Il rapporto Tripwire mostra le date di modifica da quando ero in vacanza con l'arresto del computer a casa

6

Il rapporto Tripwire mostra le date di modifica da quando ero in vacanza con l'arresto del computer a casa - come è possibile?

ecco uno dei tanti esempi:

Modified object name:  /lib/x86_64-linux-gnu/security/pam_systemd.so

  Property:            Expected                    Observed                    
  -------------        -----------                 -----------                 
* Inode Number         14155863                    14156649                    
* Modify Time          Do 12 Mai 2016 11:39:41 CEST
                                                   Do 01 Feb 2018 15:31:23 CET 
* CRC32                B5TykA                      B/R1Fi                      
* MD5                  Ag+rN14JZRydCT88KOuyuX      BAHe4c1qm712mqcpi1k+rI    

Il primo di febbraio non ero vicino al mio computer, che ho spento circa un mese prima. Sono tornato un altro mese dopo. Febbraio ha quasi 3000 cambiamenti nei file. Gennaio 1500 cambia. Ero lontano dal 6 gennaio fino al 27 febbraio.

    
posta user173381 19.03.2018 - 22:38
fonte

3 risposte

3

Ci sono altre tracce nei log di sistema? Sembra strano che qualcuno possa disinfettare in modo così completo un sistema che i registri non mostrano nulla, e tuttavia non individuano Tripwire o almeno ripristinano correttamente i timestamp.

Prova ad aggiornare un pacchetto, e vedi se i file aggiornati hanno il timestamp di quando hai eseguito l'aggiornamento, o il timestamp del file originale all'interno del pacchetto di aggiornamento (questo è tipico di Windows, non così nelle distribuzioni Linux I ' Mi sono familiare, ma d'altra parte non hai detto quale distro stai usando).

Inoltre, puoi confrontare i checksum con quelli di una versione nota della tua stessa distribuzione.

update

pam_systemd.so è stato ufficialmente aggiornato (almeno su un sistema che ho controllato, Ubuntu 14.04-LTS), e la patch è stata pubblicata il giorno in cui hai segnalato:

-rw-r--r-- 1 root root 42864 Feb  1 16:01 /lib/x86_64-linux-gnu/security/pam_systemd.so

Notare che sono in Italia, ma il mio orologio di sistema è in UTC; se sei in Spagna, i nostri file sono stati aggiornati entro trenta minuti l'uno dall'altro .

Quindi la mia ipotesi è che qualcuno abbia avviato il tuo computer almeno due volte (uno a gennaio, uno a febbraio) e se ha effettuato l'accesso o meno, il sistema ha eseguito gli aggiornamenti automatici.

A seconda che si tratti di un laptop o di un desktop, ecc. e se sia stato collegato, è anche possibile che si sia attivato da solo (ho avuto un desktop una volta che l'ho fatto circa una volta ogni due settimane, o in caso di temporali), e poi di nuovo spento da solo dopo alcune ore di inattività.

    
risposta data 20.03.2018 - 00:11
fonte
0

Ho fatto ciò che hai suggerito e aggiornato alcuni pacchetti e confrontato le date. Sono giunto alla stessa conclusione come hai detto nel tuo aggiornamento:

La data indicata da tripwire dipende dalla data di modifica del pacchetto e non dalla data in cui è stato aggiornato nel mio sistema. Quindi è davvero necessario considerare ancora un attacco dall'esterno? Non è possibile che sia un aggiornamento dopo il 27 febbraio (la data in cui sono tornato) con la data di modifica del pacchetto di prima?

Sono piuttosto basso profilo per chiunque io indovino, in modo che chiunque possa manipolare il mio portatile per l'avvio via internet, molto meno irrompere nel mio appartamento, sembra piuttosto improbabile.

Ma per rispondere alle altre domande, i miei registri sono vuoti o iniziano il 27 febbraio.

kernel log starts 27.feb
syslog starts 07.03
wtmp begins Thu Mar  1 23:31:40 2018
btmp begins Tue Mar 13 23:07:08 2018
auth.log starts 27.02
faillog is completely empty

rispondere alla tua prossima domanda è ubuntu 16.04

Questo estratto proviene da prima dell'aggiornamento:

Modified object name:  /usr/bin/update-notifier

  Property:            Expected                    Observed                    
  -------------        -----------                 -----------                 
* Inode Number         525831                      529894                      
* Size                 57736                       57704                       
* Modify Time          Di 12 Apr 2016 12:44:15 CEST
                                                   Do 18 Jan 2018 13:42:58 CET 
* CRC32                A/JGJG                      D/hJue                      
* MD5                  A94qrwY3famFuyjNRqByy/      AIg7I1UyImK4SMXV/P3IVE  

... e questo è il dopo l'aggiornamento:

Modified object name:  /usr/bin/update-notifier

  Property:            Expected                    Observed                    
  -------------        -----------                 -----------                 
* Inode Number         525831                      527608                      
* Size                 57736                       57704                       
* Modify Time          Di 12 Apr 2016 12:44:15 CEST
                                                   Fr 02 Mär 2018 15:40:49 CET
* CRC32                A/JGJG                      DLot5B                      
* MD5                  A94qrwY3famFuyjNRqByy/      D6A8JWReWbockgtVM8p70R

.. ma per sostenere quella teoria degli attaccanti c'è un'altra cosa: ho trovato un numero di cellulare alieno nel mio account ebay con una password strong e moderata.

Ah e l'unità era rotta, quindi ho provato a ripararlo ma non ci sono riuscito. Ho creato un altro utente e poi è andato tutto bene.

    
risposta data 20.03.2018 - 17:19
fonte
0

Verifica i tempi di creazione dei file tripwire rilevati come modificati. Scoprirai che erano la conseguenza di un processo di installazione eseguito da te o un lavoro cron .

Se il tuo sistema sarebbe stato piratato da qualcuno che sapeva tripwire non troveresti mai un log di modifica di questo tipo. Preferiresti aver trovato tripwire disinstallato. Non esiste un modo noto per corrompere il database interno tripwire per nascondere le modifiche a causa di un attacco, a meno che la tua chiave principale tripwire sia troppo debole o archiviata in chiaro sullo stesso computer (2 possibilità che sarebbero stupide per qualcuno a conoscenza della sicurezza ).

    
risposta data 13.05.2018 - 16:18
fonte

Leggi altre domande sui tag