Топ 10 ошибок хакеров.
1. Чистка лог файлов
В основном, информация попадает в лог-файл с помощью функции syslog(). Она работает с демоном syslogd. Он в свою очередь имеет свой конфигурационный файл (/etc/syslog.conf), который указывает путь к log-файлам. Взломщик зачастую забывает, что грамотный админ может поменять имена журналов, перенаправив в другую директорию.
Зачистить логи не так трудно. Узнаем, есть ли инфа, подлежащая удалению (ip, логин). Далее производится чистка логов с перенаправлением во временный файл, который в свою очередь потом заменяет настоящий.
С бинарными файлами дела обстоят хуже. Тут необходимы специальные логвайперы, понимающие следующие файлы: /var/log/wtmp, /var/log/lastlog и /var/run/utmp.
2. Изменение дат файлов
По датам программы-следилки определяют rootkit, или изменение файлов. Изменить дату может команда touch с параметром -t, после которого указывается: МесяцДеньЧасМинутаГод.
3. История команд
Просмотр файла history позволит узнать выполненые команды текущей сессии. Администратор зачастую может просмаривать этот файл, в котором обнаружатся команды хакера, что в свою очередь сигнализирует о взломе системы. Не забывайте чистить историю с помощью команды history -c.
4. Заражение rootkit
Такое действие протеворечит второму правилу, так как заменяя системные файлы меняются даты доступа, модификации, создания.
5. Установка софта
После взлома системы часто взломщик ставит свой софт, который запускает определенные процессы, открывает порты, что в свою очередь является маяком для грамотного админа.
Также софт настоятельно не рекомендуется ставить в корневую директорию, для этого необходимо создать свой скрытый каталог и устанавливать туда свой софт с помощью ./configure --prefix=/path/to/blablabla/youdir при установке пакетов.
6. Сканирование со взломанного сервера
Все сводится к поступившим жалобам со стороны сканируемой системы в службу безопасности компании, которой принадлежит наш сервер. Далее не сложно догадаться.
7. Изменение рулесов фаервола
Это относится к тем админам, которые понимают и настраивают сами свой фаервол. Это можно определить через историю команд.
Кстати файл с историе можно посмотреть через echo $HISTORYFILE
8. Добавление новых юзеров
Такие действия будут зафиксированы админом, что приведет к нежелательным последствиям. Лучше пользоваться уже существующими пользователями.
9. Допуск посторонних
Думаю с этим пунктом все ясно.
10. Быть хакером
Стране нужны рабочие, а не бездельники!
1. Чистка лог файлов
В основном, информация попадает в лог-файл с помощью функции syslog(). Она работает с демоном syslogd. Он в свою очередь имеет свой конфигурационный файл (/etc/syslog.conf), который указывает путь к log-файлам. Взломщик зачастую забывает, что грамотный админ может поменять имена журналов, перенаправив в другую директорию.
Зачистить логи не так трудно. Узнаем, есть ли инфа, подлежащая удалению (ip, логин). Далее производится чистка логов с перенаправлением во временный файл, который в свою очередь потом заменяет настоящий.
С бинарными файлами дела обстоят хуже. Тут необходимы специальные логвайперы, понимающие следующие файлы: /var/log/wtmp, /var/log/lastlog и /var/run/utmp.
2. Изменение дат файлов
По датам программы-следилки определяют rootkit, или изменение файлов. Изменить дату может команда touch с параметром -t, после которого указывается: МесяцДеньЧасМинутаГод.
3. История команд
Просмотр файла history позволит узнать выполненые команды текущей сессии. Администратор зачастую может просмаривать этот файл, в котором обнаружатся команды хакера, что в свою очередь сигнализирует о взломе системы. Не забывайте чистить историю с помощью команды history -c.
4. Заражение rootkit
Такое действие протеворечит второму правилу, так как заменяя системные файлы меняются даты доступа, модификации, создания.
5. Установка софта
После взлома системы часто взломщик ставит свой софт, который запускает определенные процессы, открывает порты, что в свою очередь является маяком для грамотного админа.
Также софт настоятельно не рекомендуется ставить в корневую директорию, для этого необходимо создать свой скрытый каталог и устанавливать туда свой софт с помощью ./configure --prefix=/path/to/blablabla/youdir при установке пакетов.
6. Сканирование со взломанного сервера
Все сводится к поступившим жалобам со стороны сканируемой системы в службу безопасности компании, которой принадлежит наш сервер. Далее не сложно догадаться.
7. Изменение рулесов фаервола
Это относится к тем админам, которые понимают и настраивают сами свой фаервол. Это можно определить через историю команд.
Кстати файл с историе можно посмотреть через echo $HISTORYFILE
8. Добавление новых юзеров
Такие действия будут зафиксированы админом, что приведет к нежелательным последствиям. Лучше пользоваться уже существующими пользователями.
9. Допуск посторонних
Думаю с этим пунктом все ясно.
10. Быть хакером
Стране нужны рабочие, а не бездельники!
