ЧИСТИМ ЛОГИ или как не засветиться после взлома
WithoutHead (ICQ: 859599) Эта маленькая, но очень полезная и нужная статья поможет тебе не засветиться, после того, как ты взломал сервер. Итак, начнем... Предполагается, что ты только что взломал сервер и получил на нем права суперпользователя aka root. Так же предполагается, что ты сломал Unix-образную машину. Информация о тебе (твой IP и т.д.) в данный момент спокойненько лежит в лог-файлах, если админ их (логи) прочтет, то у тебя могут быть (но не обязательно, все зависит от важности сервера и лености админа) большие проблемы. Наша задача очистить эти лог-файлы от нашего IP, тем самым обеспечить себе безопасность. Есть очень хорошая програмка, которая чистит лог-файлы, где упоминается о твоем IP. Называется она vanish. Закачиваем эту програмку на шелл и с правами root'a компилим (gcc vanish.c) и запускаем. Совет: не располагай эту програму на видном месте, а запихни куда-нибудь поглубже. Например, создаем файл /tmp/. Эта папка не видна, если делать листинг обычным ls. При полном же просмотре админ обнаружит твою папку (опять же все зависит от лености админа). После установки Ваниша запускаем его (./vanish.c) и спим спокойно. НО! При следующем заходе твой IP засветится повторно (т.е. vanish не блокирует полностью лог-файлы от твоего IP), поэтому тебе раз за разом постоянно придется запускать Ваниш, а при частом использовании шелла это не есть гуд :) Поэтому берем и закачиваем другую полезную програму - rootkit. Кто не знает, куткитов существует безумное множество под разные клоны Юникса. Допустим у нас стоит какой-нибудь Линукс. Распаковываем, собираем, запускаем. Итак, после установки rootkit'a мы: 1) Защитили свой IP от попадания в логи 2) Открыли себе backdoor, на случай, если админ все-таки просечет вторжение и сменит пароли. Т.е. rootkit открывает на шелле порт с заданными логином и паролем (port, login, password для каждого rootkit'a свой, так что читай доку к нему). Если админ просек вторжение и сменил пароли, то коннектся на порт руткита, вводи логин и пароль и получи свой рут-шелл обратно aka в зад :) Rootkit работает в фоновом, скрытном режиме, так что по обычному ps его не увидеть. Так же рекомендуется сам руткит помещать не на видное место, а куда-нибудь глубоко :) Вот в принципе и все что я хотел тебе рассказать. Делай вышеприведенные действия всегда после получения рут-шелла и ты не только обеспечишь себе безопасность, но и долго будешь хозяином системы. Ну а что делать с рут-шеллом я думаю тебе объяснять не надо (можешь мне отдать) :)
