Osoba zaatakowała serwer za pomocą konta użytkownika Postgres - Jakiego rodzaju dostępu miałaby ta osoba?

0

ktoś włamał się na jeden z moich serwerów za pomocą konta użytkownika Postgres.

czego nie wiem to:

  • co to jest katalog domowy użytkowników?

  • gdzie będzie bash_history?

RadiantHex
źródło
1
Możesz także zapytać o to na serverfault.com, ponieważ jest to strona administracyjna serwera.
JNK

Odpowiedzi:

2

grep postgres /etc/passwd wydrukuje katalog domowy dla konta Postgres.

Na przykład bash_history znajduje się w katalogu głównym konta pocztowego postgres /home/postgres/.bash_history. Ale jeśli ktoś był wystarczająco wykwalifikowany, by włamać się do twojego serwera, nie oczekuj, że plik historii będzie dokładny, a nawet już obecny.

Prawdopodobnie konto użytkownika może przeglądać system plików, ale oczywiście nie można odczytać plików takich jak / etc / shadow, chyba że serwer został zakorzeniony przy użyciu exploita. Mógł również zainstalować niektóre demony nasłuchujące połączeń sieciowych lub na przykład irc-bot, który łączy się z IRC i odbiera stamtąd polecenia.

Janne Pikkarainen
źródło
1
getent passwd postgres jest zazwyczaj lepszy, ponieważ nie tylko wygląda /etc/passwd ale wszystkie skonfigurowane bazy danych (LDAP, NIS, Winbind)
grawity