Как не засветится при взломе

Форум » Руководства » Как не засветится при взломе » Ответить

Как не засветится при взломе

Zeeon: Приветствую вас о мудрые из мудрейших, гуманоиды нашей галактики, а также любимцы правоохранительных органов =). Наверно каждый из вас когда-нибудь задумывался о собственной безопасности? Если да, то это уже хорошо. Обычно так называемые "кульные хацкеры", пренебрегают этим и, махая щупальцами, говорят: "Да кому я нужен..." или "Да нафиг оно вообще надо...". Во-первых, это нужно правоохранительным органам, а, во-вторых, это надо для того, чтобы не попасть к ребятам-петухам за подобные шалости...иначе после этого, предётся становиться на учёт к проктологу =). Ну так вот...если же вы интересуетесь этим вопросом, то можете читать дальше, где я постараюсь на примерах вам рассказать суть и основу того, как не следить! Ок! Преступим! Всё написанное и сказанное, для определённости, проделанно на Red Hat 6.2! Но суть во всех операционных *nix сис-мах одна и таже. Допустим я некий нехороший и злобный хакер, который решил надругаться над своим провайдером и поиметь его сервер через USB'шный слот, дабы получить несказанное удовольствие =)! Итак.. я каким-то образом узнал/получил аккаунт к сис-ме (каким образом я получил этот самый аккаунт...не спрашивайте!..я и сам не знаю =)). Я решил использовать ftp доступ..последующие мои действия представлены вам ниже: [crazy@localhost crazy]$ ftp localhost Connected to localhost.localdomain. 220 localhost.localdomain FTP server (Version ******** Mon Feb 28 10:30:36 EST 2000) ready. Name (localhost:crazy): crazy 331 Password required for crazy Password: 230 User crazy logged in. Remote system type is UNIX. Using binary mode to transfer files. ftp> bye 221 Goodbye. [crazy@localhost crazy]$ Клёва..Мы удачно законнектились..и якобы закачали свой дефейс! Всё круто...админ повержен, дефейс занимает первое место по красочности среди остальных...все рады...я с улыбкой до ушей ложусь спать =)...А на следующее утро просыпаюсь я в петушатнике..абсолютно голый и среди волосатых мужиков из Сибири =). Как же так? Почему я не дома у телека..прошу прощения..у компа =) ?! Давайте разбираться... Есть такие интересные файлики, которые являются зеркалом того, что происходит в сис-ме: /var/log/messages - более подробный лог-файл, /var/log/secure - менее подробный лог. Давайте посмотрим на их содержимое по отдельности..Сначала луукнем /var/log/messages ! ...................... Apr 21 17:26:18 localhost ftpd[799]: FTP LOGIN FROM localhost.localdomain [127.0.0.1], crazy Apr 21 17:30:20 localhost ftpd[799]: FTP session closed Оба...Мы засветились как девушки на тверской =). Хочу сказать для недогоняющих, что этой информации хватит, чтобы к вам домой нагрянул СОБР или ОМОН...а эти ребята церемониться не будут =). Тут сказано, что такой-то субъект с localhost.localdomain [127.0.0.1] законнектился на фтп такого-то числа...ну а далее..сессия была прервана пользователем во столько-то...Одним словом..слишком много улик, Ватсон! Теперь давайте глянем на /var/log/secure.. ...................... Apr 21 17:26:04 localhost in.ftpd[799]: connect from 127.0.0.1 Тут более сжатая инфа..написан только IP злобного нападающего, то бишь меня =). Исходя из сказанного выше можно сделать следующие выводы: Все ваши действия заносятся в лог файл (и даже не один лог файл =), т.е. если вы законнектитесь через telnet/ssh/pop2-3/smtp и т.д....то всё это не исчезает бесследно! Теперь я хочу сказать немного о логах httpd демона...Их можно найти по следующим адресам: /var/log/httpd/access_log и /etc/httpd/~logs/access_log! Давайте законнектимся на страничку жертвы: http://localhost/index.html и посмотрим, что об этом напишут в логах... ...................... 127.0.0.1 - - [21/Apr/2001:17:36:57 +0400] "GET /index.html HTTP/1.0" 200 2511 Инфа хоть и скудная...но всё же IP'шник есть! Но обычно в данных логах админы ищат хаотичные и кратковременные запросы, которые остаются после того, как некто в розовых трусах просканировал веб сервер на предмет дырявых CGI скриптах! Кстати...этого тоже достаточно, чтобы выразить свои притензии вашему провайдеру, т.к. известен ваш IP (в лучшем случае)...либо подать заявление в органы (в худшем)! Но этого можно избежать, используя шелл/прокси (второе найти крайне сложно в сети бесплатно)! А теперь давайте представим на мгновение, что мы взломали сервер, закачали дефейс и избавились от всех логов, кроме этого. Тогда исходя из точного времени взлома сервера (это легко определить по дате модифицирования файла index.htm или так..визуально, увидив дефейс), можно найти в логе httpd сервера результат сканирования CGI сканнера, который приблизительно равен времени взлома...тогда к вам могут по среди ночи явиться люди в чёрном =). "Да-да..Мы поняли..А что с этим делать? Как бороться?"-спросите вы. А я отвечу: "Давайте разбираться..." =). Сначала давайте глянем на права доступа к файлам, то бишь на их пермишн (есть такое слово в *них сис-мах =). [crazy@localhost crazy]$ ls -la /etc/httpd/logs/ total 6776 drwxr-xr-x 2 root root 4096 Apr 15 14:04 . drwxr-xr-x 5 root root 4096 Apr 15 14:04 .. -rw-r--r-- 1 root root 6819816 Apr 21 17:36 access_log -rw-r--r-- 1 root root 91834 Apr 21 17:21 error_log Ого...сколько всего...это не в досе вам dir'ом пользоваться =)! Из этого листинга вы сразу догадаетесь (а кое-кто и нет), что если мы не root, то удалить/изменить файлы мы не сможем...зато сможем их прочитать, но это-то нам не надо! Мы ведь хотим избавиться от улик...а не смотреть на них и вздыхать =). Идём далее... [crazy@localhost crazy]$ ls -la /var/log/ total 224 .................... -rw------- 1 root root 63538 Apr 21 17:40 messages .................... -rw------- 1 root root 3705 Apr 21 17:26 secure .................... Ну тут-то вообще полное гаа...ээээ...эфикалий в общем =). Самые главные улики как раз и защищены как следует..т.е. только root может что-либо делать с ними. Вот досада...А что это значит-то? А значит это то, что, не имея привилегий root'а, мы не сможем удалить лог-файлы и тем самым не сможем избавиться от улик! Т.е. можно с уверенностью сказать, что популярность нашей персоны в правоохранительных органах возрастёт на +N, где N: longint; =). Итак.. какова же мораль этой статьи? А она такова: не имея полного доступа к сис-ме можно залететь наглухо и надолго! Т.е. перед очередным дефейсом...надо учитывать то, что могут наступить на хвост. А учитывая то, что многие взломы сопровождаются только получением доступа к index.html, то можно с уверенностью сказать, что это не есть гуд. P.S. Я не затрагивал другие способы обнаружения злоумышленника, как в решиме interactive, так и в дригих режимах. Обычно такие методы используются на таких серверах, как www.whitehouse.gov =). Да, еще тестируйте прокси-сервера, через которые Вы совершаете действия на предмет ПОЛНОЙ анонимности

Ответов - 0

полная версия страницы