Sudo перестало просить пароль

0

1

Вчера вечером обнаружил, что sudo перестало просить пароль. В файле конфигурации на последней строчке оказалась команда, позволяющая всем без пароля запускать команды от рута. Что это вообще было? Дистр — sabayon.

Ссылка

←	traceroute

В поставке открытого проекта Piwik обнаружен бэкдор

→

Руткит, например.

post-factum ★★★★★
(26.11.12 09:59:37 MSK)

sabayon

ССЗБ. Осиль уже генту, либо другой бинарный дистр, чем это чучело с опасными настройками.

~~PaxtonFettel~~
(26.11.12 10:00:51 MSK)

Ответ на: комментарий от post-factum 26.11.12 09:59:37 MSK

Пусть переставит sudo и вернет настройки на безопасные. Ну и просканирует ~~кашпером~~ rkhunter'ом например.

~~PaxtonFettel~~
(26.11.12 10:03:17 MSK)

Ответ на: комментарий от PaxtonFettel 26.11.12 10:00:51 MSK

Там плохие настройки? Гента у меня на ноуте слишком уж долго собираться будет. А какой есть нормальный дистр с MATE из коробки?

hunter-12 ★
(26.11.12 10:03:17 MSK) автор топика

Ответ на: комментарий от PaxtonFettel 26.11.12 10:03:17 MSK

А зачем переставлять судо? И где взять rkhunter?:)

hunter-12 ★
(26.11.12 10:03:59 MSK) автор топика

Ответ на: комментарий от hunter-12 26.11.12 10:03:17 MSK

Linux Mint, например.

post-factum ★★★★★
(26.11.12 10:04:12 MSK)

Ответ на: комментарий от post-factum 26.11.12 10:04:12 MSK

Хмм, надо попробовать.

hunter-12 ★
(26.11.12 10:05:09 MSK) автор топика

Ссылка

Ответ на: комментарий от PaxtonFettel 26.11.12 10:03:17 MSK

А какие настройки у sabayon небезопасные, кроме этой непонятной хрени с судо?

hunter-12 ★
(26.11.12 10:10:31 MSK) автор топика

Ответ на: комментарий от hunter-12 26.11.12 10:10:31 MSK

Я сам долго ей не пользовался, как глянул тамошний make.conf так отшатнулся в ужасе.

~~PaxtonFettel~~
(26.11.12 10:13:28 MSK)

Ссылка

Ответ на: комментарий от hunter-12 26.11.12 10:03:59 MSK

rkhunter в каждом дистре должен был быть.

~~PaxtonFettel~~
(26.11.12 10:15:00 MSK)

Ничего левого не ставил? Нарпимер, драйвера мегафоновских модемов так любят делать.

melkor217 ★★★★★
(26.11.12 10:22:52 MSK)

Ссылка

Ты установил софт для «мегафон-модем» ?

~~rezedent12~~ ☆☆☆
(26.11.12 10:30:53 MSK)

Ответ на: комментарий от rezedent12 26.11.12 10:30:53 MSK

Ухх! Это оно? Ставил, есть грешок, так это оно? Но зачем?

hunter-12 ★
(26.11.12 13:09:42 MSK) автор топика

Ответ на: комментарий от PaxtonFettel 26.11.12 10:00:51 MSK

fix: ССЗБ. Осиль уже calculate, либо генту

Xenon ★★★
(26.11.12 13:14:57 MSK)

Ссылка

Ответ на: комментарий от PaxtonFettel 26.11.12 10:15:00 MSK

Rootkit checks...
[13:13:58] Rootkits checked : 308
[13:13:58] Possible rootkits: 1
[13:13:58] Rootkit names    : Knark Rootkit



Вот, чего выдал rkhunter. Еще нашел пару подозрительных файлов и ругнулся, что ldd и lwp-request - скрипты.

hunter-12 ★
(26.11.12 13:33:18 MSK) автор топика

Ссылка

Ответ на: комментарий от hunter-12 26.11.12 13:09:42 MSK

Это же ынтерпрайз. Там высочайшие стандарты программирования, безопасности и заботы о пользователях.

~~rezedent12~~ ☆☆☆
(27.11.12 02:38:29 MSK)

Ссылка

Ответ на: комментарий от hunter-12 26.11.12 13:09:42 MSK

Да, это именно оно. Mobile Partner от Мегафона, который на самом деле вовсе даже и от Huawei, при установке через их скрипт, который лежит, например, на мегафоновском 4G модеме, ненавязчиво дописывает в sudoers эту самую замечательную строку. Пользователю об этом не сообщается.

Я в этом году напоролся на это, когда купил весной модем на потестить и решил посмотреть, как этот их Mobile Partner работает под Linux. Заглянул в «установщик», удивился и решил обойтись pppd и данными из /dev/ttyUSB для получения уровня сигнала.

JohnnyDoe
(27.11.12 22:53:55 MSK)

Ответ на: комментарий от JohnnyDoe 27.11.12 22:53:55 MSK

Хмм, когда я ставил мобайл партнер на убунту, оно работало нормально, без такой строчки. Все же мне не дает покоя вопрос: зачем?! В убунте он работал через нетворкменеджер, но вроде отваливался.

hunter-12 ★
(28.11.12 12:19:27 MSK) автор топика

Ответ на: комментарий от hunter-12 28.11.12 12:19:27 MSK

Ну как зачем: у них там обменом данными с модемом заведует блоб, он хочет соответствующие привилегии. Чтобы пользователю не приходилось каждый раз вводить пароль при подключении к сети, ребята из Huawei (Мегафон имеет отношение только к их «фирменной» оболочке для Mobile Partner) таким образом решили отключить запрос пароля совсем.

Как модем работает с NM я не проверял, так как у меня его нет, но я помню, что когда-то NM весьма паршиво держал мое OpenVPN-соединение, периодически падая, так что возможно причина дисконнектов в твоем случае именно в глюках NM.

JohnnyDoe
(28.11.12 14:50:31 MSK)

Ответ на: комментарий от JohnnyDoe 28.11.12 14:50:31 MSK

Скорее всего. Теперь интересно, почему на бунте все работало, пароль не просило и строку не вписывало? Что-то тут нечисто...

hunter-12 ★
(28.11.12 18:18:06 MSK) автор топика

Ответ на: комментарий от hunter-12 28.11.12 18:18:06 MSK

Кстати, Knark rootkit в результатах rkhunter у тебя выше - false positive, вызван строкой «hidef» в /etc/init.d/net.lo. Просто на всякий случай.


[19:15:53] Info: Starting test name 'startup_malware'
[19:15:53]   Checking for system startup files               [ Found ]
[19:15:54]   Checking system startup files for malware       [ Warning ]
[19:15:54] Warning: Found string 'hidef' in file '/etc/init.d/net.lo'. Possible rootkit: Knark Rootkit

~ [ grep hidef /etc/init/net.lo
	local hidefirstroute=false first=true routes=
			hidefirstroute=true
		if ${hidefirstroute}; then
			hidefirstroute=false

Что касается поведения в убунте и других дистрибутивах - это надо посмотреть в хуавейный скрипт, там вполне может быть несколько способов установки.

JohnnyDoe
(28.11.12 19:26:29 MSK)

Ответ на: комментарий от JohnnyDoe 28.11.12 19:26:29 MSK

Строку я уже нашел:) А вот скрипт действительно надо посмотреть, мало ли он еще там чего накрутил.

hunter-12 ★
(29.11.12 10:56:55 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	traceroute

Security

В поставке открытого проекта Piwik обнаружен бэкдор

→

Похожие темы