[ главная ]   [ рейтинг статей ]   [ справочник радиолюбителя ]   [ новости мира ИТ ]



Ответов: 0
25-02-12 07:01







   Web - программирование
PHP


ASP






XML



CSS

SSI





   Программирование под ОС











   Web - технологии








   Базы Данных









   Графика






Данные




Операционные системы / Linux /

Логи в Linux

В данной заметке я рассмотрю сервер с точки зрения хакера, что даст администратору представление о том, на что стоит обратить внимание при защите системы или уже после ее взлома.
Сразу стоит сказать, что одни вообще не ведут логов, другие их не смотрят, а третьи только этим и занимаются. Отбросив все это, мы просто рассмотрим пример защиты от ведения логов — сделаем обзор logwriter'ов.
Итак, второе, что делает хакер после взлома системы, — это модификация или удаление логов. А логов может быть вагон и маленькая тележка. Это, например, всем известный демон syslogd. Потом еще и файл bash_history. Демон cron тоже помогает в этом (для примера, можно копировать выводы команд w, who, last, lastlog через каждую минуту на отдельную машину). Также имеет место установка специализированного софта для слежения за системой. Ну, а грамотная настройка файрволла/IDS'а с ведением логом для хакера тоже может плохо закончиться. Что в таком случае делать? Убедившись, что поблизости не наблюдается админа или других полномочных юзеров, можно начать работу.
Первое, что нужно сделать, — проанализировать ваш недавний взлом. Обратите внимание на использованные при этом "дырявые" сервисы (ftp, http, ssh, sendmail, pop3 и др.). Возможно, стоит посмотреть файлы /var/log/[сервис]. После этого нужно немедленно заняться стандартным демоном, таким как syslogd. Для этого и нужны logwriter'ы. Потом можно удалить файл bash_history (или соответствующий используемой оболочке). Не забудьте посмотреть /var/log/secure (это лог-файл TcpWrapper'а, который занимается подключениями).
Из дополнительного софта чаще всего ставится tripwire. Приемы противодействия можно найти на http://www.void.ru. Стоит сказать, что здесь все зависит от вашей смекалки и обширности знаний в этой области: программы ведения логов сейчас очень продвинулись, в списке процессов их не видно, и в скрытых папках лежат.
Умные админы часто применяют различные фичи. Например, syslogd сообщения можно перенаправить на отдельную станцию, на консоль root'а, всем пользователям, что и делается. Таким штучкам довольно трудно противостоять. Очень многие усиленно используют cron, выполняя им, скажем, резервное копирование логов куда-либо. Из этого следует, что лучше все тщательно проверять.
Стоит рассказать о IDS/Firewall. Что это такое? Firewall фильтрует пакеты по определенным правилам, а IDS предотвращает записанные в его базу (известные) атаки. Исходя из этого, следует, что такая связка может попортить хакеру много нервных клеток. Разберемся с файрволлом. Во-первых, он редко бывает грамотно настроен. Ну, а если и так, то все правила можно спокойно сбросить, да и обычно все логируется в syslog. С IDS'ом тоже обычно проблем не возникает, так как его мало кто ставит, также сложная его настройка многих админов просто убивает. Во-вторых, IDS известны только атаки, содержащиеся в его базе, а как часто админ ее обновляет? А если хакер придумал что-то новое, то ему беспокоиться вообще не придется.
И все же основная часть модификации логов — logwriter'ы. Правда, многие используют logwriter'ы наугад, даже не удостоверившись в их работоспособности. Ниже приведен список программ подобного рода, наиболее часто используемых взломщиками:
1. remove — очищает (очищает — это не удаляет, а просто модифицирует) файлы wtmp, utmp, lastlog.
2. marry — очищает utmp, wtmp, syslog.
3. utclean — очищает wtmp, utmp.
4. zap[2] — очищает lastlog, wtmp.
5. displant.c — очищает utmp.
6. cloak[2] — очищает lastlog, utmp, wtmp.
7. wtmped — очищает wtmp.
8. wzap — очищает wtmp.
9. utmp — очищает utmp.
10. ucloak — очищает lastlog, utmp.
11. sysfog — добавляет поддельные записи в syslogd.
12. stealth — очищает utmp.
13. logwedit — очищает wtmp по номеру tty.
14. logutmpeditor — очищает utmp.
15. logcloak — очищает wtmp, utmp, lastlog.
16. lastlog — очищает lastlog.
17. wipe — очищает wtmp, lastlog, utmp.




Комментарии

 Ваш комментарий к данному материалу будет интересен нам и нашим читателям!



Последние статьи: Операционные системы / Linux /

Linux - начало
28-05-2010   

Пользователь, поставивший Linux тут же задается вопросом: “А что дальше?”. Сейчас я постараюсь ответить на этот вопрос. Итак, с первой задачей, установкой системы, вы видимо уже справились... подробнее

Кол. просмотров: общее - 4044 сегодня - 0

Консольные команды
28-05-2010   

Итак, Linux, операционная система, где консоль играет наиважнейшую роль. Есть масса людей, которые и вовсе не ставят Х-сервер и работают на черном экранчике с белыми буквами (на самом деле консоль можно модернизировать, так что и KDE позавидует:))... подробнее

Кол. просмотров: общее - 3907 сегодня - 1

Оффис в Linux
28-05-2010   

Оффисные приложения в операционной системе Linux развиты на сегодняшний день достаточно чтобы полностью заменить оные в Винде. И это не шутка! Офис в Linux ничуть не уступает своему конкуренту от Microsoft... подробнее

Кол. просмотров: общее - 3725 сегодня - 0

Мультимедиа возможности пингвина
28-05-2010   

Сегодня Linux уже не просто консоль – пингвин обладает на данный момент массой великолепных графических оболочек. При этом естественно и мультимедиа возможности Линукса тоже сильны... подробнее

Кол. просмотров: общее - 3941 сегодня - 0

Интернет и Linux
27-05-2010   

О как близки два этих понятия! Интернет и Линукс. Линукс великолепно подходит вам если вы хотите серфить глобальные просторы интренет. В “пингвине” можно найти все... подробнее

Кол. просмотров: общее - 3882 сегодня - 0



  WWW.COMPROG.RU - 2009-2012 | Designed and Powered by Zaipov Renat | Projects