Тема: ОТЛИЧНАЯ СТАТЬЯ - "Как заметать следы"
Показать сообщение отдельно

  #5  
Старый 07.02.2005, 12:36
foreva
Участник форума
Регистрация: 05.02.2005
Сообщений: 121
Провел на форуме:
0

Репутация: 10
Отправить сообщение для foreva с помощью ICQ
По умолчанию
P.S. Хотелось бы закончить статью на пессимистичной ноте. "Граждане, Минздрав последний раз предупреждает: азартные игры с государством наиболее опасны для Вашего здоровья". Особенно, если вы толком не понимаете даже правил этой игры...
www.geocities.com/werebad/
Источник: http://www.nestor.minsk.by/kg/
Источник: http://www.izcity.com/

Как заметать следы-4

“О божественное искусство тайны и непостижимости!
Благодаря тебе искусный мастер не оставляет следов.
Благодаря тебе искусный мастер не издает ни звука.
И благодаря тебе судьба недруга в его руках”.
Сунь Цзы “Искусство войны”
Это четвертая часть, продолжающая цикл статей Ван Хаузера “Как скрывать свои следы”. По возможности я буду и далее снабжать этот обзор своими комментариями и дополнениями применительно к Windows-системам. Вопросы взлома и защиты систем, работающих под управлением Novell Netware, рассматриваться не будут.
4. LOG-и (Журналы регистрации активности)
Существует три важных журнала, протоколирующих активность:
“WTMP” — регистрация начала и завершения каждого сеанса, со временем входа и выхода из системы, время регистрации, “TTY” и именем хоста.
“UTMP” — содержит информацию об on-line пользователях, подключенных в данный момент.
“LASTLOG” — содержит информацию о том, откуда происходят подключения.
В Windows NT также есть три “штатных” журнала регистрации активности:
“AppEvent.Evt” — журнал приложений (“application log”), протоколирующий события, связанные с конкретными приложениями, такие как: программой диагностики источника бесперебойного питания, программой резервного копирования, другие запланированные по регламенту (конфигурации системы) процедуры.
“SecEvent.Evt” — журнал безопасности (“security log”), протоколирующий события, касающиеся защиты, такие как: неудачные попытки регистрации в системе, доступа к ресурсам на основании встроенных или установленных “политик безопасности”.
“SysEvent.Evt” — системный журнал (“system log”), протоколирующий события, связанные с работой самой операционной системы, например: загрузка (выгрузка) драйверов, запуск (остановка) сервисов, проверка свободного места на диске и т.д.
В Windows NT при установке IIS (“Internet Information Server”) может быть запущен журнал регистрации событий о работе запущенных служб. Журналы в IIS могут быть двух видов: текстового файла или базы данных, совместимой с ODBC.
Есть и другие журналы, но о них речь пойдет в разделе о “продвинутой технике”. Каждое подключение через “telnet, “ftp”, “rlogin” и через некоторые системные “rsh” регистрируется в этих журналах. Очень важно удалить следы своей активности из этих журналов, если вы проводили взлом, в противном случае из них выяснится:
А) точное время, когда вы проводили взлом
Б) с какого места происходило ваше подключение
В) как долго вы были в on-line и характер ваших действий
Никогда не удаляйте log-файлы. Это самый простой способ, чтобы показать администратору, что машину посетил хакер. Найдите программу для модификации лог-файлов. Часто отзываются о ZAP или ZAP2 как о самых лучших, но это не так. Все что они делают — это забивают нулями данные о последнем подключении. CERT уже выпустил простые утилиты, проверяющие эти забитые нулями записи, — что легкий путь по выявлению хакеров, для администраторов в том числе. Когда администратор узнает, что кто-то получил доступ на уровне “корня”, весь ваш труд станет напрасным. Еще одно важное замечание по ZAP — она не сообщает о том, что не смогла найти журналы регистрации, поэтому сами перепроверьте пути перед компиляцией! Достаньте другую утилиту, реально изменяющую данные (такую как CLOAK2) или удаляющую записи (такую как CLEAR).
Обычно у вас должен быть доступ к “корню” для изменения лог-файлов (это не касается старых версий систем, у которых был глобальный доступ на запись к “UTMP” и “WTMP”). Что можно сделать, если доступ на уровне “корня” получить не удалось? Не очень многое: подключитесь через “rlogin” к компьютеру, где вы были, чтобы добавить запись “LASTLOG”, не привлекающую особого внимания, которую увидит пользователь, подключаясь следующим. Он ничего не заподозрит, если увидит “localhost”.
Много версий UNIX имеют ошибку в команде “login”. Когда эта команда еще раз запускается на исполнение, после того как вы уже подключились к системе, она перезаписывает поле “login-from” в журнале “UTMP” (в котором содержится информация о том, откуда вы пришли!) вашим текущим “TTY”.
Где эти лог-файлы размещаются по умолчанию?
Это зависит от версии UNIX.
“UTMP”
“/etc”, “/var/adm”, “/usr/adm”, “/usr/var/adm”, “/var/log”
“WTMP”
“/etc”, “/var/adm”, “/usr/adm”, “/usr/var/adm”, “/var/log”
“LASTLOG”
“/usr/var/adm”, “/usr/adm”, “/var/adm”, “/var/log”
В некоторых старых версиях UNIX данные о последних подключениях записываются в “$HOME/.lastlog”.
Журналы в Windows NT располагаются в “%root%\SYSTEM32\CONFIG”. Хакеру не стоит сильно беспокоиться о журнале приложений “AppEvent.Evt”, а обращать серьезное внимание на записи в системном журнале (“SysEvent.Evt”) и журнале безопасности (“SecEvent.Evt”). “По умолчанию” легальные пользователи имеют доступ “на чтение” системного журнала. И если есть разрешение, то, при желании, можно его просмотреть и увидеть, остались ли в нем следы вашего визита. Если это так, необходимо подумать, как добавить записи от других пользователей, подобных вам, регистрируясь в системе с других учетных записей.
5. Не оставляя следа
Я встречал много хакеров, которое удаляли себя в журналах регистрации. Но они забывали стереть другие следы, оставшиеся в машине: файлы в директориях “/tmp” и “$HOME”.
История оболочки командного процессора.
Она будет меняться в зависимости от того, какой пользователь подключился в данный момент. Некоторые оболочки оставляют файл истории (зависящий от конфигурации системного окружения), со всеми набиравшимися командами. Они — злейший враг для хакера. В данной ситуации лучше всего — это запустить самой первой командой новую оболочку командного процессора и проверять всякий раз файл истории в вашей директории “$HOME”.
Файлы истории:
“sh”
“.sh_history”
“csh”
“.history”
“ksh”
“.sh_history”
“bash”
“.bash_history”
“zsh
“.history”
Резервные файлы:
“dead.letter, *.bak, *~”
Другими словами, перед отключением выполните команду: “ls —altr”.
Вот пример четырех команд для “csh” (оболочки), удаляющие файл “.history”, не оставляя никакого следа, перед завершением сеанса.
“mv.logout save.1”
“echo rm.history>.logout”
“echo rm.logout>>.logout”
“echo mv save.1.logout>>.logout”

***ПРОДОЛЖЕНИЕ НИЖЕ***