Il blog sull'informatica

Per fare in modo che determinati utenti loggati sulla nostra RedHat 5 non possano utilizzare il comando su (per ottenere, ad esempio, privilegi di root), è necessario operare come segue:

1) editare il file /etc/group, aggiungendo al gruppo wheel gli utenti che possono switchare su root:

root@nightbox:/home/nightfly# nano /etc/group

wheel:x:10:utente1,utente2

2) editare il file /etc/pam.d/su, aggiungendo la seguente stringa:

auth           required        /lib/security/$ISA/pam_wheel.so use_uid

A questo punto non vi resta che effettuare il logout e riaccedere alla shell usando le credenziali dell'utente con permessi limitati.

Lanciate un su - e digitate la password di root: avrete come risposta che la password appena inserita è errata (anche nel caso in cui sia stata digitata la password corretta).

Alla prossima.

Dopo le versioni 0.1 e 0.2 di autovodafone, ecco la versione 0.3 ulteriormente ottimizzata rispetto alle precedenti:

#!/bin/bash

#File di log
FILELOG=/var/log/autovodafone

data=$(date)

echo "Inserisci il destinatario:"

read destinatario

if [[ ! $destinatario =~ "+39" ]]; then

destinatario="+39$destinatario"

fi

echo "Inserisci l'oggetto del messaggio:"

read oggetto

echo "Inserisci il testo del messaggio:"

read testo

echo "$testo" > text

cat text | sed -f urlencoding.sed > encoded

enc=$(cat encoded)

curl -c cookiev.txt -F "username=vostrousername" -F "password=vostrapassword" https://www.vodafone.it/190/trilogy/jsp/login.do 2&>1
curl -b cookiev.txt --data "recipient=$destinatario&subjecttosend=$oggetto&SmilName=&TextName=$enc&ImageName=&AudioName=&nextPage=/web/servletresult.html" http://mmsviaweb.net.vodafoneomnitel.it/WebComposer/web/elaborapop.jsp | grep -o -E '"s*(.*)>(.*)"' > out

sed -n -e s/"//g -e "s/ /+/g" -e "2p" out > out1

url="http://mmsviaweb.net.vodafoneomnitel.it"

url1=$(cat out1)

url2=$(echo "$url$url1")

curl -b cookiev.txt $url2 > result

if grep -q "SendMessage=1" result;then

echo "messaggio inviato"

echo "$data: messaggio inviato" >> $FILELOG

else

echo "il messaggio non e' stato inviato"

echo "$data: il messaggio non e' stato inviato" >> $FILELOG

fi

rm out*

rm cookiev.txt

rm text

rm encoded

rm result

exit 0

In particolare, mediante il comando:

sed -n -e s/"//g -e "s/ /+/g" -e "2p" out > out1

ho ridotto il numero di file temporanei, grazie all'utilizzo ottimizzato di sed (espressioni multiple).

Per poter eseguire lo script senza i privilegi di root, dovete prima identificare il proprietario dei seguenti file:

autovodafone

urlencoding.sed

/var/log/autovodafone

e nel caso in cui ce ne fosse bisogno, potete modificare il loro owner mediante il comando:

nightfly@nightbox:~$ sudo chwon vostrouser:vostrogruppo nomefile

A questo punto l'esecuzione dello script senza privilegi di root dovrebbe filare liscia.

Bye.

Aggiornamento

Il servizio Vodafone MMS gratis da Web non esiste più (ne è la riprova il timeout che ci becca ad ogni tentativo di contattare la URL http://mmsviaweb.net.vodafoneomnitel.it). Per maggiori informazioni potete consultare questo 3d.

In questo post vi ho parlato del lamer che si ostinava a bombardare i miei server sulla porta SSH standard. Essendo che la maggior parte degli attacchi proveniva da IP appartenenti a KoreaNET, ho deciso di impostare delle opportune ACL direttamente sul router.

Il tizio, però, accortosi di quanto accaduto, ha cominciato ad utilizzare altre shell su provider diversi, soprattutto africani. Poichè non ho intenzione di blacklistare tutto il mondo, ho pensato di correre ai ripari in modo diverso.

Per prima cosa, analizzando il fail auth.log ho notato che tutti i tentativi di accesso venivano effettuati utilizzando come username root:

Jul 31 11:31:20 nightbox sshd[26506]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=125.132.225.70  user=root

Jul 31 11:31:22 nightbox sshd[26508]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=14.45.203.1  user=root

Jul 31 11:31:22 nightbox sshd[26511]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=41.236.232.32  user=root

Ho quindi disabilitato l'accesso root, agendo direttamente sul file sshd_config presente in /etc/ssh:

PermitRootLogin no

Adesso potrà provare tutti i dizionari che vuole, ma ogni tentativo di login come root gli risponderà picche.

Inoltre, poichè mi secca ricevere miliardi di mail da fail2ban perchè questo tizio ha deciso che il suo nuovo hobby è bombardare i range di IP italiani (tra cui quelli dei miei server) ho messo in ascolto il servizio SSH su una porta non standard (compresa tra 1024 e 65535). Non credo sia tanto skillato da fare un nmap per individuare la nuova porta su cui SSH è in listening.

Vi terrò comunque aggiornati sugli ulteriori sviluppi.

A presto.