Шпионаж за чужой консолью / *nix / Хабрахабр

Шпионаж за чужой консолью

В стандартный состав FreeBSD входит замечательная программа watch(8), которая позволяет подсматривать за чужой консолью.

Всё, что ей для этого необходимо это snp модуль, который достаточно собрать из сурцов а программа сама его подгрузит:

# cd /usr/src/sys/modules/snp/

# make && make install

Теперь выбираем цель:

# w

 9:16PM up 55 days, 52 mins, 2 users, load averages: 0.08, 0.06, 0.00

 USER TTY FROM LOGIN@ IDLE WHAT

 nlo1 p0 nlo.habr.ru 9:06PM - w 

 nlo2 p1 nlo.habr.ru 9:16PM - -bash (bash)

И подсматриваем за интересной нам консолью(TTY).
# watch p1

Назревает вопрос, каким образом можно подсмотреть за чужой консолью в Linux?
p.s
Вопрос не холливара ради, а мне действительно интересно, как можно это сделать.

+25

12 сентября 2009, 23:30

chegivara

комментарии (45)

Gasoid 13 сентября 2009, 00:03 #

ttysnoop

chegivara 13 сентября 2009, 00:17 # ↑

Про эту программу я слышал, но вот воспользоваться так и не получилось.
Можете показать рабочий пример?

angry_elf 13 сентября 2009, 01:40 #

bashlogger, screen -x :)

chegivara 13 сентября 2009, 01:57 # ↑

Мило просить работать через screen?)

angry_elf 13 сентября 2009, 02:56 # ↑

usermod -s /bin/screen %username% :)

НЛО прилетело и опубликовало эту надпись здесь

V2NEK 13 сентября 2009, 01:52 # ↑

не за кем следить будет

tmp0000 13 сентября 2009, 05:07 # ↑

Метод Чака Норриса? :)

Anton_DS 13 сентября 2009, 08:14 # ↑

Скорее мистера Спока :))

НЛО прилетело и опубликовало эту надпись здесь

chegivara 13 сентября 2009, 01:55 # ↑

Это всё не то, можно очистить да и многово не увидишь. Нужен он лайн режим.

–2

antosj 13 сентября 2009, 05:12 # ↑

tail

l0rda 13 сентября 2009, 05:38 # ↑

unset HISTFILE

какой tail?

–4

andoriyu 13 сентября 2009, 07:01 # ↑

тот который показывает нижнии строки, типо чекать не изменился ли фаил и показывать его хвост.

l0rda 13 сентября 2009, 07:05 # ↑

я знаю что такое tail
но он Вам не поможет, если в этот файл ничего не пишется

Somewan 13 сентября 2009, 01:55 #

решение из разряда «а я тупо вынул все кабели из свича»

ставится сплиттер на выдеовыход с карты и при достаточной длине кабеля вся консоль у тебя на мониторе

chegivara 13 сентября 2009, 01:58 # ↑

это за физической, а ssh сессии как)

Somewan 13 сентября 2009, 02:02 # ↑

как говорится, подписался на комментарии

AlexeyK 13 сентября 2009, 12:30 # ↑

на практике никак, разве что снифить приходящие на sshd команды и подавать их типа «в реальном времени», либо подобные решения

Dimster 13 сентября 2009, 04:01 # ↑

Угу,
«Чувак, я тут у тебя с ноутом посижу ладно? Только тут вайфай ловит, проверю, что новенького на хабре. Какой кабель? К видеокарте? Так это как антенна для вайфая, я тебе точно говорю.»

–4

tmp0000 13 сентября 2009, 05:08 # ↑

«Чувак, я тут у тебя с ноутом посижу ладно? Только тут вайфай ловит, проверю, что новенького на хабре. Какой кабель? К видеокарте? Так это как антенна для вайфая, я тебе точно говорю. Кстати, ты с какова раёна, парниша?»

anycolor 13 сентября 2009, 04:00 #

мм, насколько я помню даже snp не нужно собирать. В стандартной поставке есть все, что нужно:

DEscriptION
The watch utility allows the user to examine all data coming through a
specified tty using the snp(4) device. If the snp(4) device is not
available, watch will attempt to load the module (snp). The watch util-
ity writes to standard output.

Может я конечно отстал от жизни, но в FreeBSD 5.2 не нужно было дополнительно ничего собирать, чтобы использовать watch.

ColorPrint 13 сентября 2009, 10:53 # ↑

угу, в семерке и восьмерке тоже из коробки работает, ничего компилить не нужно

Spamkit 13 сентября 2009, 04:03 #

Будьте добры посмотреть здесь на Линукс-аналог НЛО.

Spamkit 13 сентября 2009, 04:03 # ↑

Тьфу, линк не вставился linux.die.net/man/1/conspy

chegivara 13 сентября 2009, 14:35 # ↑

Это подключение к виртуальным консолям, ssh сессии так не увидеть(

НЛО прилетело и опубликовало эту надпись здесь

–1

DurRandir 13 сентября 2009, 09:10 #

А теперь запусти то же самое, но не от рута. И удивишься, что open /dev/snp0: Permission denied

StirolXXX 13 сентября 2009, 11:46 # ↑

Отлично, а кому это надо делать кроме как руту?

ColorPrint 13 сентября 2009, 12:47 # ↑

ну все правильно вроде, а Вы как хотели? )
если нужна возможность делать это обычным юзерам то думаю достаточно сменить права на /dev/snp
Только вот зачем оно юзерам то? ;)

ivlis 13 сентября 2009, 14:40 # ↑

Было бы очень странно, если бы работало, лол.

iscsi 13 сентября 2009, 10:28 #

не надо ничего собирать, kldload snp, и понятное дело, если Вы смогли сделать это, то watch sometty для Вас уже не проблема вовсе.

akshakirov 13 сентября 2009, 14:04 #

в линукс watch делает совсем другое… собственно так я узнал о том что делает watch в FreeBSD.

PS: какой аналог linux watch есть под freebsd?

dmn42 13 сентября 2009, 16:03 # ↑

gnu-watch

dmn42 13 сентября 2009, 14:22 #

Port: gnu-watch-3.2.7
Path: /usr/ports/misc/gnu-watch
Info: GNU watch command
Maint: ehaupt@FreeBSD.org
B-deps:
R-deps:
WWW: procps.sourceforge.net/

Enjoy.

dmn42 13 сентября 2009, 14:23 # ↑

Йопрст, не проснулся и подумал про наоборот.

SaveTheRbtz 13 сентября 2009, 15:43 # ↑

о! Круто! Как раз про «наоборот» и хотел спросить =)

egorinsk 13 сентября 2009, 15:59 #

tail /dev/ttyN не работает? (просто интересно)

kmeaw 14 сентября 2009, 04:01 #

Я использовал ttyrpld.

Работает примерно так: после загрузки ядерного модуля создаётся устройство, которое позволяет перехватывать любые псевдотерминалы и следить за тем, как они создаются и исчезают. В userspace работает специальный демон, который использует это устройство для записи лога всех псевдотерминалов. Также есть программа, которая чем-то похожа на видеоплеер — она воспроизводит запись сессии, позволяет «ускорять время», сокращать ожидание до следующего изменения данных, показывать невыводимые (когда режим echo на tty выключен) символы (бывает полезно, чтобы подсмотреть пароль).

URANUS 1 декабря 2009, 07:22 #

Как защитится от watch? К примеру руки кривые, команды набираешь с ошибками и не особо хочется, чтобы другой root это видел.

Volmontovich 1 июня 2010, 16:49 # ↑

Идея навскидку: выгрузить модуль ядра и добавить в блек-лист?

Volmontovich 1 июня 2010, 16:52 # ↑

Упс, на дату не посмотрел.

URANUS 1 июня 2010, 18:29 # ↑

ну так-то да, но защититься от другого рута в принципе проблематично, ибо он может всё, как и ты :) загрузить этот модуль обратно к примеру.

Volmontovich 1 июня 2010, 18:39 # ↑

Еще более радикальный вариант — убить все активные левые сессии рутов, запретить логиниться по-новой (например поставив вместо пароля * в /etc/shadow), сделать свое черное дело и вернуть как было.
Но тут сразу два «но». Злой рут может иметь всякие бекдоры/руткиты, и всякий раз так делать замаешься да и не при всяких условиях это допустимо. Так что 100% гарантировать то, что за тобой никто не следит — из области фантастики :-)

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Операционные системы ↓

*nix