Ist mein root Account immer noch root ?

Dagalbert · September 25, 2011, 8:15am

Hi,

Hab als root da so ohne Kenntniss an einem cronjob gebastelt (bis es vielleicht dann mal klappt), mein Befehl sieht so aus

opensuse 11.4:~ # /etc/crontab -u root 34 12 * * * /usr/bin/avastgui –cronjob

der Befehl ist wahrscheinlich falsch - was nicht so verstaendlich ist, wenn ich auf „enter“
druecke ist: Warum bekomme ich die Antwort:

-bash: /etc/crontab: Permission denied,

ist dass so gang und gebe? Obwohl die bash auf: su eingeloggt ist?
Ohne ans Internet gebunden zu sein faellts mir schwierig zu verstehen wenn ich mit Dolphin als root eingeloggt versuche die Datei /root zu durchstoebern, beim bersten click auf die datei root oeffnet sich nicht root sondern ich falle auf das /home Verzeichniss

Wenn ich offline anhand root mit Avast scanne oder frueher mit Clamav am Schluss wo man da so Suspicious Files „deleten“ kann bekomme ich auch immer ein Permission Denied

Ist das normal?

buckesfeld · September 27, 2011, 1:26pm

Dagalbert,

die /etc/crontab ist nur die Konfigurationsdatei. Wenn Du die aufrufst, kommt der Fehler weil sie nicht ausführbar ist.
Die crontab editiert man als root mit dem Befehl “crontab -e”. Die Kommandosyntax ist die von vi, also gewöhnungsbedürftig (http://www.linux-fuer-alle.de/doc_show.php?docid=29&catid=8)

Sag doch mal genau, was Du machen willst.

Gruß
Uwe

Dagalbert · September 29, 2011, 2:36am

Hallo buckesfeld!

Vielen Dank fuer den guten Tipp mit Vi(m) und dem cronjob, habe mir bereits die Vi Bedienungsanleitung angeschaut :-), wird mir sicher noch zu dem cronjob behilflich werden - auch weiss ich jetzt, dass Linux f mit guten Infos existiert…!

…Hab jetzt auch gesehen wie Du sagst, wenn mann so in einer bash eine Text-Datei zu exekutieren versucht (was nicht geht) mit:
opensuse 11.4:~ # /etc/crontab
– das dass dann mit einem „Permission denied“ endet , hab dann noch zur Sicherheits halber noch den Befehl…
opensuse 11.4:~ # gedit /etc/crontab

…eingegeben und siehe da die /etc/crontab laesst sich doch ganz gut exekutieren und ist doch nicht verriegelt „von jemandem anderen“ wie ich mir das so (etwas Daguelig) vorgestellt habe…
…gut zu wissen…! Bin halt lauter „Permissions Denied“ mit meinem Bedenken etwas ins trudeln gekommen da auch Avast auf root noch zusaetzlich ein Permission denied von sich gibt wenn man so suspicious Files „to chest“ mooven moechte… weshalb weiss ich immer noch nicht so genau

Jenseits meines Verstandes bleibt auch: warum wenn ich mit Dolphin als root eingeloggt versuche die Datei /root zu durchstoebern, beim bersten click auf die datei root oeffnet sich nicht root sondern ich falle auf das /home Verzeichniss, ist das normal?
Habe halt vor Jahren einen „Metasploit Belaestiger“ gehabt und bin jetzt immer voll auf der Pirsch sobald irgendwelche anomalien (wie in diesem Falle die „Permissions denied“ usw )in meinem Komputer auftreten…

Was meinst Du (oder Ihr andere Suse Benutzer) gaebe es da so ein Befehlszeilenkommando (das nicht umgangen werden kann mit dem man so ziemlich genau versichern kann das der Dagalbert der einzige root auf seinem eigenen Komputer ist ?

Kann denn das Resultat des Befehls auf meinem Rechner:
opensuse 11.4:~ # id root

bei dem momentan root ueberall ueber eine „0“ vorfindet

und das Resultat des Befehls:
opensuse 11.4:~ # id userdescomputers

uid=1000; gid=100(users); groups=100(users),33(video)

Koennten denn diese Art von Resultaten von Schadsoftware so umgangen werden so dass die Resultate truegerisch angezeigt werden?
Kann es denn auf verschiedene UID ebenen verschiedene roots’ geben? Oder sowas aehnliches?
Mein System sollte nur mich selbst als user (und als root) am laufen haben

Hat’s denn so eine Erklaerung warum wenn ich mit Dolphin als root eingeloggt versuche die Datei /root zu durchstoebern, beim bersten click auf die datei root oeffnet sich nicht root sondern ich falle auf das /home Verzeichniss, ist das normal?

Habe dann auch solche komischen rpm Pakete (auf einem anderen Computer)in dessen /tmp Verzeichniss, rpm’s die mit langen Zahlenkombinationen beschriftet sind; - auch in /tmp sind solche Dateien die alle mit YaST und darauf folgenden leetspeekartigen Zahlen und Buchstabenkombinationen betitelt sind.

Vier von diesen leetspeekartigen Dateientitel beinhalten die Nicknamen frueherer Bekanntschafften
Die Nicknamen in meinem /tmp sind genaudieselben wie die Nicknamen derjenigen zu denen auch ich frueher in einer Klicke mitgehoerte. Da diese Dateien genau dieselben Namen beinhalten wie die aus der frueheren Klicke und diese nicht irgend welche andere aus der Globalen Menschenmenge hervorgegriffenen Menschennamen sind… …finde ich das so ziemlich Merkwuerdig; eine fuenfte Datei beinhaltet ein (veraechtliches) Schimpfwort.

Schlussendlich hab ich mich amusiert die Zahlen und Buchstaben Titel der Dateien auf google zu durchsuchen – bin darauf auf eine sowas von veraechtliche Seite Gestossen das ich vor lauter Grausamkeit fast in Panik ausgebrochen bin, alles ist sehr schnell von dannen abgelaufen da ich den Reflex hatte so schnell wie moeglich mich von dort aus dem Staub zu machen, - der Name des Urhebers noch ein anderer aus der gleichen Klicke,

Was meint Ihr Uwe und liebe opensuse nutzer ? Kann mann denn bei meinem /tmp rein technisch parallellen zu irgend einer in der Haeckerszene bekannten Hacker-Strategie zurueckfuehren, was machen (wozu dienen) die rpms und die komischen YaST Dateien auf dem /tmp, ist das alles Zufall?
PS: Bei einer der YaST Dateien war sogar der Name YaST falsch geschrieben (was ich zu einem Menschlichen Fehler zurueck fuehre, oder irrt sich ploetzlich jetzt der Computer bei der beschriftung „seiner“ YaST Dateien? Sowas von Komisch!

Tut mir Leid jetzt hab ich ein etliches was sich bei mir so aufgestaut hat herausgespuckt!

buckesfeld · October 9, 2011, 10:13pm

Dagalbert wrote, On 09/29/2011 02:46 AM:

> .eingegeben und siehe da die /etc/crontab laesst sich doch ganz gut
> exekutieren und ist doch nicht verriegelt „von jemandem anderen“ wie
> ich mir das so (etwas Daguelig) vorgestellt habe…
> …gut zu wissen…! Bin halt lauter „Permissions Denied“ mit meinem
> Bedenken etwas ins trudeln gekommen da auch Avast auf root noch
> zusaetzlich ein Permission denied von sich gibt wenn man so suspicious
> Files „to chest“ mooven moechte… weshalb weiss ich immer noch nicht
> so genau

Keine Ahnung. Ich benutze keinen Virenscanner auf Linux, das halte ich höchstens dann für sinnvoll, wenn man einen Linux-Dateiserver für Windows-Clients betreibt.

> Jenseits meines Verstandes bleibt auch: warum wenn ich mit Dolphin als
> root eingeloggt versuche die Datei /root zu durchstoebern, beim bersten
> click auf die datei root oeffnet sich nicht root sondern ich falle auf
> das /home Verzeichniss, ist das normal?

Möglich. Du solltest Dich nicht als root in einer GUI wie KDE einloggen, weil das ein gewisses Sicherheitsrisiko beinhalten kann. Log Dich als normaler User ein und führe Dolphin im Superuser-Mode aus. Es gibt ein Icon dafür.

> Was meinst Du (oder Ihr andere Suse Benutzer) gaebe es da so ein
> Befehlszeilenkommando (das nicht umgangen werden kann mit dem man so
> ziemlich genau versichern kann das der Dagalbert der einzige root auf
> seinem eigenen Komputer ist ?

Nein. Jeder Eindringling wird so schlau sein, sich zu tarnen. In der Regel merkst Du, dass Du gehackt wurdest, daran dass Dein root-Login nicht mehr funktioniert.

[snip]
> Tut mir Leid jetzt hab ich ein etliches was sich bei mir so aufgestaut
> hat herausgespuckt!

Ich glaube immer noch, du solltest Dich beruhigen
/tmp ist der “Mülleimer” für so ziemlich alles, was Du tust. ich schau da nie rein. Wenn es Dich stört. mach es leer und schau, ob wieder “verdächtige” Dateien auftauchen. Wenn Dein Rechner irgendwie gehackt wurde, wird er sich verdächtig verhalten, z.B. wirst Du Traffic ins Internet sehen, den Du nicht angestoßen hast.

Uwe

Dagalbert · October 12, 2011, 5:01am

Hallo buckesfeld - ja - jetzt hab ich ein Neuinstalliertes System mit nosuid und noexec am laufen, hab noch zusaetlich ein paar “changes” durchzogen, wie:

Frueher wusste ich nicht dass bei NAT (im Router) genuegt nur ein Haekchen am NAT Feature beizugeben, etwas tollpatschig habe ich da so port triggering und port redirection vollgeschrieben (mit meinen benutzten Ports) was nicht so eine gute idee ist…

Zusaetzlich tuh ich jetzt cookies nur noch mit Ausnahmeregeln akzeptieren, und Java bleibt einfach aus wenn nicht unbedingt benoetigt
Der Computer ist die Ruhe selbst in diesem Moment, vielleicht kann ich auch noch ein neues BIOS einspielen …und so…
Weil ich so ein Computerfeinspitz bin habe ich mir folgendes Buch gekauft von 2011:
Penetration Testing mit Metasploit ; Neugebauer Frank … - dann schauen mir mal weiter…

Danke fuer die feinen Ansichten die einem immer weiter bringen!

Tschueuess Uwe !

buckesfeld · October 13, 2011, 10:51pm

Dagalbert wrote, On 10/12/2011 05:06 AM:
>
> Hallo buckesfeld - ja - jetzt hab ich ein Neuinstalliertes System
> mit nosuid und noexec am laufen, hab noch zusaetlich ein paar “changes”
> durchzogen, wie:
>
> Frueher wusste ich nicht dass bei NAT (im Router) genuegt nur ein
> Haekchen am NAT Feature beizugeben, etwas tollpatschig habe ich da so
> port triggering und port redirection vollgeschrieben (mit meinen
> benutzten Ports) was nicht so eine gute idee ist…

Ja, das ist ein häfiges Missverständnis. Port triggering und forwarding sind nur dann nötig, wenn Du Dienste AUF Deinem Recher HINTER einem NAT-Router nach außen zur Verfügung stellen willst, also z.B. für einen Webserver oder wenn Du von außen per SSH auf den Rechner willst.

> Zusaetzlich tuh ich jetzt cookies nur noch mit Ausnahmeregeln
> akzeptieren, und Java bleibt einfach aus wenn nicht unbedingt benoetigt
> Der Computer ist die Ruhe selbst in diesem Moment, vielleicht kann ich
> auch noch ein neues BIOS einspielen …und so…

Hatte ich auch so erwartet.

> Weil ich so ein Computerfeinspitz bin habe ich mir folgendes Buch
> gekauft von 2011:
> Penetration Testing mit Metasploit ; Neugebauer Frank … - dann
> schauen mir mal weiter…

Das ist für die Psyche auch VIEL besser

Gruß
Uwe