Tales from the Machine Room

Cavolo, e' proprio de coccio quello li ...... Speriamo sia la volta buona che te lo levano dai piedi ... o chi vive sperando, muore ....... male ?

"rm .bash_history" ma allora SA di essere un babbuino... altrimenti che senso avrebbe piallarla? io l'ho portata a 10k perchè è troppo comoda.

Rotoloni CL, non finiscono mai!

Credo di sapere che cosa sia andato a rimuovere...

Buona giornata Davide!

Un problema in meno o attendi il suo sostituto che (Murphy e' li' che ti guarda eh...) sara' peggio dell'attuale?

sara' mica arrivato il momento di far tenere una copia di .bash-history da qualche parte, in automatico?

Ciao Davide ho scoperto il tuo sito qualche settimana fa e me lo sto leggendo tutto quanto giorno per giorno. Che dire, complimenti!

Premetto di aver letto le FAQ e sapere cosa sia FdT (so che ci tieni!) come mai non usi un cms o piattaforma di blog per pubblicare i contenuti? Che so, WordPress? Io lo trovo così comodo...

Se hai letto l'articolo sai perche'

Ho come l'impressione che il CL in questione avrà un brutto quarto d'ora, la fiducia nel prossimo mi fa pensare che non ci saranno altre telefonate per far dare al CL la password di root.

Se non ricordo male non avevi fatto un back up al server la volta scorsa?

Bellissimo quel "io adesso vado a rimuovere qualche cosa d'altro"!!!

Spero proprio (per voi) che intenda rimuovere la testa di CL dal suo collo...

Vedo che dopo mille peripezie il "noi non abbiamo fatto nulla" sembra iniziare a passare di moda.

Il fatto che CL cancelli la .bash_history come PRIMA cosa, e' indicativo di due fatti:

a. ha la oscienza sporca

b. e' un cretino (ma questo fatto era gia- noto a priori), perche' dovrebbe farla come anche come ULTIMA altrimenti, almeno l'ultima sessione di lavoro, resta tracciata.

che sia la volta buona che CL subisca un rm -f ? sperem!

mh, sempre così? non c'è pace per i dannati.

> In particolare ha imparato a fare un "rm .bash_history" come primo foxxuto comando ogni volta che fa login.

Si fan sempre piu' furbi questi CL

Ahahahahah... sono alle lacrime =')

Eccezionale...mi vedo UL in funzione Eraser (L'eliminatore) con il miTTico Arnold che va a rimuovere CL.

Dite che avrà fatto rm -Rf *.tfr di CL?

Certo che se sto CL perdesse il tempo per cercare di capire come funzionano le cose che fa invece di cercare di capire come far danni e nascondersi...ops non sarebbe più CL.

'giorno D.

n00b die on dead line...

beh, forse per un pò di tempo avrai un problema in meno... Tutto sta nel capire QUANTO tempo

Chissa' se si fermano a due solo reinstallazioni o decidono di iterare il processo

Comunque invece di rimuovere il login di CL dovresti fare eseguire al suo login invece di bash un bello script che spedisce una mail al suo UL:

"Ciao UL, sono CL. Contravvenendo in pieno alle tue disposizioni, ho fatto il login sul server X ".

Cacchio stavolta l'ha fatta grossa. C'è da dire che è anche un po' sfigato però.. alla prima cappellata i piscer gli bucano il sito in tempo zero l'isp lo sgama. Un viaggetto a Lourdes non gli farebbe male.

Cosa ha rimosso poi?

Non e che CL per mestiere fa il "pescatore" ? Anche perchè l'rm della history è un pelo sospetta.

Come direbbe Murphy "I cretini sono sempre piu' ingegniosi delle precauzioni che si prendono per impedirgli di nuocere"....

Bene, CL e' ancora piu' cretino di quanto pensassi. Se sai di aver fatto una vaccata, .bash_history mica la levi (dimostrando cosi' di avere la coscienza sporca): la "correggi"!

E' vero che dovresti sapere di che vaccata si tratta e, dato il tipo, mi sa che si rende conto di fare vaccate ma non ha idea di quali siano...

@Steve: che sia la prima cappellata e' un'ipotesi (peraltro estremamente ottimistica visto il track record di CL). Per quanto ne sappiamo, il sito e' probabilmente nella mystica posizione che, in Toscana, definiscono "buopillonzi". In costume adamitico. Con un tatuaggio "welcome" sulla schiena. In una prigione senza visite coniugali.

@D: ogni tanto si vede in che lingua pensi "Pretendere", in italiano, e' sinonimo di "esigere": io pretendo di essere pagato per il lavoro che faccio e il mio panettiere pretende di essere pagato per le michette. Buoni "false friends" a tutti...

E ora una nuova puntata di ... (signorina che mostra l'acconciatura) "CL vs D.". Ormai dovresti fare le magliette

"adotta anche tu un CL, cosi' ti risolleva la giornata quando sei triste".

Preparati Davide, il CL che lo sostituirà sarà peggio. Murphy non sbaglia.

Suggerimento per quando reinstalli il server, LVM con possibilità di fare Snapshot e scriptino che fa uno Snapshot di .bash_history prima di ogni rm... Messo in piedi su server lasciato mio malgrado a Pigs&Dogs e va da Dio...

Ciao

ROTFL!

Quel CL è proprio coriaceo eh? Tenta pure di far sparire le prove...

Quoto l'idea di loggare la sua .bash_history altrove, sempre che il suo UL lo lasci vivo e gli renda il permesso di nuocere...

@filsysadmin

Questa cosa mi fa pensare: 'sto pirla non sapeva fare neanche un rm ed ora ha appreso cos'è .bash_history, dove trovarlo e come rimuoverlo in un colpo solo... non è che CL si è detto "dato che non sono molto bravo, perché non lo faccio fare al mio nuovo amico che ho conosciuto in un Pub l'altra sera, il cui nome non mi ricordo, ma mi ha detto che è TAAANTO bravo?" e gli ha dato le password di Root?

Ricordo il Principio di Napoleone: "Non imputare a malafede, quello che puoi essere imputato ad imbecillità"

Posso farti notare che rm lo sapeva fare bene... anche troppo bene...

<battutascontata>

Questa volta CL ha proprio phishato fuori dal vaso!

</battutascontata>

Ma son diventati veramente così furbi i CL da droppare la bash history? Addirittura il tizio sa a cosa serve bash_history??

Sicuro che da una falla di uno dei demoni in ascolto verso l'esterno non son riusciti ad ottenere i privilegi di root?

In questi casi solitamente la prima cosa è modificare il file di profilo per fare il rm dell'history per rendere la vita un pelo più difficile a noi sysadmin..

PS: Tnk per farmi iniziare in allegria i lunedì

@Marco

Mi ricorda un "Responsabile" in un posto dove abbiamo fatto un'installazione di un nostro filtro per internet. Non sto a ripetere tutta la storia, ma, sostanzialmente, diceva che è inutile usare delle procedure per limitare gli utenti, dato che loro erano sempre un passo avanti, era meglio lasciargli fare quello che volevano, che si faticava di meno. Se non gli ho detto quello che realmente pensavo è stato un miracolo.

uno che elimina la history ha la cosicienza sporca.

che poi se non erro facendo la rm di .bash_history la nuova history inizia proprio con il comando della rm. che pirlotto

Nooooooo... e adesso che rimuovono il CL, hai perso una delle fonti migliori delle tue storie!!! o hai semplicemente risolto il problema alla fonte?

complimenti. è sempre un piacere passare di qua tutti i lunedì

Quando collaboravo con una distro linux veniva usata una patch su tutte le shell che scriveva (in append) un simpatico file dal nome "1" nella $HOME dell'utente e che metteva tutto il log in scrittura. Tale file inoltre era leggibile da tutti ma non cancellabile da nessuno (e in particolare solo scrivibile dalle shell). Ovviamente un programma c qualsiasi poteva battere la limitazione, ma sospetto che quel file 1 onnipresente in $HOME fosse lì solo per dirti "stai buono perché tanto ne abbiamo un altra copia da un altra parte".

Una patch similare é questa, ma non l'ho usata.

http://e133.enemy.cx/xSH-paranoia/

Quanto tempo passerà prima che gli ridiano il log-in sulla macchina alias la distrugga un altra volta? Il tutto considerando che vedendo la precedente esperienza la cosa succederà sicuramente.

E' piu' probabile che chi ha bucato l'account di CL faccia rm .bash_history appena loggato.

Mai sopravvalutare un CL.

>>...come primo foxxuto comando ogni volta che fa login.

Coda di paglia grande come una casa. Come quando si cancella la cronologia del browser dopo essere andati su siti di donnine...

Per non lasciare tracce di una sessione in .bash_history, la soluzione piu` semplice e` quella di non chiudere la sessione con un "exit" ma con un "kill -9" del pid della propria shell. Cosi` facendo la history della sessione che si e` appena conclusa non viene scritta, lasciando tuttavia li` le precedenti. Che poi si vede lo stesso che hai fatto login perche` ci sono i dati in wtmp, ma comunque...

Nelle immortali parole di Gino Bramieri: dopo averne mangiato tre piatti ha capito che era risotto. Vale sia per il luser-wannabe-sysadm che per il suo responsabile, ma del primo non

sono sicuro.

Mah... adesso dovendo reinstallare riprenderai lo stato dei siti ospitati da backup, perdendo le modifiche? Io avrei cmq paura di infezioni anche nel codice di quei siti oramai...

Secondo me anche senza LVM per quel CL basta mettere HISTFILE=~/.pipppero in qualche script di sistema (/etc/bashrc per intenderci), e fargli trovare un fake .bash_history ogni volta che si collega, in modo da non insospettirlo.

Ma sarebbe ancora più divertente un chattr +i sul finto .bash_history e poi godersi dei suoi tentativi di rimuoverlo (ovviamente leggendoseli da ~/.pipppero). Si insospettisce di sicuro, ma il divertimento è assicurato.

La domanda ora è: quanto tempo passerà prima che riassegneranno la password al CL?

ih ih ih, non me la prenderei troppo: i siti di fishing sono utili! Si vedono (almeno tutti quelli che mi sono capitati) ad un Km, cosiccome le mail che ti mandano. Se la gente e` cretina ben gli sta`, il problema e` che il nostro sistema sociale trasforma i cretini in vittime.

@ALG mica puoi snapshottare (e spedire lo snap, se no ti cancella anche lui) a ogni login, oltre a tutto dovresti snapshottare tutti i volumi.

PS

nei srv che amministro io ho $HISTFILE a /dev/null (per me), la history è solo in memoria sino al logout; per gli altri script ben messo (il programma, non uno script)

@mic

Sì, a meno che tu non faccia rm .bash_history con un'altra shell...

Cioè... no... MA QUANTI DANNI HA INTENZIONE DI FARE!!!

@Daniele C.

Può essere ma solo se l'amico gli ha mostrato il biglietto truffaldino MAGO G GALBUSERA Cracker professionista.

No troppe e poi fai vaccate non insabbi come già detto precedentemente correggi se poi non sai correggere o altro allora Come suggerito di nuovo sopra UL-SUBzero ti potrebbe "carezzare".

@Alessio:

sarebbe meglio "Salva un server, uccidi un CL!"

@Davide:

in effetti la history non dovrebbe rimuoverla alla fine della sessione?

@all:

dopo 4 mesi del nuovo lavoro finalmente è arrivata la fatidica telefonata!

-CL: non funziona il router!

-Io: è acceso?

-CL: perchè, lo devo accendere?

No, dai, non e' possibile... per me quell'ssere ha una password tipo "password" (o se si è davvero evoluto, il nome del cane) bucabile in 3 secondi dal primo fetente che passa e si trova casualmente per le mani un sitarello che ha bisogno di hosting... uno che sa che esiste .bash_history non e' cosi' pirla da avere un sito di phishing senza saperlo. Inutile cercare motivazioni esoteriche per fenomeni spiegabili semplicemente con "CL e' imbecille"...

Io farei così per cancellare le tracce automaticamente:

o metto in ~/.bashrc HISTFILESIZE=0 oppure, che mi pare più divertente, echo rm -f ~/.bash_history > ~/.bash_logout

Ciao, Micky

Ciao Davide! Mi sa che sto CL è più duro di un virus eh?! Ma non ho capito bene l'ultima frase di UL "Io adesso vado a rimuovere qualche cosa d'altro..." non mi dire che lo ucciderà?!

Stammi bene!!! Valerio

Eheh mi sa che oggi D. era ben incasinato dato che ha "aggiunto" commenti ai nostri commenti.

Direi che oggi potrebbe essere stata una giornata memorabile per le storie di D. Aspetteremo per vedere!!!

Io aggiungo spesso commenti ai vostri commenti, questo qui per esempio

vorrei far notare che conoscere .bash_history non è una gran cosa e che:

1) il tizio la shell già la conosceva visti i danni che ha fatto, è un wannabe-sysad, la nomina di CL gli è arrivata non perchè non sapesse COME fare QUALCOSA ma perchè non aveva la più pallida idea di cosa stesse facendo, IMHO

2) la prima cosa che un CL impara è come fare danni e come cancellare le tracce, guardate un lab di informatica delle superiori e ne avrete le prove.. su 25 persone 3 sanno fare qualcosae le altre 22 sanno cancellare le tracce dei misfatti purchiedendo (testuali parole) "ma quando installo windows devo installare anche il cestino?"

Ops avevo dimenticato un "poco" nella dicitura aggiunto...ho stravolto il significato della frase. Sto organizzando un pulmino per Lourdes o Caravaggio qualcuno è interessato!?

Ti posso dare un paio di CL da buttare nella piscina? fa lo stesso se non li riporti piu' indietro.

(per denis) Gli si poteva rispondere: installa prima il cestino e mettitici dentro.

@Paolo C.: da aggiungere "tenendo premuto Shift", prima che qualcuno lo recupera...

grandioso... semplicemente grandioso. ODE a CL!

Credo fortemente di voler essere tuo discepolo D.

Un giovine e aspirante Youngling, per poter conoscere ed imparare ad utilizzare tutti gli aspetti più reconditi dello sForzo/a...poter controllare le menti dei CL, configurare SpaghettiNetwork, depistare pescatori di frodo (phisher), ma soprattutto per sopravvire (nonostante assenza di spirito motociclista anche se adoro le moto) al tuo progetto finale eheh...

Che lo sforzo sia con te...

shit meet fan...

Ti seguo da anni ma questa storia mi ha veramente sbalordito. Come dice il proverbio?Errare umanum est, perseverare ovest :lol:

Per spacexplorer: ognuno di noi può rimanere VITTIMA di un lavoro mal eseguito o non eseguito affatto, per il quale abbiamo però corrisposto quanto ci è stato chiesto. L'esempio è calzante in quanto dimostra che siamo tutti frodabili, basta solo trovare chi si accorge della nostra ignoranza in uno specifico ambito. Mi auguro che tu possa ripensare a quanto hai scritto.

denis dice:

> [...] io l'ho portata a 10k perchè è troppo comoda.

Anche io a casa lascio 10K... ma sui server esposti preferisco fare "unset HISTFILE" ad ogni login.

Motivo? Un modo in più per capire immediatamente quando qualcuno che non sono io avvia una shell; e in ogni caso non c'è comando che faccio sui server che non conosca a memoria o che non lasci una traccia (pertanto un'history è inutile). Se devo ricordarmi una procedura faccio uno script o un mini-howto. Gli errori cerco di evitarli a priori

Sono un analista di sicurezza e l'esperienza insegna: la maggior parte delle intrusioni sono effettuate da ragazzini che non sanno cosa stanno facendo, e una buona parte degli "exploit" locali o remoti pubblici usano shellcode che non si occupano di modificare $HOME o $HISTFILE quando fanno partire "/bin/sh"... da qui ad un bel resoconto delle azioni perpetrate dall'intruso nel .bash_history il passo è breve.

Sull'ultima parte devo concordare.

@Davide

scusa per il (lungo) replay diretto

#ifndef flame

@Paolo C.

l'ho detto in senso ironico (l'"ih ih ih"). Quello che dici e` vero,

mi sembra pero` che nella nostra societa` la maggior parte delle cose funzioni sull'ignoranza del prossimo: solo nell'informatica quanti si fanno del sangue marcio per cercare di convincere un cliente che "cosi` non va", che "e` opportuno si faccia questo e questo" ecc?

E chi "la spunta" di solito? Continuero` sino all'ultimo a spiegare,

cerare di far capiere, ma vedo i risultati. Ci sono ambiti in cui sono io dalla parte dell'utente, ma cerco di essere il piu` critico possibile (trust is a weakness, confermo sulla mia pelle) non piango se mi fregano: impreco. Se sono io il responsabile sono pronto a pagare. Casi come questo sono anche utili, secondo me, quale monito per chi pensa di poter vivere nel paese delle meraviglie.

#endif

a me non mette paura lui ma chi continua a dargli privilegi d accesso superiori al poter aprire un programma di scrittura...

D. non ti chiedo di anticiparci il seguito di questa vicenda (so che c'è), ma -ti prego- non dirmi che dopo avergli (ri)tolto i privilegi glieli hanno (ri)(ri)dati...

Fino ad ora non l'ho piu' risentito. Ma io tengo il cornetto antisfiga sempre a portata di mano.

Arrivo tardi sta settimana avrei una considerazione:

il cl non puo' aver messo il sito phising volutamente, ergo il server e' al 99% bucato. quindi la cancellazione della bash history prima dell'ultima sessione di lavoro, siamo proprio sicuri che l'abbia fatta il cl?

Se tu vuoi vedere che cosa ha fatto uno negli ultimi giorni, cosa fai? Guardi nel backup no? Si' e' proprio farina del suo sacco...

cmq per RImettere nelle mani un server di produzione a uno che aveva fatto rm -rf .* bisogna essere sadici, ma sadici forte!

non c'entra niente con l'articolo ma ti vorrei chiedere un consiglio.... Possibile che quando descrivo agli altri il mio lavoro (sistemista) mi dicono sempre: "Ah bene! così quando ho problemi al mio picci' chiamo te"?

Ti capita mai?

si

Cosa gli rispondi in questi casi?

no

@Davide

Risposta alternativa:

"Se e' GNU/Linux volentieri", cosi' ti togli il 90% dei questuanti.

E se CL fosse stato cosi' babbeo da farsi fregare la passwd dal pisher di turno che gli ha opportunamente modificato lo script di login?

Fantascienza?

@all:

dopo 4 mesi del nuovo lavoro finalmente è arrivata la fatidica telefonata!

-CL: non funziona il router!

-Io: è acceso?

-CL: perchè, lo devo accendere?

i router che uso io non sono da accendere, basta collegarli alla corrente....

@Ale

Risposta alternativa:

"Se e' GNU/Linux volentieri", cosi' ti togli il 90% dei questuanti.

Stima conservativa, direi anche 99,999%