alguém invadiu um dos meus servidores usando a conta de usuário do postgres.
o que eu não sei é:
qual é a pasta inicial desse usuário?
onde estaria bash_history?
alguém invadiu um dos meus servidores usando a conta de usuário do postgres.
o que eu não sei é:
qual é a pasta inicial desse usuário?
onde estaria bash_history?
Respostas:
grep postgres /etc/passwd
imprimirá o diretório inicial da conta do postgres.
O bash_history estaria localizado na raiz do diretório inicial da conta do postgres, por exemplo /home/postgres/.bash_history
. Mas se alguém tiver habilidade suficiente para invadir seu servidor, não espere que o arquivo de histórico seja preciso ou até mais presente.
Provavelmente, a conta do usuário pode navegar pelo sistema de arquivos, mas é claro que não é possível ler arquivos como / etc / shadow, a menos que o servidor seja enraizado usando alguma exploração. Ele também poderia ter instalado alguns daemons ouvindo conexões de rede ou, por exemplo, um irc-bot que se conecta ao IRC e recebe os comandos a partir daí.
getent passwd postgres
normalmente é melhor, uma vez que não basta olhar para cima /etc/passwd
, mas todos os bancos de dados configurados (LDAP, NIS, Winbind)