Доброго времени, теневики.
В рамках развития в сферах информации и безопасности в сети, мы регулярно изучаем новые направления и проходим курсы развития.
Самые интересные темы мы будем преобразовывать в статьи, стараясь изложить тему кратко, четко, локанично.
"Пробив образовательный".
Сегодня попытаемся разобраться, как и что думает хакер когда пробирается на чужой (сервер) с точки зрения сокрытия следов. И рассмотрим, как понять владельцу сервера, что в системе появился злоумышленник.
Представим, что на сервере находится некая информация, которая заинтересовала хакера. Он проник на сервер, сделал дамп базы данных, саму базу удалил и оставил сообщение с требованием о выкупе. Задача - найти следы для дальнейшего поиска хакера, куда был произведён доступ.
Представим, что злоумышленник закинул ключ на сервер чтобы подключаться без пароля. Нашел некую информацию и как-то на следил в системе.
Теперь нужно замести свои следы. Сначала найдём журнал авторизации. Когда мы подключались в логах появилась запись, что было произведено подключение с такого-то айпишника и была использована аутентификация по ключу.
Для того чтобы избавиться от этих записей в системе (команды Last и Lastlog заменить не удастся, это бинарные файлы) самый простой способ - это записать ничего в команду Lastlog. Но безусловно этот вариант палевный. И если человек захочет проверить журнал логов он увидит, что его прежние записи исчезли. Строчки окажутся пустыми.
Так же стоит отметить, если хакер заходит под рутом, а владелец сервера под юзером, то он сможет увидеть, что рут логинился тогда, когда он сам не заходил.
Далее, если меняется что-то в файле (к примеру в базе данных), то время последнего открытия тоже меняется. И вариант - злоумышленник проник на сервер и закинул в authorized_key свой публичный ключ. После этого дата также меняется. Что тоже очень палевно. Это тоже можно поправить. В данном случае набираем команду Touch. Она позволяет обновлять время доступа и модификации файла, а также создавать пустые файлы.
Еще один вариант, что может свидетельствовать о вмешательстве злоумышленника на сервер – это History. К примеру, заходит владелец на сервер и нажимает стрелку вверх и начинают сыпаться команды. Если набрать команду history, можно увидеть все последние действия на сервере.
Что с этим делать?
Для начала набираем команду Unset histfile. После чего история изменений на сервере никуда не сохраняется. Само собой, что это нужно делать перед какими-либо изменениями.
С ролью злоумышленника закончили. Теперь давайте посмотрим на ситуацию со стороны владельца сервера.
К примеру владелец обнаружил, что у него перестало работать приложение. В командной строке набираем ssh app. Начинается поиск и обнаруживаем, что снесли базу и оставили сообщение с требованием выкупа. Первое что набираем для поиска, это команда Last. Если пусто, набираем – Lastlog. Тоже отпадает. Пробуем набрать команду Find (type f newermt дата и время ! newermt дата и время) – для просмотра последних измененных файлов. Дата и время указывается, то в которое предположительно могли быть внесены сторонние изменения.
Команда tail – f – используется для просмотра логов и параметр – f для указания в режиме реального времени.
Далее ищем через историю. Если история почищена смотрим дальше.
Команда Crontab – планировщик задач, который позволяет выполнять команды регулярно. Если пусто – проверяем дальше.
Ps aux – проверяем процессы .Если бы злоумышленник что-то закинул, то это отразилось в процессах.
И так остались логи. Смотрим, что может быть записано в них:
Auth.log – содержит информацию об авторизации пользователей в системе, пользовательские логины и методы авторизации.
Lastlog – информация о последнем входе в систему для каждой учетной записи.
Btmp – вся информация о неудачных попытках входа в систему.
Wtmp - информация обо всех зарегистрированных и выведенных из системы пользователей.
Совет! Когда вы настраиваете свой сервер отключайте логин по паролю, отключайте root, либо задавайте пароль до 30 символов.
Команда Grep – позволяет вытащить с помощью регулярок нужные строки. Дата, время, Accepted publickey for. И так если злоумышленник не почистил за собой, время его входа в систему и айпишник отобразятся в системе.
С найденным айпишником можно работать, либо обращаться в правоохранительные органы, либо попытать узнать самому через Who is принадлежность ip. Вопрос к чему это приведет, так как возможно злоумышленник заходил через Tor.
С уважением,
В рамках развития в сферах информации и безопасности в сети, мы регулярно изучаем новые направления и проходим курсы развития.
Самые интересные темы мы будем преобразовывать в статьи, стараясь изложить тему кратко, четко, локанично.
"Пробив образовательный".
Сегодня попытаемся разобраться, как и что думает хакер когда пробирается на чужой (сервер) с точки зрения сокрытия следов. И рассмотрим, как понять владельцу сервера, что в системе появился злоумышленник.
Представим, что на сервере находится некая информация, которая заинтересовала хакера. Он проник на сервер, сделал дамп базы данных, саму базу удалил и оставил сообщение с требованием о выкупе. Задача - найти следы для дальнейшего поиска хакера, куда был произведён доступ.
Представим, что злоумышленник закинул ключ на сервер чтобы подключаться без пароля. Нашел некую информацию и как-то на следил в системе.
Теперь нужно замести свои следы. Сначала найдём журнал авторизации. Когда мы подключались в логах появилась запись, что было произведено подключение с такого-то айпишника и была использована аутентификация по ключу.
Для того чтобы избавиться от этих записей в системе (команды Last и Lastlog заменить не удастся, это бинарные файлы) самый простой способ - это записать ничего в команду Lastlog. Но безусловно этот вариант палевный. И если человек захочет проверить журнал логов он увидит, что его прежние записи исчезли. Строчки окажутся пустыми.
Так же стоит отметить, если хакер заходит под рутом, а владелец сервера под юзером, то он сможет увидеть, что рут логинился тогда, когда он сам не заходил.
Далее, если меняется что-то в файле (к примеру в базе данных), то время последнего открытия тоже меняется. И вариант - злоумышленник проник на сервер и закинул в authorized_key свой публичный ключ. После этого дата также меняется. Что тоже очень палевно. Это тоже можно поправить. В данном случае набираем команду Touch. Она позволяет обновлять время доступа и модификации файла, а также создавать пустые файлы.
Еще один вариант, что может свидетельствовать о вмешательстве злоумышленника на сервер – это History. К примеру, заходит владелец на сервер и нажимает стрелку вверх и начинают сыпаться команды. Если набрать команду history, можно увидеть все последние действия на сервере.
Что с этим делать?
Для начала набираем команду Unset histfile. После чего история изменений на сервере никуда не сохраняется. Само собой, что это нужно делать перед какими-либо изменениями.
С ролью злоумышленника закончили. Теперь давайте посмотрим на ситуацию со стороны владельца сервера.
К примеру владелец обнаружил, что у него перестало работать приложение. В командной строке набираем ssh app. Начинается поиск и обнаруживаем, что снесли базу и оставили сообщение с требованием выкупа. Первое что набираем для поиска, это команда Last. Если пусто, набираем – Lastlog. Тоже отпадает. Пробуем набрать команду Find (type f newermt дата и время ! newermt дата и время) – для просмотра последних измененных файлов. Дата и время указывается, то в которое предположительно могли быть внесены сторонние изменения.
Команда tail – f – используется для просмотра логов и параметр – f для указания в режиме реального времени.
Далее ищем через историю. Если история почищена смотрим дальше.
Команда Crontab – планировщик задач, который позволяет выполнять команды регулярно. Если пусто – проверяем дальше.
Ps aux – проверяем процессы .Если бы злоумышленник что-то закинул, то это отразилось в процессах.
И так остались логи. Смотрим, что может быть записано в них:
Auth.log – содержит информацию об авторизации пользователей в системе, пользовательские логины и методы авторизации.
Lastlog – информация о последнем входе в систему для каждой учетной записи.
Btmp – вся информация о неудачных попытках входа в систему.
Wtmp - информация обо всех зарегистрированных и выведенных из системы пользователей.
Совет! Когда вы настраиваете свой сервер отключайте логин по паролю, отключайте root, либо задавайте пароль до 30 символов.
Команда Grep – позволяет вытащить с помощью регулярок нужные строки. Дата, время, Accepted publickey for. И так если злоумышленник не почистил за собой, время его входа в систему и айпишник отобразятся в системе.
С найденным айпишником можно работать, либо обращаться в правоохранительные органы, либо попытать узнать самому через Who is принадлежность ip. Вопрос к чему это приведет, так как возможно злоумышленник заходил через Tor.
С уважением,
Для просмотра ссылки необходимо нажать
Вход или Регистрация