Полезные знания Хакер и владелец сервера.

fenix

Эксперт
Команда форума
Судья
ПРОВЕРЕННЫЙ ПРОДАВЕЦ ⭐⭐⭐⭐⭐
Private Club
Регистрация
26/8/16
Сообщения
9.688
Репутация
53.002
Реакции
52.775
RUB
10.000
Депозит
300 000 рублей
Сделок через гаранта
208
Доброго времени, теневики.

В рамках развития в сферах информации и безопасности в сети, мы регулярно изучаем новые направления и проходим курсы развития.
Самые интересные темы мы будем преобразовывать в статьи, стараясь изложить тему кратко, четко, локанично.
"Пробив образовательный".

Сегодня попытаемся разобраться, как и что думает хакер когда пробирается на чужой (сервер) с точки зрения сокрытия следов. И рассмотрим, как понять владельцу сервера, что в системе появился злоумышленник.

Представим, что на сервере находится некая информация, которая заинтересовала хакера. Он проник на сервер, сделал дамп базы данных, саму базу удалил и оставил сообщение с требованием о выкупе. Задача - найти следы для дальнейшего поиска хакера, куда был произведён доступ.

Представим, что злоумышленник закинул ключ на сервер чтобы подключаться без пароля. Нашел некую информацию и как-то на следил в системе.
Теперь нужно замести свои следы. Сначала найдём журнал авторизации. Когда мы подключались в логах появилась запись, что было произведено подключение с такого-то айпишника и была использована аутентификация по ключу.

Для того чтобы избавиться от этих записей в системе (команды Last и Lastlog заменить не удастся, это бинарные файлы) самый простой способ - это записать ничего в команду Lastlog. Но безусловно этот вариант палевный. И если человек захочет проверить журнал логов он увидит, что его прежние записи исчезли. Строчки окажутся пустыми.

Так же стоит отметить, если хакер заходит под рутом, а владелец сервера под юзером, то он сможет увидеть, что рут логинился тогда, когда он сам не заходил.
Далее, если меняется что-то в файле (к примеру в базе данных), то время последнего открытия тоже меняется. И вариант - злоумышленник проник на сервер и закинул в authorized_key свой публичный ключ. После этого дата также меняется. Что тоже очень палевно. Это тоже можно поправить. В данном случае набираем команду Touch. Она позволяет обновлять время доступа и модификации файла, а также создавать пустые файлы.

Еще один вариант, что может свидетельствовать о вмешательстве злоумышленника на сервер – это History. К примеру, заходит владелец на сервер и нажимает стрелку вверх и начинают сыпаться команды. Если набрать команду history, можно увидеть все последние действия на сервере.

Что с этим делать?

Для начала набираем команду Unset histfile. После чего история изменений на сервере никуда не сохраняется. Само собой, что это нужно делать перед какими-либо изменениями.

С ролью злоумышленника закончили. Теперь давайте посмотрим на ситуацию со стороны владельца сервера.

К примеру владелец обнаружил, что у него перестало работать приложение. В командной строке набираем ssh app. Начинается поиск и обнаруживаем, что снесли базу и оставили сообщение с требованием выкупа. Первое что набираем для поиска, это команда Last. Если пусто, набираем – Lastlog. Тоже отпадает. Пробуем набрать команду Find (type f newermt дата и время ! newermt дата и время) – для просмотра последних измененных файлов. Дата и время указывается, то в которое предположительно могли быть внесены сторонние изменения.

Команда tail – f – используется для просмотра логов и параметр – f для указания в режиме реального времени.
Далее ищем через историю. Если история почищена смотрим дальше.

Команда Crontab – планировщик задач, который позволяет выполнять команды регулярно. Если пусто – проверяем дальше.

Ps aux – проверяем процессы .Если бы злоумышленник что-то закинул, то это отразилось в процессах.
И так остались логи. Смотрим, что может быть записано в них:

Auth.log – содержит информацию об авторизации пользователей в системе, пользовательские логины и методы авторизации.
Lastlog – информация о последнем входе в систему для каждой учетной записи.
Btmp
– вся информация о неудачных попытках входа в систему.
Wtmp - информация обо всех зарегистрированных и выведенных из системы пользователей.

Совет! Когда вы настраиваете свой сервер отключайте логин по паролю, отключайте root, либо задавайте пароль до 30 символов.
Команда Grep – позволяет вытащить с помощью регулярок нужные строки. Дата, время, Accepted publickey for. И так если злоумышленник не почистил за собой, время его входа в систему и айпишник отобразятся в системе.

С найденным айпишником можно работать, либо обращаться в правоохранительные органы, либо попытать узнать самому через Who is принадлежность ip. Вопрос к чему это приведет, так как возможно злоумышленник заходил через Tor.





С уважением, Особая информационная служба "FENIX"
 
  • Теги
    hack lastlog unset histfile взлом сервера дамп базы данных хакер
  • Сверху Снизу