Sardu verlangt Root Rechte

[geier22]

Hallo, hab mich von WindowsProfi30Jahre nun doch noch angesteckt und nun mal selbst rumprobiert.
Bin dabei auf SARDU gestoßen, (zuerst Version von dieser Seite ).
Dann bin ich irgendwie durch einen Link auf dieser Seite gelandet und hatte von dort die neuste Version unter geladen (Registrierung Ist notwendig, da man sonst permanent von Pop-ups genervt wird).
Hab ich dann auch gemacht und nach der Registrierung wollte SARDU dann plötzlich nur noch mit Root- Rechten starten.

Hab natürlich Panik bekommen und erst mal nachgesehen, was da so als Root alles getrieben wird: Im auth.log hab ich dann folgendes gefunden:

Code: Alles auswählen

Jun 15 10:39:10 enp2so sudo:     hans : 1 incorrect password attempt ; TTY=unknown ; PWD=/home/hans/Downloads/sardu_3 ; USER=root ; COMMAND=/bin/date
Jun 15 10:39:18 enp2so sudo:     hans : TTY=unknown ; PWD=/home/hans/Downloads/sardu_3 ; USER=root ; COMMAND=/bin/date
Jun 15 10:39:19 enp2so sudo:     hans : TTY=unknown ; PWD=/home/hans/Downloads/sardu_3 ; USER=root ; COMMAND=/usr/sbin/dmidecode -s system-serial-number
Jun 15 10:39:19 enp2so sudo:     hans : TTY=unknown ; PWD=/home/hans/Downloads/sardu_3 ; USER=root ; COMMAND=/sbin/ifconfig

in /var/log/journal/9a8501f35c0c491cb3d2a7b42151d181/system.journal

steht zu dieser Zeit:

Code: Alles auswählen

+ /dev/pts/3 hans:root

und

Code: Alles auswählen

hans : TTY=unknown ; PWD=/home/hans/Downloads/sardu_3 ; USER=root ; COMMAND=/sbin/ifconfig

Könnt Ihr das einschätzen, was dieses Programm dort treibt, und wie das einzuschätzen ist ?
Wäre sehr dankbar, wenn es Entwarnung geben würde, weil das Programm sehr zuverlässig arbeitet, und sehr flexibel ist

[gbotti]

Hi.

Ich kenne das Programm leider nicht. Es bleibt allerdings nicht auszuschließen, dass es mit einem oder mehreren Schadprogrammen ausgeliefert wird. Aber es kann sich natürlich auch um folgendes Handeln:

1 incorrect password attempt ; TTY=unknown ; PWD=/home/hans/Downloads/sardu_3 ; USER=root ; COMMAND=/bin/date

Das zeigt, dass irgendjemand versucht hat "/bin/date" als root auszuführen. Das könnte ein Test sein, ob sudo ohne Kennwort Befehle akzeptiert. Was das Programm dann (noch) macht ist mir unbekannt. Das Programm benötigt jedoch vermutlich Root-Rechte um Veränderungen am Layout des USB-Sticks vorzuhmen, diesen zu mounten / unmounten oder zu formatieren. Also könnte das einfach ein simpler Test sein und durch die Häufigkeit vermeiden, dass du das Kennwort erneut eingeben musst, solltest du nicht sofort den USB-Stick erstellen.

PWD=/home/hans/Downloads/sardu_3 ; USER=root ; COMMAND=/usr/sbin/dmidecode -s system-serial-number

Das liest definitiv die Seriennummer des Mainboards / Systems aus. Das könnte der eindeutigen Identifizierung deines Computers dienen. Jetzt wäre natürlich Interessant, was das Programm ins Internet kommuniziert. Vielleicht erheben die Macher die Daten um eine Statistik zu haben, ob das Programm von der selben Person / dem selben System mehrfach genutzt wird.

Das sind natürlich alles Mutmaßungen und bedürften somit weiterer Untersuchungen. Entwarnung möchte ich an dieser Stelle aber nicht geben. Ich gehe mit derartigen Tools sehr Misstraurisch um und versuche sie zu meiden indem ich ein mobiles PXE-System (VM mit dnsmasq auf externer Festplatte) oder USB-Sticks manuell erstelle. Dafür gibt es auch Anleitungen, wie man mehrere OS auf einen Stick manuell bekommt.

[geier22]

Code: Alles auswählen

1 incorrect password attempt ; TTY=unknown ; PWD=/home/hans/Downloads/sardu_3 ; USER=root ; COMMAND=/bin/dat

Das hab ich nur mit kopiert. Wenn Sudo installiert ist, weiß man immer nicht so genau, was denn nun gerade verlangt wird. Naturgemäß hab ich erst mal das root- Passwort eingegeben.
Hatte Sudo deinstalliert, aber leider verlangt das Root- Actions Service Menü für Dolphin Sudo, sonst funktioniert es nicht. Und da ich so bequem bin ........

Die Seriennummer wird es Brauchen wg. der Registrierung

Code: Alles auswählen

root@enp2so:/home/hans# dmidecode -s system-serial-number
To be filled by O.E.M.

Gibt es denn eine Möglichkeit, diese Aktivitäten mit einem Programm eine Zeitlang zu überwachen ?

mit

Code: Alles auswählen

hans@enp2so:~$ ps -AlFH
0 S hans     12383 12364  0  80   0 - 24179 -      39176   5 11:56 ?        00:00:21       /home/hans/Downloads/sardu_3/sardu_3
0 Z hans     12523 12383  0  80   0 -     0 ?          0   2 12:04 ?        00:00:00         [xdg-open] <defunct>
0 Z hans     12722 12383  0  80   0 -     0 ?          0   4 12:07 ?        00:00:00         [xdg-open] <defunct>
0 Z hans     12972 12383  0  80   0 -     0 ?          0   2 12:18 ?        00:00:00         [xdg-open] <defunct>

bekomme ich ja was angezeigt PID von SARDU_3 ist 12383 (rauskopiert aus der Ausgabe) aber ich komme mit der Syntx da nicht so recht klar.
außerdem ist es ja auch nicht vollständig gegenüber den Logs.

Wäre natürlich interessant, ob es da ein Tool / Syntax gibt, mit dem man eine Zeitlang sämtliche Aktivitäten des Programms dokumentieren könnte.

[Cae]

An sich ist strace eingeschraenkt brauchbar, etwa per

Code: Alles auswählen

$ strace -fe execve -o exec-log -- mein-programm --meine-parameter

-- aber zum einen kann das Programm feststellen, dass es gerade beobachtet wird und zum anderen kann natuerlich das Log von einem tatsaechlich boeswilligen Programm manipuliert werden.

Die etwas schickere Variante funktioniert ueber LD_PRELOAD und findet sich auch irgendwo im Forum hier.

Gruss Cae