Grave comandos SSH enviados para um Mac a partir do Windows

1
Coruscate5 2020-03-28 21:24.

Eu tenho um quebra-cabeça - sou um administrador em uma máquina Windows 10 e Mac Catalina.

A máquina Windows está executando um software que tem um bug conhecido - os comandos SSH são enviados para um Mac por um grande pedaço de software .NET que é difícil de fazer RE (devido mais ao seu tamanho do que à complexidade) por SSH. Os 2 PCs estão na mesma rede.

Os comandos SSH falham, mas não sei o que são. Eu gostaria de registrar essas ações, ou pelo menos visualizá-las de alguma forma, para que possa alterar o comportamento da extremidade receptora (Mac) para realizar a ação correta (solução alternativa para o bug).

Aqui está o que tentei ver os comandos SSH:

  • Execute o Wireshark (em ambos os lados), tente decodificar a troca Diffie-Hellman via chaves SSH (não sei como isso funciona exatamente, então estou me atrapalhando - por exemplo, não sei como usar chaves RSA para decodificar a conversa)
  • Experimente o Strace - não existe em máquinas Mac. A opção alternativa dtruss pode funcionar, mas não conheço os comandos e preciso ignorar o SIP.
  • Tente registrar os comandos SSH usando o registro automático .bashrc - agora foi substituído por .zprofile e .zshrc - isso não parece funcionar e nenhum histórico é deixado em z_history ou bash_history. Ele funciona quando eu executo comandos de Terminal interativos. Isso pode ser devido aos comandos sendo encadeados ao comando SSH inicial, por exemplo, ssh user @ host SOMECOMMAND.
  • Execute o ProcMon , veja se os comandos estão em algum arquivo de configuração secreto. Não consigo encontrar.
  • Descompilar usando Reflector e dnSpy - encontro alguma lógica sobre como transmitir comandos SSH, mas nenhum comando real embutido em código.

o que estou perdendo? Existe alguma maneira óbvia de fazer isso que eu esqueci?

Sou relativamente versado em fazer as coisas funcionarem, então, se tiver uma ideia do melhor caminho a seguir, focalizarei minha atenção aí. Parece que há muitas opções em um grande espaço para saber como proceder.

Eu li que talvez haja maneiras de fazer isso por meio do sshd_config no host SSH (Mac), mas não tenho ideia de quais configurações realmente funcionariam e, aparentemente, o Mac faz as coisas de uma maneira especial.

[Sinta-se à vontade para mover o site StackExchange apropriado, não tenho certeza de qual é o melhor para isso]

2 answers

1
hargut 2020-04-04 01:26.

Esse parece um caso típico de auditoria. Não tenho experiência em configurá-lo no Mac OS, portanto, as referências a alguma documentação e exemplos:

https://opensource.apple.com/source/OpenBSM/OpenBSM-21/openbsm/man/

https://krypted.com/mac-os-x/quick-dirty-openbsm-auditing-macos/

Parece que um tipo de auditdtambém está disponível:

https://opensource.apple.com/source/system_cmds/system_cmds-336.10/auditd.tproj/auditd.8.auto.html

A ativação da auditoria e da análise de logs deve funcionar e conter todos os comandos que foram executados no sistema de destino.

Por exemplo, conhecendo o usuário ssh, você pode iniciar audit_usere configurar exsyscalls para serem registrados para este usuário específico. Caso o usuário seja alterado durante a sessão, ele pode não capturar tudo, mas pelo menos até o comando de troca do usuário.

/ etc / security / audit_user yoursshuser:ad,ex:no

Para um início rápido, tente algo como auditreduce -u <userid> -c ex /dev/auditpipe | praudit

Isso deve fornecer logs ao vivo das execsyscalls dos usuários .

Sugira que você esqueça qualquer abordagem por meio de históricos de shell e similares, pois você não sabe se um shell é usado. Por exemplo, um script é copiado e o shell é alterado. Interessantes são as exsyscalls, que contêm todas as execuções, não importa como sejam acionadas.


EDITAR PARA MAC : Especificamente para Mac (com System Integrity Protection [SIP] ativado, por exemplo, Catalina / El Capitan / etc), o OpenBSM não gravará comandos bash que não resultem na execução real de um programa.

Se desejar gravar comandos incorretos (por exemplo, ASDFASDFASDF), então a melhor opção parece ser o uso dtruss- dtrace também pode funcionar, mas a dificuldade em fazê-lo funcionar corretamente parece ser maior.

Primeiro, desative o SIP e execute o seguinte para registrar todas as chamadas do sistema para processos bash:

sudo dtruss -n bash

Comandos incorretos serão "procurados" em vários locais do ambiente, nas chamadas stat64. Por exemplostat64("/usr/bin/ASDFASDFASDF",...)

0
Spacerat 2020-04-02 21:13.

Se você tiver acesso ao shell onde os comandos são executados, você pode tentar redirecionar os descritores de arquivo no perfil do shell para um arquivo de log. Ou ative o histórico. Ou use sysdig.

Related questions

MORE COOL STUFF

Cate Blanchett dormiu com o marido depois de 3 dias juntos e ainda está casada com ele 25 anos depois

Cate Blanchett dormiu com o marido depois de 3 dias juntos e ainda está casada com ele 25 anos depois

Cate Blanchett desafiou os conselhos típicos de namoro quando conheceu o marido.

Por que Michael Sheen é um ator sem fins lucrativos

Por que Michael Sheen é um ator sem fins lucrativos

Michael Sheen é um ator sem fins lucrativos, mas o que exatamente isso significa?

Hallmark Star Colin Egglesfield Pratos Emocionantes Encontros de Fãs no RomaDrama Live! [Exclusivo]

Hallmark Star Colin Egglesfield Pratos Emocionantes Encontros de Fãs no RomaDrama Live! [Exclusivo]

A estrela da Hallmark Colin Egglesfield falou sobre emocionantes encontros com fãs no RomaDrama Live! além de seu programa INSPIRE na convenção.

Por que você não pode transmitir 'Exposição do Norte' online

Por que você não pode transmitir 'Exposição do Norte' online

Você terá que tirar o pó de um Blu-ray ou DVD player para ver por que Northern Exposure se tornou um dos programas mais populares dos anos 90.

Where in the World Are You? Take our GeoGuesser Quiz

Where in the World Are You? Take our GeoGuesser Quiz

The world is a huge place, yet some GeoGuessr players know locations in mere seconds. Are you one of GeoGuessr's gifted elite? Take our quiz to find out!

Como a matéria branca ajuda a função da matéria cinzenta do cérebro

Como a matéria branca ajuda a função da matéria cinzenta do cérebro

Todos nós já ouvimos falar da massa cinzenta do cérebro, mas e a massa branca? O que isso faz?

Doe seu cabelo para ajudar a manter nossa água limpa

Doe seu cabelo para ajudar a manter nossa água limpa

Aparas de cabelo de salões e doações pessoais podem ser reaproveitadas como tapetes que absorvem derramamentos de óleo e ajudam a proteger o meio ambiente.

Um olhar sobre os casamentos mais memoráveis ​​da Casa Branca

Um olhar sobre os casamentos mais memoráveis ​​da Casa Branca

Apenas algumas pessoas se casaram na Casa Branca nos últimos 200 anos. Quem eram eles e o que é necessário para marcar um casamento lá?

O Mercedes-AMG C63 S 2015 é perfeito, exceto por três coisas

O Mercedes-AMG C63 S 2015 é perfeito, exceto por três coisas

Algumas coisas merecem ser repetidas. Por exemplo, tendo a insistir em como o valor supera o preço e que você nunca deve se contentar com o mundano só porque é tecnicamente a escolha mais segura.

DeAndre Jordan descarta o agente que talvez Sorta o empurrou para assinar com Mavs

DeAndre Jordan descarta o agente que talvez Sorta o empurrou para assinar com Mavs

Ei, lembra de toda aquela merda com DeAndre Jordan em julho? Não? Deixe-me lembrá-lo brevemente. Em 3 de julho, os poderes relataram que Jordan escolheu se juntar aos Mavericks na agência gratuita, mas cinco dias depois vieram relatos de que Jordan estava tagarelando e os Clippers estavam tentando cortejá-lo de volta.

O Microsoft Translator pode traduzir com voz, texto e o seu relógio

O Microsoft Translator pode traduzir com voz, texto e o seu relógio

Android: os aplicativos de tradução de idiomas não são novidade (o que é uma das frases mais legais que escrevi), mas o novo aplicativo Translator da Microsoft oferece alguns recursos interessantes. Além de traduzir entre 48 idiomas por texto ou voz, você pode até usar um relógio Android Wear para traduzir do seu pulso.

Retrato pintado por AI vende por $ 432.500

Retrato pintado por AI vende por $ 432.500

Uma pintura feita por um programa de inteligência artificial vendida no leilão da Christie's em Nova York na quinta-feira por $ 432.500 - muito mais do que os estimados $ 7.000 a $ 10.000. o coletivo de arte de Paris Óbvio.

Nicky Hilton Forced to Borrow Paris' 'I Love Paris' Sweatshirt After 'Airline Loses All [My] Luggage'

Nicky Hilton Forced to Borrow Paris' 'I Love Paris' Sweatshirt After 'Airline Loses All [My] Luggage'

Nicky Hilton Rothschild's luggage got lost, but luckily she has an incredible closet to shop: Sister Paris Hilton's!

Carne de porco Mapo de Dawn Burrell e homus de Edamame

Carne de porco Mapo de Dawn Burrell e homus de Edamame

"Esta é uma indústria dominada por homens, e estou feliz por ser uma das pessoas que quebrou o molde para ajudar as mulheres de cor", diz Top Chef: finalista de Portland e chef-parceiro do final de agosto em Houston. "Muitas vezes somos ignorados e às vezes não ensinados, mas isso vai mudar."

Kate Middleton passa um dia à beira da água em Londres, além de Jennifer Lopez, Julianne Hough e mais

Kate Middleton passa um dia à beira da água em Londres, além de Jennifer Lopez, Julianne Hough e mais

Kate Middleton passa um dia na água em Londres, além de Jennifer Lopez, Julianne Hough e muito mais. De Hollywood a Nova York e em todos os lugares, veja o que suas estrelas favoritas estão fazendo!

Jovem de 17 anos esfaqueado até a morte enquanto outros 4 ficaram feridos em um ataque de faca no rio Wisconsin

Jovem de 17 anos esfaqueado até a morte enquanto outros 4 ficaram feridos em um ataque de faca no rio Wisconsin

Investigadores estão investigando se o grupo e o suspeito se conheciam antes do ataque

Aterrissagens na pista

Aterrissagens na pista

O final do verão e o outono são estações nostálgicas. Os postes de luz lançam sua luz sobre as ruas escorregadias pela chuva, e as folhas sob os pés – vermelho-alaranjado nas sombras do crepúsculo – são um lembrete de dias passados.

Imagine criar uma estratégia de conteúdo que realmente CONVERTE. É possível.

Imagine criar uma estratégia de conteúdo que realmente CONVERTE. É possível.

Em 2021, encorajo você a repensar tudo o que sabe sobre os clientes que atende e as histórias que conta a eles. Dê um passo para trás.

Uma perda gigantesca abriu meu coração para o amor

Uma perda gigantesca abriu meu coração para o amor

No dia do aniversário de 9 anos de Felix The Cat, lembro-me de uma das maiores perdas da minha vida adulta – minha Sophie em 2013. Escrevi este ensaio e o compartilhei brevemente nesta plataforma em 2013.

Quando você não pode ser a pessoa que a internet quer que você seja

Quando você não pode ser a pessoa que a internet quer que você seja

Odeio a palavra “naufrágio”. As pessoas se confortam em sua própria bússola moral e, ao fazê-lo, encontram-se julgando.

Language