logs/syslogd/klogd
Το βασικότερο βήμα για κάποιον που θέλει να μην γινει αντιληπτός αφού έχει "καταλάβει" ένα boxaki ειναι να κρύψει τα ίχνη του.... Αυτό το βήμα (για μένα) ειναι το βασικοτερο με την μικρότερη όμως "βιβλιογραφία"!! Πως κρύβουμε τα ίχνη μας όμως? Συχνά πολλοί αλλάζουν τα logs ή να τα σβήνουν.... Αλλοι (λιγο πιο hi level script kiddies) τρέχουνε ένα rootkit. Δηλαδη ένα πρόγραμμα (που τις περισσότερες φορές το έφτιαξε άλλος) το οποίο κάνει την παραπάνω δουλειά "Αυτόματα¨".
Βασικά όλα τα παραπάνω μπορούμε να τα κάνουμε "χειροκίνητα" ως εξής:
Υπάρχουν δυο δαίμονες :
Ο klogd που ειναι kernel logger και
ο syslogd που ειναι system logger.
Το πρώτο μας βήμα πρέπει να είναι να κάνουμε kill αυτούς τους δαίμονες ετσι ώστε να μην logaroune καθόλου τις κινήσεις μας!!!!!
[root@hacked root]# ps -def | grep syslogd
[root@hacked root]# kill -9 pid_of_syslogd
Με την πρώτη εντολή παίρνουμε το ID του δαίμονα και με την δευτερη τον... καθαρίζουμε. Το ίδιο κάνουμε και με τον άλλον, τον klogd. Αφου τώρα "σκοτώσαμε" τους default loggers... αναζητάμε που έγραψε τα logs του ο syslogd? Τσεκάρετε το
/var/log/syslog
/var/log/syslog.0
...
Εδώ μπορείτε να απομονώσετε τις συγκεκριμένες γραμμές που αναφέρονται στην επίθεση σας και.... 1. Να τις διαγράψετε.... οπότε κανείς και ποτέ (και κυρίως ο admin) θα μάθει ποτε οτι μπήκατε... 2. Να μην τις διαγράψετε απλά να τις αλλάξετε.... Επίσης,... άλλα Log files είναι που πρέπει να ψάξετε είναι τα :
utmp, wtmp, lastlog, και .bash_history
Όπου: utmp -> δίνει πληροφορίες για το ποιος ειναι μέσα στο συστημα. wtmp -> δίνει πληροφορίες για τα login/logout καθώς και άλλες Info σίγουρα χρήσιμες στον... admin. Αυτά βρίσκονται στο
/var/log/
ή μερικές φορές στα
/etc/
/usr/bin/
lastlog -> πρόκειται για ένα αρχείο που κρατά πληροφορίες για όλα τα logins. .bash_history -> To shell history ειναι ενα αρχείο που κρατά πληροφορίες για το τι εντολές έχετε δώσεις στο command line. Αυτό το αρχείο βρίσκεται το HOME directory σας.... Θα το δείτε επίσης και ως
.sh_history, .history
Βέβαια υπάρχουν πολλά σημεία που μπορεί να βρίκονται.. Ένα απλό
find / -iname 'utmp'|find / -iname 'wtmp'|find / -iname 'lastlog'
θα μας τα εξάγει όλα!! Όλα??? χμ.... ίσως όχι.... Ένας άλλος τρόπος ειναι να ψάξουμε ποια αρχεία γίνανε edited τώρα: find / -ctime 0 -print ΝΤ-Boxes Σε ενα NT box, τα logs βρίσκονται στο
C:\winNT\system32\LogFiles\
Αυτά μπoρείτε να τα σβήσετε... η απουσία τους δεν θα σημαίνει τίποτα για τους admin/s!! Υπάρχει όμως και κάτι άλλο.... Σε περιπτώσεις High Secure συστημάτων κρατούνται και logs remotely σε άλλoυς βοηθητικούς servers,.... Εδω.... τα πράγματα ειναι λίγο δύσκολα... και ειναι από πολύ δύσκολο εως αδύνατον να ανακαλυφθουν, να γίνουνε hacked και να αλλάξουνε ΟΛΟΙ!! Βέβαια να πω οτι όλα τα παραπάνω είναι μια ελάχιστη αναφορά στην... κορυφή του παγόβουνου μιας και υπάρχουνε πολλοί ακόμα τρόποι για να μην γίνουμε αντιληπτοί, όπως και πάρα πολλά έτοιμα προγράμματα (scripts, rootkits Κλπ) που κάνουνε εύκολη την δική μας δουλειά. Αυτό το post ας γίνει απλά η αρχή και όλες τις δικές σας προτάσεις και απόψεις...
Κατηγορίες:
Σχόλια