ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
22.09.2012, 19:36
|
|
Guest
Сообщений: n/a
Провел на форуме:
29647
Репутация:
1
|
|
Собственно я в линуксе недавно поэтому прошу помощи.
Вопрос такой:
Вот я залил шелл,порутал. 3недели жил пока я активность не проявлял а тут вставил ифрейм и все потерли.
Вопрос какие логи надо чистить:
Случай первый :
Орудовал я через веб(с шелла) в 2 файлах добавил по 2 строчки, может админ поставил какие тулзы которые фиксирует все изменения ? Как такие тулзы обнаружить? Где можно посмотреть bash history рута?
Случай второй
Код:
Code:
1. Бинпорт с шелла
2. Запуск суидника с паролем который мне дал права рута
3. Сменил права на индекс через шелл добавил строчку и поставил права обратно.
Где я наследил?
|
|
|
|
22.09.2012, 20:00
|
|
Новичок
Регистрация: 04.12.2008
Сообщений: 11
Провел на форуме:
69033
Репутация:
8
|
|
Сообщение от blesse
blesse said:
Собственно я в линуксе недавно поэтому прошу помощи.
Вопрос такой:
Вот я залил шелл,порутал. 3недели жил пока я активность не проявлял а тут вставил ифрейм и все потерли.
Вопрос какие логи надо чистить:
Случай первый :
Орудовал я через веб(с шелла) в 2 файлах добавил по 2 строчки, может админ поставил какие тулзы которые фиксирует все изменения ? Как такие тулзы обнаружить? Где можно посмотреть bash history рута?
Случай второй
Код:
Code:
1. Бинпорт с шелла
2. Запуск суидника с паролем который мне дал права рута
3. Сменил права на индекс через шелл добавил строчку и поставил права обратно.
Где я наследил?
Случай первый - access.log и error.log. Узнать пути где эти файлы почистить поможет эта тема
Случай второй - access.log и error.log + файл перл-скрипта или Си (смотря на чём биндпорт) в папке /tmp (путь абсолютный)
|
|
|
23.09.2012, 08:22
|
|
Участник форума
Регистрация: 24.03.2006
Сообщений: 184
Провел на форуме:
344009
Репутация:
72
|
|
Я как админ, тебе могу посоветовать:
> 3. Сменил права на индекс через шелл добавил строчку и поставил права обратно.
Также выставляй с помощью touch ту дату last modification
> 1. Бинпорт с шелла
Очень легко палится при правильно-настроенном фаерволе и логгировании левых пакетов ( iptables ... -j LOG) или при частом (параноидальном) вызове netstat -lanp
> 2. Запуск суидника с паролем который мне дал права рута - проверка процессов по названию процессов от рута
Задачи 3, 2 можно делать с помощью крона.
Также как вариант может стоять отлов новых и изменённых файлов с помощью md5sum ( для параноиков -- есть скрипт, могу поделится )
Баш хистори и не только баш, будет лежать по-дефоулту в хомдире пользователя.
Код:
Code:
getent passwd|grep root|cut -f6 -d:
получишь хомдиру рута, а там ищи файлы
Код:
Code:
ls -lia .*history*
|
|
|
|
23.09.2012, 09:33
|
|
Guest
Сообщений: n/a
Провел на форуме:
29647
Репутация:
1
|
|
Сообщение от [loy
"]
[loy] said:
Я как админ, тебе могу посоветовать:
> 3. Сменил права на индекс через шелл добавил строчку и поставил права обратно.
Также выставляй с помощью touch ту дату last modification
> 1. Бинпорт с шелла
Очень легко палится при правильно-настроенном фаерволе и логгировании левых пакетов ( iptables ... -j LOG) или при частом (параноидальном) вызове netstat -lanp
> 2. Запуск суидника с паролем который мне дал права рута - проверка процессов по названию процессов от рута
Задачи 3, 2 можно делать с помощью крона.
Также как вариант может стоять отлов новых и изменённых файлов с помощью md5sum ( для параноиков -- есть скрипт, могу поделится )
Баш хистори и не только баш, будет лежать по-дефоулту в хомдире пользователя.
Код:
Code:
getent passwd|grep root|cut -f6 -d:
получишь хомдиру рута, а там ищи файлы
Код:
Code:
ls -lia .*history*
Да поделить пожалуйста.
Как такого рода скрипт можно обнаружить? просто на обоих серверах админы либо ленивые либо некомпетентные ибо не дырки не могут залатать ,не суидник мой с названием "exploit" не могут снести.
Да и шелла живут а как к индексу полезешь то все....
|
|
|
|
23.09.2012, 15:17
|
|
Участник форума
Регистрация: 24.03.2006
Сообщений: 184
Провел на форуме:
344009
Репутация:
72
|
|
Смотри /etc/crontab и /var/spool/cron/* на предмет "странных" скриптов.
|
|
|
|
23.09.2012, 15:23
|
|
Guest
Сообщений: n/a
Провел на форуме:
179355
Репутация:
53
|
|
вставь в существующий js скрипт функцию, которая создает дом объект с фреймом
|
|
|
|
23.09.2012, 17:11
|
|
Guest
Сообщений: n/a
Провел на форуме:
29647
Репутация:
1
|
|
Сообщение от justonline
justonline said:
вставь в существующий js скрипт функцию, которая создает дом объект с фреймом
подробнее можно?(пример кода)
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для [loy]](/avatars/avatar23093.jpg?3282995){kind=avatar}
![Аватар для [loy]](/avatars/avatar23093.jpg?3283272){kind=avatar}
Линейный вид
