Linux Log Analizi — Sudo Yetki Yükseltme İşleminin Tespit Edilmesi

Bu yazımızda saldırgan auditd yüklü bir Ubuntu sisteme giriş yapmış ve yetki yükseltmek için ilk olarak /etc/group dosyasını görüntülemiştir.

Siber kullanıcısı sudo su komutunu kullanarak root kullanıcısı olmuş ve sonrasında id komutunu çalıştırmıştır.

Şimdi ise audit loglarını inceleyelim. Bunun için aşağıdaki komutu kullanabiliriz.

#tail –f /var/log/audit/audit.log

Aşağıdaki logta belirtildiği üzere uid değeri 1001 olan kullanıcı “sudo” komutunu kullanarak yetki yükseltmiştir. key olarak bu işlem “priv_esc” olarak kuralda tanımlanmıştır.

type=SYSCALL msg=audit(1631554300.276:608): arch=c000003e syscall=59 success=yes exit=0 a0=55ea82208610 a1=55ea821f41a0 a2=55ea82300a60 a3=55ea821e4010 items=2 ppid=14016 pid=14027 auid=1000 uid=1001 gid=1001 euid=0 suid=0 fsuid=0 egid=1001 sgid=1001 fsgid=1001 tty=pts1 ses=19 comm=”sudo” exe=”/usr/bin/sudo” key=”priv_esc”