Μετάβαση στο κύριο περιεχόμενο

logs/syslogd/klogd






Το βασικότερο βήμα για κάποιον που θέλει να μην γινει αντιληπτός αφού έχει "καταλάβει" ένα boxaki ειναι να κρύψει τα ίχνη του....
Αυτό το βήμα (για μένα) ειναι το βασικοτερο με την μικρότερη όμως "βιβλιογραφία"!!

Πως κρύβουμε τα ίχνη μας όμως?

Συχνά πολλοί αλλάζουν τα logs ή να τα σβήνουν....
Αλλοι (λιγο πιο hi level script kiddies) τρέχουνε ένα rootkit. Δηλαδη ένα πρόγραμμα (που τις περισσότερες φορές το έφτιαξε άλλος) το οποίο κάνει την παραπάνω δουλειά "Αυτόματα¨".




Βασικά όλα τα παραπάνω μπορούμε να τα κάνουμε "χειροκίνητα" ως εξής:
Υπάρχουν δυο δαίμονες :
Ο klogd που ειναι kernel logger και
ο syslogd που ειναι system logger.
Το πρώτο μας βήμα πρέπει να είναι να κάνουμε kill αυτούς τους δαίμονες ετσι ώστε να μην logaroune καθόλου τις κινήσεις μας!!!!!


[root@hacked root]# ps -def | grep syslogd
[root@hacked root]# kill -9 pid_of_syslogd

Με την πρώτη εντολή παίρνουμε το ID του δαίμονα και με την δευτερη τον... καθαρίζουμε.
Το ίδιο κάνουμε και με τον άλλον, τον klogd.

Αφου τώρα "σκοτώσαμε" τους default loggers... αναζητάμε που έγραψε τα logs του ο syslogd?
Τσεκάρετε το

/var/log/syslog
/var/log/syslog.0
...
Εδώ μπορείτε να απομονώσετε τις συγκεκριμένες γραμμές που αναφέρονται στην επίθεση σας και....
1. Να τις διαγράψετε.... οπότε κανείς και ποτέ (και κυρίως ο admin) θα μάθει ποτε οτι μπήκατε...
2. Να μην τις διαγράψετε απλά να τις αλλάξετε....

Επίσης,... άλλα Log files είναι που πρέπει να ψάξετε είναι τα :
utmp, wtmp, lastlog, και .bash_history
Όπου:
utmp -> δίνει πληροφορίες για το ποιος ειναι μέσα στο συστημα.
wtmp -> δίνει πληροφορίες για τα login/logout καθώς και άλλες Info σίγουρα χρήσιμες στον... admin.
Αυτά βρίσκονται στο

/var/log/

ή μερικές φορές στα

/etc/
/usr/bin/

lastlog -> πρόκειται για ένα αρχείο που κρατά πληροφορίες για όλα τα logins.
.bash_history -> To shell history ειναι ενα αρχείο που κρατά πληροφορίες για το τι εντολές έχετε δώσεις στο command line. Αυτό το αρχείο βρίσκεται το HOME directory σας.... Θα το δείτε επίσης και ως
.sh_history, .history
Βέβαια υπάρχουν πολλά σημεία που μπορεί να βρίκονται..
Ένα απλό

find / -iname 'utmp'|find / -iname 'wtmp'|find / -iname 'lastlog'

θα μας τα εξάγει όλα!!
Όλα??? χμ.... ίσως όχι....

Ένας άλλος τρόπος ειναι να ψάξουμε ποια αρχεία γίνανε edited τώρα:
find / -ctime 0 -print
ΝΤ-Boxes
Σε ενα NT box, τα logs βρίσκονται στο

C:\winNT\system32\LogFiles\

Αυτά μπoρείτε να τα σβήσετε... η απουσία τους δεν θα σημαίνει τίποτα για τους admin/s!!

Υπάρχει όμως και κάτι άλλο....
Σε περιπτώσεις High Secure συστημάτων κρατούνται και logs remotely σε άλλoυς βοηθητικούς servers,....
Εδω.... τα πράγματα ειναι λίγο δύσκολα... και ειναι από πολύ δύσκολο εως αδύνατον να ανακαλυφθουν, να γίνουνε hacked και να αλλάξουνε ΟΛΟΙ!!


Βέβαια να πω οτι όλα τα παραπάνω είναι μια ελάχιστη αναφορά στην... κορυφή του παγόβουνου μιας και υπάρχουνε πολλοί ακόμα τρόποι για να μην γίνουμε αντιληπτοί, όπως και πάρα πολλά έτοιμα προγράμματα (scripts, rootkits Κλπ) που κάνουνε εύκολη την δική μας δουλειά.
Αυτό το post ας γίνει απλά η αρχή και όλες τις δικές σας προτάσεις και απόψεις...

Σχόλια

Δημοφιλείς αναρτήσεις από αυτό το ιστολόγιο

Εδώ μπορείτε να αναζητήσετε πατέντες προϊόντων

Εδώ μπορείτε να αναζητήσετε πατέντες προϊόντων. Μπορείτε να χρησιμοποιήσετε και ελληνικές λέξεις, αλλά τα αποτελέσματα θα είναι στα αγγλικά (μπορείτε να κάνετε αυτόματη μετάφραση). Θα ξαφνιαστείτε με το ποια προϊόντα έχουν πατέντες και ποια δεν έχουν!

>>> https://www.google.gr/?tbm=pts&gws_rd=cr%2Cssl&ei=R4wOVa-ALsP3UO3jg5gH




Ασφαλή δεδομένα με …κβαντική ακρίβεια? Ένα άκρως ενδιαφέρον πείραμα

Κβαντική μηχανική
Στο πανεπιστήμιο Ludwig-Maximilian του Μονάχου, το υπόγειο του κτιρίου της Φυσικής συνδέεται με το κτίριο των Οικονομικών με οπτικές ίνες μήκους περίπου 1 χιλιομέτρου. Ένα φωτόνιο χρειάζεται μόλις τρία εκατομμυριοστά του δευτερολέπτου – και ένα φυσικός, περίπου πέντε λεπτά – για να ταξιδέψει από το ένα κτίριο στο άλλο. Από τον Νοέμβριο του 2015, και για επτά περίπου μήνες, μεμονωμένα φωτόνια μεταδίδονταν μεταξύ των δυο κτιρίων, στα πλαίσια ενός πειράματος κβαντικής φυσικής που θα μπορούσε κάποια μέρα να βοηθήσει στη διασφάλιση των δεδομένων σας.

Ο άμεσος στόχος των ερευνητών ήταν να ερμηνεύσουν μια πολλά υποσχόμενη -όσο και αμφιλεγόμενη- θεώρηση της κβαντικής φυσικής: εάν υπάρχει το φαινόμενο της κβαντικής διεμπλοκής (quantum entanglement). Η κβαντική διεμπλοκή (ή κβαντικός εναγκαλισμός), περιγράφει ένα περίεργο σενάριο κατά το οποίο η μοίρα δύο κβαντικών σωματιδίων – όπως ένα ζευγάρι ατόμων, φωτονίων, ή ιόντων – είναι απόλυτα συνυφασμένη: Ακόμη και εάν χωρίσετε αυτά…

Σαρωτής IoT δείχνει αν η συσκευή σας είναι ευάλωτη σε επιθέσεις DDoS

Αν θυμάστε την επίθεση DDoS 1 Tbps στη γαλλική εταιρεία φιλοξενίας OVH, ίσως να θυμάστε ότι έγινε μέσω του botnet Mirai, χάρη στις 145000 IoT συσκευές.Αλλά πώς θα νιώθετε αν κάποιος σας έλεγε ότι υπάρχουν εκατομμύρια συσκευών που συνδέονται στο Διαδίκτυο (IoT) ευάλωτες σε hacking που μπορούν να χρησιμοποιηθούν για επιθέσεις στον κυβερνοχώρο;

Ναι, σύμφωνα με το BullGuard θα μπορούσαν να υπάρχουν πάνω από 185 εκατομμύρια συνδεδεμένες συσκευές στο διαδίκτυο που είναι απροστάτευτες και ευάλωτες στις επιθέσεις χάκερ.
Οι αριθμοί αυτοί συλλέχθηκαν με βάση τα αποτελέσματα σάρωσης μέσω του BullGuard’s Internet of Things Scanner που επιτρέπει στους χρήστες να πάνε για μια μοναδική σάρωση και να δουν αν οι οικιακές τους συσκευές είναι ευάλωτες στο Shodan.

Εάν οι συσκευές βρίσκονται στο Shodan, αυτό σημαίνει ότι είναι διαθέσιμες σε δημόσια πρόσβαση.


Το Shodan είναι μια μηχανή αναζήτησης που επιτρέπει στον χρήστη να βρει συγκεκριμένους τύπους υπολογιστών συνδεδεμένους στο Internet χρησιμοποιώντας διά…