Hi, ich versuche im Moment gerade ein Perl Programm zu schreiben, welches auf der (zum beispiel) bash lauert und die Eingaben mitbekommt. Das heißt, sobald jemand in der bash zum Beispiel ls -la eingibt, das das Perl Programm das dann sieht und die Eingabe verarbeiten kann, allerdings ohne die Ausgabe zu blockieren.
Kennt da jemand eine Möglichkeit? Vielleicht irgendwie in einem Filehandle STDIN öffnen und pipen, wäre das Möglich?
thx schonmal

Ja das geht, hoert sich aber nach nichts gutem an was du da vor hast... :rock:\n\n

<!--EDIT|sri|1117705225-->

@sri: Wieso hört sich das nach nichts gutem an?
Wenn du denkst, ich will hier voll das Hacker zeug machen, irrst du dich leider :P
Ein Freund von mir hat in seiner Firma einen Server stehen, auf dem er shells "verteilt" zum idlen im IRC von http://www.newbie-net.de , allerdings hat da jemand knark.o geladen und ebenfalls modhide.o. Wer sich etwas damit auskennt, weiß, das das nicht so toll ist...
Er hätte gerne durch exaktes abfangen der Eingabe eine sehr genaue logdatei, die ihm sagt, wer was genau geschrieben hat. Weil ich denk nicht, dass einer, der sich etwas auskennt, die .bash_history einfach so stehen lässt...
Also, ihr könnt es mir ruhig verraten, wie das geht *gg*
:)

Quote

Er hätte gerne durch exaktes abfangen der Eingabe eine sehr genaue logdatei, die ihm sagt, wer was genau geschrieben hat.

Das personalisierte mitloggen von Eingaben verstößt gegen den Datenschutz.
Und das ist in Deutschland strafbar.

auf einem eigenen Server verstößt es gegen den Datenschutz ? ? ?
Ist das nicht *etwas* unlogisch? Wenn man daraufhingewiesen wird, ist das doch nicht wirklich strafbar, oder? Na ja, was der Kerl alles mit nem geladenen Kernel Rootkit machen kann, ist sicher auch nicht ganz legal...

Eingaben sind persönliche Daten. Datenschutz gilt überall.
Du darfst Maßnahmen installieren, die Schäden verhindern. D. h. Daten scannen, um dann bestimmte Aktionen zu verhindern. Du darfst aber nicht alle Daten speichern, die bei der Eingabe enstanden, un dann auswerten.

Du kannst nicht damit argumentieren, dass andere sich nicht an Gesetze halten und du es dann auch nicht zu machen brauchst.

Du schriebst:

Quote

Ein Freund von mir hat in seiner Firma einen Server stehen, auf dem er shells "verteilt" zum idlen im IRC von http://www.newbie-net.de , allerdings hat da jemand knark.o geladen und ebenfalls modhide.o. Wer sich etwas damit auskennt, weiß, das das nicht so toll ist...
Er hätte gerne durch exaktes abfangen der Eingabe eine sehr genaue logdatei,

Server in Firma, Eingaben genau loggen => Datenschutz beachten!

Es ist definitiv illegal, einfach kommentarlos Benutzereingaben mitzuschneiden. Aber seid ihr sicher, dass das auch noch verboten ist, wenn man die Benutzer deutlich darauf hinweist (etwa per Banner in der /etc/motd), dass alle Eingaben geloggt werden?

Schließlich ist dann niemand verpflichtet, diesen Server tatsächlich zu verwenden, wenn er nicht abgehört werden will...

Um den technischen Teil der Frage zu beantworten: Es gibt auf UNIX-Systemen das Tool script um Terminalsessions mitzuschneiden. Da muss man sich also gar nicht erst selbst etwas programmieren.

Weiß jemand vielleicht ein Linux interne Art, außer die .bash_history, um Terminalsessions zu loggen?
bzw. vielleicht eine Art, nur ein Programm (irssi) ausführen zu können?
Wie gesagt, ich wäre auch nicht begeistert, wenn mir plötzlich einer ein Kernelrootkit lädt..

Wäre es nicht sinnvoller den Server zu härten um das Problem in den Griff zu bekommen? Davon abgesehen das ein einmal kompromitierter Server, ein kompromitierter Server ist. Da würde ich immer neu aufsetzen empfehlen.

Zusätzliche Sicherheit kannst du mit einer IDS gewinnen, die du als Bridge einschleifst (z.B. Snort). Wenn du Hacker-Aktivitäten direkt nachverfolgen können willst, beschäftige dich ein wenig mit Honigtöpfen (honeypotd).

Wir haben es ja gemerkt, das geladen wurde. Nur ist es etwas untoll, wenn man es erst bei einem kernelpatch bemerkt...
Durch das laden von modhide.o sind die Module auch nicht in lsmod aufgetaucht und wir eben auch nicht wissen, wie lange er schon infiziert ist. Wir haben die Kiste auch gleich vom Netz genommen und alle Daten gesichert und nochmal neu aufgesetzt, aber auf der shell soll wirklich für normale User nur irssi verfügbar sein.
Aber das mit snort ist keine schlechte idee...

Nochwas: Ich hab mal was gehört von bestimmten Tools, die Server vortäuschen (smtp, pop3, IMAP etc.) weiß jemand, wie das gleich hieß? Ich will ein paar Leute auf die Schippe nehmen bei einem Contest... ;)