книги хакеры / журнал хакер / 069_Optimized
.pdf
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
|
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
ХАКЕР/¹09(69)/2004 |
|
to |
|
|
|
|
|
|
||||
w Click |
|
|
|
|
|
|
m |
|
w Click |
|
|
|
|
|
|
m |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
-xcha |
|
|
|
|
|
ТЕКСТОВЫЕ СТУКАЧИ |
|
|
|
|
-x cha |
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
от список логов, которые могут содержать компромат на тебя. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
 Обязательно вычищай их при каждом входе в чужую систему: |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
/var/log/messages - основной лог от syslogd. Содержит глав- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ные системные оповещения (информация о заходах, смена уи- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
да, неверная авторизация и т.п.). |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
/var/log/secure - журнал содержит инфу о любой системной |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
авторизации (включая ip и имена пользователей). |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
/var/log/xferlog - лог, содержащий данные о перекачке файлов |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
на локальный ftp. Если ты используешь FTP-сервер для скачива- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ния вареза, обязательно подчищай xferlog. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
/var/log/dmesg - журнал загрузки системы. Может содержать |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
информацию о подгрузке ядерных модулей и прочих хакерских |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
утилит. Обязательно анализируй этот файл, а в случае подозри- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
тельных записей - немедленно вычищай их. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
.bash_history è .mysql_history. Создаются в домашнем катало- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ге и содержат команды bash и mysql. Обязательно проверяй их |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
содержимое и регулярно вычищай. Бдительные админы всегда |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
смотрят эти логи. Лучшее лекарство от ведения .bash_history - |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
команда unset HISTFILE при каждом заходе в консоль. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Несложный код продвинутого логклинера |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Vanish, ни Grlogwipe. Это связано с тем, что |
ет нехилый прирост в скорости. Логвайпер |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
структура utmp в Солярке оформлена чуть по- |
plain_wipe.c (http://kamensk.net.ru/forb/1/x/plain_wipe.c) |
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
другому, да и файлы расположены в других |
способен обрабатывать логи с конечной по- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
местах. Wtmp находится в каталоге /usr/adm, а |
зиции, последовательно перемещая указа- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
utmp вообще в /etc. В утилите Zap2 |
тель к верхним записям. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
(http://nsd.ru/soft/1/sunos-zap2.zip) все изменения учте- |
СОБСТВЕННЫЙ ЛОГКЛИНЕР |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ны, поскольку этот логклинер используется |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
только для Соляры. При чистке wtmp логвайпер |
Настало время попрактиковаться в усвоении |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
переходит в конец файла, а затем последова- |
материала. Для этого напишем собственный |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
тельно просматривает все его элементы до на- |
логвайпер, вычищающий /var/log/utmp и |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
чала. Естественно, что скорость работы такой |
/var/log/secure от посторонних записей. Я |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
утилиты будет высокой. Во время тестов Zap2 |
постараюсь сделать проект универсальным, |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
вычистил логи за три секунды. И это не предел! |
чтобы ты смог быстро и без особых усилий |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ТЕКСТОВОЕ ЖУРНАЛИРОВАНИЕ |
доработать его самостоятельно. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Для обращения к бинарным файлам нам |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
Помимо бинарных, существуют и текстовые |
потребуется установить дополнительный мо- |
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
логи. Они находятся в каталоге /var/log и соз- |
дуль User::Utmp. Благодаря тому, что Perl |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
даются, как правило, демоном syslogd (либо |
содержит множество модулей, админ не за- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
его аналогом). Конечно, можно протроянить |
метит установку пакета. Сам проект находит- |
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
демон, и проблема текстового логирования |
ся по адресу |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
будет решена. Но лучше пойти другим путем, |
http://search.cpan.org/CPAN/authors/id/M/MP/MPIOTR/User- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
применив текстовый логклинер. На самом |
Utmp-1.6.tar.gz. Установи его, а затем напиши |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
деле обработать читабельный журнал можно |
процедуру, которая будет вычищать бинар- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
и без дополнительных утилит. Чтобы вычис- |
ные журналы. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
тить лог от шаблона pattern, достаточно вы- |
В моем скрипте подобная функция назва- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
полнить две следующие команды: |
на именем binary(). Из-за того, что в модуле |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
нет возможности вставить запись нулевой |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
cat /var/log/messages | grep -v pattern > /var/log/messages.1 |
длины, придется воспользоваться алгорит- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
mv -f /var/log/messages.1 /var/log/messages |
мом от Vanish. В сценарии будет открыт нас- |
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
тоящий utmp с последующим чтением всех |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Подобная очистка используется в подав- |
данных. Затем создается временный файл (я |
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
ляющем большинстве логклинеров, написан- |
его назвал /tmp/.tmp), в который записыва- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ных на sh (например, в скрипте fresht.sh - |
ется структура оригинального utmp-файла, |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
http://kamensk.net.ru/forb/1/x/fresht.sh). В других ути- |
исключая скрываемую запись. Непонятно? |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
литах, написанных на C, используются стан- |
Давай обратимся к исходникам этой проце- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
дартные функции fopen/fclose и strstr, что да- |
дуры, и все станет ясно. |
|
|
|
|
|
|
|
|
|
|
|