Анонимность
 
aCid fAlz gr0up Приветствую вас о мудрые из мудрейших, гуманоиды нашей галактики, а также любимцы правоохранительных органов =). Наверно каждый из вас когда-нибудь задумывался о собственной безопасности? Если да, то это уже хорошо. Обычно так называемые "кульные хацкеры", пренебрегают этим и, махая щупальцами, говорят: "Да кому я нужен..." или "Да нафиг оно вообще надо...". Во-первых, это нужно правоохранительным органам, а, во-вторых, это надо для того, чтобы не попасть к ребятам-петухам за подобные шалости...иначе после этого, предётся становиться на учёт к проктологу =). Ну так вот...если же вы интересуетесь этим вопросом, то можете читать дальше, где я постараюсь на примерах вам рассказать суть и основу того, как не следить! Ок! Преступим! Всё написанное и сказанное, для определённости, проделанно на Red Hat 6.2! Но суть во всех операционных *nix сис-мах одна и таже. Допустим я некий нехороший и злобный хакер, который решил надругаться над своим провайдером и поиметь его сервер через USB'шный слот, дабы получить несказанное удовольствие =)! Итак.. я каким-то образом узнал/получил аккаунт к сис-ме (каким образом я получил этот самый аккаунт...не спрашивайте!..я и сам не знаю =)). Я решил использовать ftp доступ..последующие мои действия представлены вам ниже:
 
[crazy@localhost crazy]$ ftp localhost
Connected to localhost.localdomain.
220 localhost.localdomain FTP server (Version ******** Mon Feb 28 10:30:36 EST 2000) ready.
Name (localhost:crazy): crazy
331 Password required for crazy
Password:
230 User crazy logged in.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> bye
221 Goodbye.
[crazy@localhost crazy]$
Клёва..Мы удачно законнектились..и якобы закачали свой дефейс! Всё круто...админ повержен, дефейс занимает первое место по красочности среди остальных...все рады...я с улыбкой до ушей ложусь спать =)...А на следующее утро просыпаюсь я в петушатнике..абсолютно голый и среди волосатых мужиков из Сибири =). Как же так? Почему я не дома у телека..прошу прощения..у компа =) ?! Давайте разбираться...  Есть такие интересные файлики, которые являются зеркалом того, что происходит в сис-ме: /var/log/ messages - более подробный лог-файл, /var/log/secure - менее подробный лог. Давайте посмотрим на их содержимое по отдельности..Сначала луукнем /var/log/messages !
 
......................
Apr 21 17:26:18 localhost ftpd[799]: FTP LOGIN FROM localhost.localdomain [127.0.0.1], crazy
Apr 21 17:30:20 localhost ftpd[799]: FTP session closed
Оба...Мы засветились как девушки на тверской =). Хочу сказать для недогоняющих, что этой информации хватит, чтобы к вам домой нагрянул СОБР или ОМОН...а эти ребята церемониться не будут =). Тут сказано, что такой-то субъект с localhost.localdomain [127.0.0.1] законнектился на фтп такого-то числа...ну а далее..сессия была прервана пользователем во столько-то...Одним словом..слишком много улик, Ватсон!  Теперь давайте глянем на /var/log/secure..
 
......................
Apr 21 17:26:04 localhost in.ftpd[799]: connect from 127.0.0.1
Тут более сжатая инфа..написан только IP злобного нападающего, то бишь меня =). Исходя из сказанного выше можно сделать следующие выводы: Все ваши действия заносятся в лог файл (и даже не один лог файл =), т.е. если вы законнектитесь через telnet/ssh/pop2-3/smtp и т.д....то всё это не исчезает бесследно! Теперь я хочу сказать немного о логах httpd демона...Их можно найти по следующим адресам: /var/ log/httpd/access_log и /etc/httpd/~logs/access_log! Давайте законнектимся на страничку жертвы: http://localhost/index.html и посмотрим, что об этом напишут в логах...
 
......................
127.0.0.1 - - [21/Apr/2001:17:36:57 +0400] "GET /index.html HTTP/1.0" 200 2511
Инфа хоть и скудная...но всё же IP'шник есть! Но обычно в данных логах админы ищат хаотичные и кратковременные запросы, которые остаются после того, как некто в розовых трусах просканировал веб сервер на предмет дырявых CGI скриптах! Кстати...этого тоже достаточно, чтобы выразить свои притензии вашему провайдеру, т.к. известен ваш IP (в лучшем случае)...либо подать заявление в органы (в худшем)! Но этого можно избежать, используя шелл/прокси (второе найти крайне сложно в сети бесплатно)! А теперь давайте представим на мгновение, что мы взломали сервер, закачали дефейс и избавились от всех логов, кроме этого. Тогда исходя из точного времени взлома сервера (это легко определить по дате модифицирования файла index.htm или так..визуально, увидив дефейс), можно найти в логе httpd сервера результат сканирования CGI сканнера, который приблизительно равен времени взлома...тогда к вам могут по среди ночи явиться люди в чёрном =). "Да-да..Мы поняли..А что с этим делать? Как бороться?"-спросите вы. А я отвечу: "Давайте разбираться..." =). Сначала давайте глянем на права доступа к файлам, то бишь на их пермишн (есть такое слово в *них сис-мах =).
 
[crazy@localhost crazy]$ ls -la /etc/httpd/logs/
total 6776
drwxr-xr-x 2 root root 4096 Apr 15 14:04 .
drwxr-xr-x 5 root root 4096 Apr 15 14:04 ..
-rw-r--r-- 1 root root 6819816 Apr 21 17:36 access_log
-rw-r--r-- 1 root root 91834 Apr 21 17:21 error_log
Ого...сколько всего...это не в досе вам dir'ом пользоваться =)! Из этого листинга вы сразу догадаетесь (а кое-кто и нет), что если мы не root, то удалить/изменить файлы мы не сможем...зато сможем их прочитать, но это-то нам не надо! Мы ведь хотим избавиться от улик...а не смотреть на них и вздыхать =). Идём далее...
 
[crazy@localhost crazy]$ ls -la /var/log/
total 224
....................
-rw------- 1 root root 63538 Apr 21 17:40 messages
....................
-rw------- 1 root root 3705 Apr 21 17:26 secure
....................
Ну тут-то вообще полное гаа...ээээ...эфикалий в общем =). Самые главные улики как раз и защищены как следует..т.е. только root может что-либо делать с ними. Вот досада...А что это значит-то? А значит это то, что, не имея привилегий root'а, мы не сможем удалить лог-файлы и тем самым не сможем избавиться от улик! Т.е. можно с уверенностью сказать, что популярность нашей персоны в правоохранительных органах возрастёт на +N, где N: longint; =).  Итак.. какова же мораль этой статьи? А она такова: не имея полного доступа к сис-ме можно залететь наглухо и надолго! Т.е. перед очередным дефейсом...надо учитывать то, что могут наступить на хвост. А учитывая то, что многие взломы сопровождаются только получением доступа к index.html, то можно с уверенностью сказать, что это не есть гуд.  P.S. Я не затрагивал другие способы обнаружения злоумышленника, как в решиме interactive, так и в дригих режимах. Обычно такие методы используются на таких серверах, как www.whitehouse.gov =).  Да, еще тестируйте прокси-сервера, через которые Вы совершаете действия на предмет ПОЛНОЙ анонимности.
 
Источник: неизвестен
Collected by Naigo.All Rights Reserved. 2004 year
Soft By Naigo
Only The Best Soft
www.softbynaigo.narod.ru
GISMETEO.RU: график температуры на 10 дней для г. Москвы
Яндекс цитирования
NSD.ru - Безопасность в сети! Всё о хакерстве. Анонимность. Защита. Противостояние...
Официальный сервер еженедельной газеты "ЕвроФУТБОЛ"
Супер! >
Бесплатно размещу рекламу!
    пишите на fromsitesbn@front.ru
Бесплатная раскрутка сайтов
Топ-5 статей
 
Анонимность
 
Полное руководство по взлому IIS сервера
 
Список портов
 
Регулярные выражения в PERL
 
Программим на Shell-e
Главная | Internet | Work | Security | Media | Coding | Библиотека
Главная | Internet | Work | Security | Media | Coding | Библиотека
Hosted by uCoz