцев в /home -- опасно ли для всей системы?  (Прочитано 3825 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Gennie

  • Global Moderator
  • *****
  • Сообщений: 378
  • Karma: +10/-0
Debian Etch, всего два юзера. *Установлен WINE* (если это что-нибудь даст), защиту специально не ставил, ни iptables, ни других файрволов (возможно, напрасно), антивирей тоже. Внешнего IP нету, в инете через вот этот маршрутизатор с заводской (необновлённой) прошивкой и провайдерский нат. Жена под своим акком что-то сделала, говорит, попыталась загрузить со злосекты ВКонтакте какую-то картинку, -- но не ту, о которой ДРВеб предупреждал, что это, мол, вирус в жпеге, а вообще какую-то стороннюю безобидную картиночку. После чего, по её словам, в окошке IceWeasel'я "Сохранить как" в поле "название файла" бегущей строкой быстро побежали спецсимволы и вся система подвисла намертво вообще. Reset, и, по её словам (что выглядит опять же странно, я не видел), система после загрузки выдала ей консольное приглашение, в котором было написано слово *ROOT* -- и она выключила комп после этого.
Прихожу и вижу: у обоих наших пользователей в /home владельцы на все файлы стоят у одного 1000:1000, у другого 1002:1002, и только у /home/lost+found почему-то остались root:root. Ну ладно, перезашёл под Кноппиксом, #chown -hR gene:gene /home/gene, для второго юзера по аналогии, сменил все пароли, вроде всё ОК, перезахожу в Дебиан -- опять владельцы послетали, на этот раз цифры поменьше были, но суть та же. Я ничо не понял, перезашёл в Мандриву, снова поменял всех владельцев, -- вроде зоработало в Дебиане. Кстати, после тотальной проверки Дебиана уже из Мандаривы обнаружил несколько включений с разрешениями 1002:1002 в системном /tmp -- прибил их совсем.
Кто подскажет, что это ваще было? И какая рекомендуется профилактика?
Мир явно движется куда-то не туда и Microsoft возглавляет это движение! (L) 2006
Microsoft is not the answer... Microsoft is a question and the answer is NO!
Thou shalt call Unix-minded tru freeware a Holyware!

rain

  • Global Moderator
  • *****
  • Сообщений: 663
  • Karma: +10/-0
(Нет темы)
« Ответ #1 : 01 Июня 2008, 10:04 »
Цитировать
Прихожу и вижу: у обоих наших пользователей в /home владельцы на все файлы стоят у одного 1000:1000, у другого 1002:1002

UID=1000 - это стандартный UID для первого созданного пользователя в Debian... Что не так?
По системе... Проверь пошагово, что у тебя запускается при старте системы, обращай внимание на недавно измененные файлы, пройдись rkhunter, мож чего покажет.
Registered Linux User # 377068
Аз есмь линуксоид <img src=\"{SMILIES_PATH}/wink.gif\" alt=\";)\" title=\"Wink\" />
Присоединяемся к акции массового перехода на Jabber -
самую современную сеть обмена мгновенными сообщениями!

Меня

Gennie

  • Global Moderator
  • *****
  • Сообщений: 378
  • Karma: +10/-0
(Нет темы)
« Ответ #2 : 02 Июня 2008, 01:51 »
rain, спасибо, что зашёл сюда. Вот незадача у меня произошла... Не работал ещё плотно с определениями UID пользователей (жаль, конечно, просто не довелось ещё). Проблема была в том, что при графическом входе при вводе правильного пароля всё перезагружалось снова на логин/пароль, а при консольном при этом показывало ещё и долгожданную (которую в гуе, разумеется, "дружелюбно" не дождёшься) ошибку о том, что "не может найти /home, делает домашней папкой /" -- и делал! Причём fstab мне это нечто не заменяло, всё вроде было в порядке, /home там стоял примонтированный на конкретный раздел, но когда я взглянул на владельцев в /home, то увидел, что все они именно user=1000, group=1000 для моего и по 1002 для аккаунта жены. При этом я отлично помню, что, создавая новый файл, система присваивала ему владельцев current_user:current_group, которые, в общем-то, всегда совпадали. Ну вот, поменял всех владельцев обратно -- и оно заработало, стало по крайней мере входить в графике. Наверное, всё же что-то было не так, если все юзера и группы внутри /home были заменены?
Цитировать
По системе... Проверь пошагово, что у тебя запускается при старте системы
Как это сделать? /etc/rcx.d ?
Руткитхантер попробую, спасибо за совет!

Тут что-то непонятное прямо сейчас, вот сижу и туплю. ФАТ32 раздел монтируется с auto -- это значит, от root'а? А если я его отмонтирую и потом опять примонтирую юзером, потому как опция user у него тоже выставлена в fstab, и он нормально у меня монтируется под этим юзером, mount показывает, что раздел примонтирован rw и user=мой_юзер, -- и почему-то при всём этом я ничего не могу сделать с этим разделом, ни пишет, ни стирает с него, при таких попытках говорит, что файловая система примонтирована в режиме ридонли, ну что там ещё не так может быть? Сорри за многабукаф, стараюсь подробнее всё описать. Hlp, pls.
Мир явно движется куда-то не туда и Microsoft возглавляет это движение! (L) 2006
Microsoft is not the answer... Microsoft is a question and the answer is NO!
Thou shalt call Unix-minded tru freeware a Holyware!

rain

  • Global Moderator
  • *****
  • Сообщений: 663
  • Karma: +10/-0
(Нет темы)
« Ответ #3 : 02 Июня 2008, 03:39 »
Ты можешь посмотреть на соответствие user - uin в /   etc /   passwd, обращай внимание так же на всяких левых пользователей. Все проверки лучше делать со сторонней системы, желательно с live-cd.

Цитировать
Как это сделать? /etc/rcx.d ?
Ссылки на стартовые скрипты да, находятся там, ссылаются на /etc/init.d (если у тебя стандартная система инициализации).
Цитировать
ФАТ32 раздел монтируется с auto -- это значит, от root'а?

Это значит, что оно будет монтировать ее при старте системы, вместе с остальными ФС.
Права на точку монтирования какие?

Подумай, не проще ли будет сделать бэкап данных и системы (чтобы при случае в ней поковыряться, да и конфиги чтобы было откуда брать) и поставить систему заново.
Registered Linux User # 377068
Аз есмь линуксоид <img src=\"{SMILIES_PATH}/wink.gif\" alt=\";)\" title=\"Wink\" />
Присоединяемся к акции массового перехода на Jabber -
самую современную сеть обмена мгновенными сообщениями!

Меня

rain

  • Global Moderator
  • *****
  • Сообщений: 663
  • Karma: +10/-0
(Нет темы)
« Ответ #4 : 02 Июня 2008, 03:40 »
Сорри за долгий ответ - в форуме багу нашел, не мог ответ отправить.
Registered Linux User # 377068
Аз есмь линуксоид <img src=\"{SMILIES_PATH}/wink.gif\" alt=\";)\" title=\"Wink\" />
Присоединяемся к акции массового перехода на Jabber -
самую современную сеть обмена мгновенными сообщениями!

Меня

Gennie

  • Global Moderator
  • *****
  • Сообщений: 378
  • Karma: +10/-0
(Нет темы)
« Ответ #5 : 12 Июня 2008, 08:50 »
История получила продолжение здесь. Из-за дурацкой ошибки этого форума с отображением английской записи "/этц/пассвд", пришлось перебрать по кусочкам весь текст, чтобы добраться до этой фразы, и я менял ветки форума, думал, может ветка Дебиан взглючнула, так в Мандриве лучше будет...
Мир явно движется куда-то не туда и Microsoft возглавляет это движение! (L) 2006
Microsoft is not the answer... Microsoft is a question and the answer is NO!
Thou shalt call Unix-minded tru freeware a Holyware!