Иллюстрированный самоучитель по Secure Web


Программы типа "троянский конь" - часть 9


mail.* /var/log/maillog

# Everebody получает сообщения об опасности, плюс их регистрация

# на другой машине.

# . erne r g *

# Сохранение сообщений об ошибках почты и новостей уровня err и выше

# в специальном файле.

uucp,news.crit /var/log/spooler

Обладая этой информацией, злоумышленнику достаточно просмотреть содержимое каталога /var/log, чтобы найти в нем основные файлы журналов. Выведя на экран содержимое каталога, мы найдем в нем файлы журналов всех типов, включая сгоп, maillog, messages, spooler, secure (журналы TCP-оболочек), wtmp и xf erlog.

Взломщику понадобится изменить много файлов, в том числе messages, secure, wtmp и xf erlog. Поскольку журнал wtmp имеет двоичный формат (и обычно используется только командой who), для его изменения взломщик, как правило, прибегнет к помощи одной из отмычек. Программа wzap предназначена специально для удаления из этого журнала информации о заданном пользователе. Для того чтобы воспользоваться этой программой, достаточно ввести, например, следующую команду.

[quake]# who./wtmp

joel ftpd!7264 Jul 1 12:09 (172.16.11.204)

root ttyl Jul 4 22:21

root ttyl Jul 9 19:45

root ttyl Jul 9 19:57

root ttyl Jul 9 21:48

root ttyl Jul 9 21:53

root ttyl Jul 9 22:45

root ttyl Jul 10 12:24

joel ttyl Jul 11 09:22

stuman ttyl Jul 11 09:42

root ttyl Jul 11 09:42

root ttyl Jul 11 09:51

root ttyl Jul 11 15:43

joel ftpd841 Jul 11 22:51 (172.16.11.205)

root ttyl Jul 14 10:05

joel ftpd3137 Jul 15 08:27 (172.16.11.205)

joel ftpd82 Jul 15 17:37 (172.16.11.205)

joel ftpd945 Jul 17 19:14 (172.16.11.205)

root ttyl Jul 24 22:14

[quake]# /opt/wzap

Enter username to zap from the wtmp: joel

opening file...

opening output file...

working...

[quake]# who ./wtmp.out

root ttyl Jul 4 22:21

root ttyl Jul 9 19:45

root ttyl Jul 9 19:57

root ttyl Jul 9 21:48

root ttyl Jul 9 21:53

root ttyl Jul 9 22:45

root ttyl Jul 10 12:24

stuman ttyl Jul 11 09:42

root ttyl Jul 11 09:42

root ttyl Jul 11 09:51

root ttyl Jul 11 15:43

root ttyl Jul 14 10:05



Начало  Назад  Вперед