Иллюстрированный самоучитель по Secure Web


Программы типа "троянский конь" - часть 10


root ttyl Jul 24 22:14

root ttyl Jul 24 22:14

Как видно из приведенного листинга, в новом журнале (файл wtmp.out) пользователь joel отсутствует. Теперь осталось скопировать файл wtmp.out поверх файла wtmp, и взломщик сможет скрыть факт своего присутствия в системе. Некоторые программы, такие как zap (для SunOS 4.x), на самом деле меняют лишь время последней регистрации в системе (эту информацию можно увидеть, например, обратившись с запросом finger и указав в качестве параметра имя интересующего вас пользователя). Теперь осталось вручную (точнее с помощью редактора, такого как vi или emacs) модифицировать файлы журналов secure, messages и xferlog, чтобы удалить последние следы своего пребывания в системе.

Одним из последних этапов очистки журналов является удаление данных об использованных командах. Многие командные оболочки UNIX ведут журналы введенных ранее команд (history), что обеспечивает дополнительные удобства при повторном вводе команд. Например, оболочка BASH (Bourne again shell) (/bin/bash) сохраняет соответствующий файл в рабочем каталоге пользователя (во многих случаях и в каталоге пользователя root). Этот файл журнала, содержащий список недавно введенных команд, называется .bash_history. Обычно перед тем, как покинуть систему, злоумышленник очищает этот журнал. Например, в файле .bash_history может содержаться следующая информация.

tail -f /var/log/messages

vi chat-ppp0

kill -.9 1521

logout < здесь находятся записи о регистрации злоумышленника и начале его
работы >

id pwd

cat /etc/shadow » /tmp/.badstuff/sh.log

cat /etc/hosts » /tmp/.badstuff/ho.log

cat /etc/groups » /tmp/.badstuff/gr.log

netstat -na » /tmp/.badstuff/ns.log

arp -a » /tmp/.badstuff/a.log

/sbin/ifconfig » /tmp/.badstuff/if.log

find / -name -type f -perm -4000 »
/tmp/.badstuff/suid.log

find / -name -type f -perm -2000 »
/tmp/.badstuff/sgid.log

Вооружившись простым текстовым редактором, взломщик может удалить все эти записи. Затем, воспользовавшись командой touch, он наверняка восстановит дату и время последнего доступа к файлу. Однако обычно взломщики отключают режим регистрации вводимых команд с использованием соответствующего режима командной оболочки.



Начало  Назад  Вперед