SSH gevaar

[EurEnch]

hoi,

ik wou een programma installeeren maar dat luke niet
een kennis die linux fanaat is en daarom vroeg ik hem om raad,
hij vroeg mij om een ssh user en pass. we hebben dan wat zitten installen.


mààr nu heb ik het gevoel dat hij ook andere dingen heeft gedaan die ik niet heb gezien terwijl hij de root pass had? of beeld ik mij iets in? kan je met tmux een window open hebben dat ik niet kan zien? zodat hij ondertusse andere dingen kan doen?

bedankt voor het antwoord

[EurEnch]

ik wil er nog eve bijvoege dat het om een fresh install ging en dat het dus puur over het netwerk gaat, er waren voor de rest geen andere pc's aan gewoon de router en mij pc.
bedankt!

[siegi]

Een volledige ssh toegang geven aan iemand doe je best niet. Tenzij het iemand is die je volledig kan betrouwen, maar dan ook volledig....

Opsporen wat hij allemaal gedaan heeft is "onmogelijk", sporen kunnen gemakkelijk worden gewist.  Hij kan bijv een backdoor hebben ingebouwd zodat hij ten alle tijden toegang heeft tot je pc.

Kortom als je zeker wil zijn wordt het een nieuwe installatie.  

[EurEnch]

Hij kan bijv een backdoor hebben ingebouwd zodat hij ten alle tijden toegang heeft tot je pc.

maar kan hij bijvoorbeeld iets aan de router veranderd hebben zodat die de rest van het netwerk infecteren zo snel als die online komen of een keylogger installeren?

[EurEnch]

sorry voor double

[vanadium]

Iemand met ssh toegang heeft evenveel mogelijkheden als iemand die voor je PC aan de commandolijn promt zit: dat is dus héél veel. Heeft die gebruiker bovendien nog root (administrator) bevoegdheden, dan kan hij werkelijk alles, of hij nu aan je PC zit of in Tumbuktu (als ze daar goed internet hebben, natuurlijk .

[tigger]

Hij kan bijv een backdoor hebben ingebouwd zodat hij ten alle tijden toegang heeft tot je pc.

maar kan hij bijvoorbeeld iets aan de router veranderd hebben zodat die de rest van het netwerk infecteren zo snel als die online komen of een keylogger installeren?

Ik zou zeggen kijk in je router, naar poort forwards, als je weten wat er gewijzigd zou kunnen zijn in je router.
Voor de rest... logfiles uitpluizen, kijken of er rare zaken draaien (google is your friend), root password wijzigen/ wachtwoord wijzigen van de gebruiker waarmee geinstalleerd is. Dit zijn wat tips, er zijn natuurlijk meer zaken die nagekeken kunnen worden, maar ik denk dat dit de belangrijkste zijn.

[foxofinfinety]

zelf zou ik opnieuw installeren met een ander wachtwoord, want zoals eerder gemeld als je via ssh als root bent ingelogd kan je alles.

[vanadium]

Je kan ook eenvoudig het wachtwoord veranderen.

[foxofinfinety]

als hij al iets gedaan heeft helpt dat waarschijnlijk niet want dan heeft hij waarschijnlijk als hij er vaker bij wil ook wel een backdoor gemaakt....

[Rachid]

als hij al iets gedaan heeft helpt dat waarschijnlijk niet want dan heeft hij waarschijnlijk als hij er vaker bij wil ook wel een backdoor gemaakt....

Richard heeft gelijk. Als die kennis kwade bedoelingen had, dan is het kwaad al geschied. Een beetje rootkit zorgt ervoor dat het geen sporen na laat in logfiles, dus die checken geeft geen zekerheid.
Ik zou dan ook echt een nieuwe verse install doen.

Maar nu rest mij nog de vraag voor de Topic Poster: Vertrouw jij die kennis?

[markba]

Maar nu rest mij nog de vraag voor de Topic Poster: Vertrouw jij die kennis?

Als hij die kennis volledig zou vertrouwen, dan zou hij hier geen topic over openen, toch?

[EurEnch]

bedankt voor de antwoorden,

als ik het dus goed begrijp is alles opgelost als ik die pc herinitialiseer

[Rachid]

bedankt voor de antwoorden,

als ik het dus goed begrijp is alles opgelost als ik die pc herinitialiseer

Nou, als er geen probleem is valt er weining op te lossen
Maar als je zekerheid wilt zou ik inderdaad Ubuntu opnieuw installeren.

[SUP]

Indien hij dingen in je router heeft aangepast zou ik de router volledig resetten als ik jou was!!!
Eerst Ubuntu installeren zonder internet verbinding, daarna router resetten, aansluiten op pc en dan alles opnieuw instellen. Dan pas heb je grote kans dat alles weg is.

[BlueWolf]

Indien hij dingen in je router heeft aangepast zou ik de router volledig resetten als ik jou was!!!
Eerst Ubuntu installeren zonder internet verbinding, daarna router resetten, aansluiten op pc en dan alles opnieuw instellen. Dan pas heb je grote kans dat alles weg is.

Een beetje router heeft ook gewoon een username/password. Dus daar zou ik mij geen zorgen maken dat hij daar is ingekomen.

EurEnch, waarom heb je dan het gevoel dat hij meer heeft gedaan dan hij jou heeft gezegd?

In theorie kan-ie van alles hebben gedaan, maar WAAROM? Wat heeft het voor nut? Als hij echt zo graag toegang wil hebben op je pc (en dus backdoors zou hebben geïnstalleerd) dan zou hij dat toch ook wel moeten hebben voorbereid. Nou ken ik natuurlijk niet die kennis van jou, maar mij lijkt het mij hoogst onwaarschijnlijk

[Ward De Ridder]

Een beetje router heeft ook gewoon een username/password. Dus daar zou ik mij geen zorgen maken dat hij daar is ingekomen.

Volgens mij kan je bij 95 procent van de routers binnen met het default password, dus die redenatie klopt niet helemaal.
Wat ook een nadeel is als iemand ssh tot je computer heeft, dat is dat deze persoon een proxytunnel kan opzetten via je ssh, en zo alles op het internet kan doen met jouw ip-addres, dat wil zeggen dat als er iets illegaal gebeurt en de politie zoekt het uit, dan komen ze bij jouw uit.

Zelfde redenering is waarom je je draadloze verbinding moet beveiligen, ookal heb je geen limieten. Als buurman pedofiel kinderporno download via jou connectie, dan komen ze ook bij jou aankloppen.

De volgende keer dat je iemand hulp vraagt zet je best een vnc verbinding op, zo kan de persoon ook alles doen, maar dan kan je wel zelf zien wat hij aan het doen is. En zo houd je je wachtwoord voor jezelf, als hij dan root toegang nodig heeft dan typ je gewoon zelf je wachtwoord in.

[siegi]

@ward bedoel je geen vnc ipv vpn?

[Ward De Ridder]

@ward bedoel je geen vnc ipv vpn?

jep, ik haal die twee wel vaker door elkaar.
Ik heb het ook even in mijn vorige post aangepast.

[testcees]

Voor het wijzigen van systeeminstellingen in Ubuntu is sudo nodig. Het gebruik van sudo wordt gelogd in /var/log/auth.

Je kan (deels) nakijken wat er is gedaan met sudo met:

Code: [Selecteer]

more /var/log/auth.log* | grep sudo

[EurEnch]

Wat ook een nadeel is als iemand ssh tot je computer heeft, dat is dat deze persoon een proxytunnel kan opzetten via je ssh
[/quote]
kan hij dan ook door die proxytunnel als die "geinfecte" pc uitstaat?

[Paul Matthijsse]

Doe eerst 's wat testcees zegt en plaats die output hier. Verder is deze hele discussie wat paranoïa: iemand heeft een root-wachtwoord EN GAAT DUS keyloggers, Trojaanse paarden, rootkits en ander speelgoed installeren. Dat hoeft dus helemaal niet zo te zijn hè? Je kunt de persoon in kwestie ook zelf deze vraag voorleggen. En waarom heb je "het gevoel" dat er vreemde dingen op/met je pc gebeuren?

[Rachid]

Doe eerst 's wat testcees zegt en plaats die output hier.

testcees gaf een nuttige tip en dat is zeker waar. Echter als iemand kwaad in de zin heeft. En slim genoeg is om een rootkit of iets dergelijkes te installen, dan weet degene (neem ik aan) ook zijn sporen uit te wissen. Overigens doen rootkits ook vaak hun sporen uitwissen...
Dus ik blijf erbij. Waarschijnlijk is er niets aan de hand. Maar als je zekerheid wilt zul je toch echt een clean install moeten doen.

Verder is deze hele discussie wat paranoïa: iemand heeft een root-wachtwoord EN GAAT DUS keyloggers, Trojaanse paarden, rootkits en ander speelgoed installeren. Dat hoeft dus helemaal niet zo te zijn hè? Je kunt de persoon in kwestie ook zelf deze vraag voorleggen. En waarom heb je "het gevoel" dat er vreemde dingen op/met je pc gebeuren?

Helemaal mee eens.

Verder wordt er volgens mij meer gediscussierd door ons dan door de TS

[tigger]

Wat ook een nadeel is als iemand ssh tot je computer heeft, dat is dat deze persoon een proxytunnel kan opzetten via je ssh
[ /quote]
kan hij dan ook door die proxytunnel als die "geinfecte" pc uitstaat?

Als een pc uitstaat doet ie niets meer, dus ook geen ssh-tunnel/proxy meer.

Overigens als ik een ssh-sessie naar een "vreemde" pc start, of te wel een pc van iemand anders die wat hulp nodig heeft, start ik vaak eerst een script-sessie zodat alles terug te lezen valt. Dat is voor jezelf en voor de ander praktisch. Je kan zelf aantonen wat er gebeurd is en de ander kan het terug lezen, voor zekerheid of om van te leren.

[Rachid]

Hoe start je zo'n script-sessie?