Чистим записи и журналы в Linux

Senator
Оффлайн

Senator

Заблокированный
Заблокирован
.
Регистрация
12.01.18
Сообщения
1.065
Реакции
189
Репутация
10
Обратите внимание, если вы хотите провести сделку с данным пользователем, на то, что он заблокирован! Обязательно используйте услуги гаранта и не переводите денежные средства данному пользователю первым.
Почему это важно?
Сокрытие записей является заключительным этапом процесса тестирования проникновения перед написанием отчета. Он предполагает очистку или стирание всей активности злоумышленника, чтобы избежать обнаружения.

Так что это жизненно важно в цикле тестирования проникновения, теперь с оборонительной точки зрения это действительно может проверить обработчики инцидентов и синяя команда и проверить их способность обнаружить нападающего и найти все, что нападающий, возможно, забыл очистить.

Это, как правило, самый большой вектор ошибки нападающего и именно там профессионалы отсортированы от любителей.

С точки зрения злоумышленников, он/она должен уклоняться от обнаружения с помощью IDS, тем самым предотвращая любые действия по реагированию на инциденты, и должен очищать любые журналы или бэкдоры, которые могут быть обнаружены группой судебно-медицинской экспертизы.

Что атакующий будет и должен делать:
  1. Очистить логи
  2. Изменить реестр или очистить
  3. Удаление любых файлов, которые вы создали
Я собираюсь рассмотреть основные принципы, но в большей степени для Linux систем, так как именно здесь мои знания и опыт.
Очистка ваших записей также будет зависеть от привилегий, которые вы имеете в системе (если вы атакуете ее удаленно).

Система Linux
Файлы журнала хранятся в каталоге /var/log
- Редактирование файлов будет действительно не легким, я бы рекомендовал использовать инструмент под названием shred для удаления или изменения файла.

Что такое Shreed
Shreed
- это инструмент, позволяющий удалить файл или данные навсегда и препятствующий восстановлению данных, поскольку он несколько раз перезаписывает файл с помощью 1 s и 0s (при удалении файла на компьютере он действительно не удаляется, он просто помечается как пространство, в которое можно записать данные)

Shred очень популярен при стирании жестких дисков и т.д., я использовал его много раз, прежде чем удалить или продать мои диски.

Параметры при использовании команды Shred
Команда Shred используется для повторной перезаписи указанных файлов, что затрудняет или делает невозможным восстановление данных даже дорогостоящим оборудованием или программным обеспечением. Доступные параметры включают:
  • -f изменяет разрешения, чтобы разрешить запись при необходимости
  • -n (iterations = N) перезаписывает N раз вместо значения по умолчанию, которое составляет три раза
  • -s (размер = N) указывает количество байтов для уничтожения
  • -u обрезает и удаляет файлы после перезаписи
  • -v показывает подробную информацию о прогрессе
  • -x не округляет размеры файлов до следующего полного блока
  • -z добавляет окончательную замену нулями, чтобы скрыть измельчение
  • -u удаляет файл после перезаписи

Общие файлы журналов и какие данные они содержат:

/var/log/auth.log: логи аутентификации
/var/log/kern.log: логи ядра
/var/log/cron.log: журналы Crond (задание cron)
/ var / log / maillog: журналы почтового сервера
/ var / log / httpd /: каталог доступа и журналов ошибок Apache
/var/log/boot.log
: журнал загрузки системы

Чтобы стереть файл:

История bash сохраняет запись всех команд, выполняемых пользователем в командной строке Linux.
Код:
Stored in: /home/user/.bash_history

Root user example: /root/.bash_history



>.bash_history  – Essentially clears the file with null redirect
 
Сверху Снизу