Собственно я в линуксе недавно поэтому прошу помощи.

Вопрос такой:

Вот я залил шелл,порутал. 3недели жил пока я активность не проявлял а тут вставил ифрейм и все потерли.

Вопрос какие логи надо чистить:

Случай первый :

Орудовал я через веб(с шелла) в 2 файлах добавил по 2 строчки, может админ поставил какие тулзы которые фиксирует все изменения ? Как такие тулзы обнаружить? Где можно посмотреть bash history рута?

Случай второй


Code:
1. Бинпорт с шелла
2. Запуск суидника с паролем который мне дал права рута
3. Сменил права на индекс через шелл добавил строчку и поставил права обратно.
Где я наследил?

blesse said:
Собственно я в линуксе недавно поэтому прошу помощи.
Вопрос такой:
Вот я залил шелл,порутал. 3недели жил пока я активность не проявлял а тут вставил ифрейм и все потерли.
Вопрос какие логи надо чистить:
Случай первый :
Орудовал я через веб(с шелла) в 2 файлах добавил по 2 строчки, может админ поставил какие тулзы которые фиксирует все изменения ? Как такие тулзы обнаружить? Где можно посмотреть bash history рута?
Случай второй

Code:
1. Бинпорт с шелла
2. Запуск суидника с паролем который мне дал права рута
3. Сменил права на индекс через шелл добавил строчку и поставил права обратно.
Где я наследил?




Случай первый - access.log и error.log. Узнать пути где эти файлы почистить поможет эта тема (https://antichat.live/threads/324564/)

Случай второй - access.log и error.log + файл перл-скрипта или Си (смотря на чём биндпорт) в папке /tmp (путь абсолютный)

Я как админ, тебе могу посоветовать:

> 3. Сменил права на индекс через шелл добавил строчку и поставил права обратно.

Также выставляй с помощью touch ту дату last modification

> 1. Бинпорт с шелла

Очень легко палится при правильно-настроенном фаерволе и логгировании левых пакетов ( iptables ... -j LOG) или при частом (параноидальном) вызове netstat -lanp

> 2. Запуск суидника с паролем который мне дал права рута - проверка процессов по названию процессов от рута

Задачи 3, 2 можно делать с помощью крона.

Также как вариант может стоять отлов новых и изменённых файлов с помощью md5sum ( для параноиков -- есть скрипт, могу поделится )

Баш хистори и не только баш, будет лежать по-дефоулту в хомдире пользователя.


Code:
getent passwd|grep root|cut -f6 -d:

получишь хомдиру рута, а там ищи файлы


Code:
ls -lia .*history*

"]
[loy] said:
Я как админ, тебе могу посоветовать:
> 3. Сменил права на индекс через шелл добавил строчку и поставил права обратно.
Также выставляй с помощью touch ту дату last modification
> 1. Бинпорт с шелла
Очень легко палится при правильно-настроенном фаерволе и логгировании левых пакетов ( iptables ... -j LOG) или при частом (параноидальном) вызове netstat -lanp
> 2. Запуск суидника с паролем который мне дал права рута - проверка процессов по названию процессов от рута
Задачи 3, 2 можно делать с помощью крона.
Также как вариант может стоять отлов новых и изменённых файлов с помощью md5sum ( для параноиков -- есть скрипт, могу поделится )
Баш хистори и не только баш, будет лежать по-дефоулту в хомдире пользователя.

Code:
getent passwd|grep root|cut -f6 -d:

получишь хомдиру рута, а там ищи файлы

Code:
ls -lia .*history*



Да поделить пожалуйста.

Как такого рода скрипт можно обнаружить? просто на обоих серверах админы либо ленивые либо некомпетентные ибо не дырки не могут залатать ,не суидник мой с названием "exploit" не могут снести.

Да и шелла живут а как к индексу полезешь то все....

Смотри /etc/crontab и /var/spool/cron/* на предмет "странных" скриптов.

вставь в существующий js скрипт функцию, которая создает дом объект с фреймом

justonline said:
вставь в существующий js скрипт функцию, которая создает дом объект с фреймом


подробнее можно?(пример кода)