Feeds RSS Adicine aos seus favoritos


Busca Tutoriais






Apagando logs

Em: Hacker, Por: Daniel, Data: 02/02/2010 13h 46min

Avaliação:

Dê sua nota: 7 « Muito Bom

Como apagar os logs de uma invasão


Muitos sabem que não existe a invasão perfeita, muito menos o servidor 100% seguro. Sempre existirá uma brecha, ocorrerá uma falha no sistema ou serão descobertos novos bugs. Hoje, o invasor tem todo o poder contra os  administradores de sistemas, somente pelo fato de existirem milhares de ferramentas e utilitários para executar uma invasão.

É possível que em alguns poucos minutos um invasor possa ter acesso total à maquina-alvo, mas lembramos que o  conhecimento é fundamental. Infelizmente, a maioria não se importa em aprender, e sim, em ter os famosos dez minutos de fama; não se importam com o bug que estão explorando, só querem fazer um deface e assim ficarem conhecidos.

Apesar de todo este problema, o administrador conta com uma ferramenta importante no sistema: o log. Para quem nãosabe, o log é o arquivo que registra tudo o que está acontecendo em um determinado sistema operacional. Muitos invasores esquecem que existe este recurso, e acabam sendo pegos por um descuido extremamente tolo.

Existe uma crença de que todos os administradores são bobos.

Ledo engano, pois, num momento de suspeita, ele pode contratar uma empresa especializada para analisar a segurança de um sistema, e aí, se o invasor não apagou os logs das suas operações, ele será pego de uma maneira muito fácil.

Encontrarão o seu endereço IP, comandos, etc., ou seja, é um passo para terminar seus gloriosos dias de hacker.

Apagando logs no Linux


Em boxes Linux existem vários arquivos importantes que registram os logs do sistema. Vamos falar de cada um deles:

messages

localização: /var/log/
função: registrar todas as operações do sistema ou de programas do mesmo

xferlog

localização: /var/log
função: registrar todas as operações logon/logoff realizadas
pelo daemon de ftp

secure

localização: /var/log
função: registrar todas as operações realizadas por tcp-wrappers

wtmp

localização: /var/log
função: registrar os logons de usuários. É um arquivo binário
que trabalha em conjunto com a função who para a
identificação do usuário

mail.log

localização: /var/log
função: registrar os envios e recebimentos de e-mails no sistema

bash_history

localização: /home/user
função: armazena os últimos 1.000 comandos digitados
pelo usuário. No caso do root, este arquivo fica em seu diretório
de trabalho (/root)

Para apagar logs no Linux não existe muito segredo: você pode apagar os rastros deixados no sistema por qualquer usuário.

O problema é que um administrador mais esperto poderá suspeitar de alguma coisa. Vamos, então, ensinar a  neutralizar alguns recursos: a primeira coisa a fazer é neutralizar o comando history. Como dito, o arquivo bash_history guarda os 1.000 últimos comandos. Digite o seguinte comando:
oldmbox# unset HISTFILE

Este comando desabilitará o registro do history e, ao sair da sessão, todos os comandos não serão registrados, nem o próprio unset. Este é o primeiro comando a ser feito, mais a maioria dos “invasores” se esquece de executar.

No caso do messages, devemos editá-lo e, se possível, inserir informações falsas no mesmo.

vi /var/log/messages ou vi /var/adm/messages

Procure introduzir comandos falsos, para que o administrador não suspeite de nada.

Você também poderá ficar logado no WTMP, UTMP e LASTLOG, que pode ser visualizado pelo root através do comando last user. Esses arquivos se encontram nas seguintes pastas:
/var/log/wtmp
/var/run/utmp
/var/log/lastlog

O WTMP e o UTMP gravam o tipo do início de uma sessão, login pid, tty device, tty, usuário, endereço, status de saída, seção ID, tempo e IP no login e no logout. O LASTLOG grava o tty, endereço e tempo do usuário assim que ele sai do sistema.

Para apagar esses tipos de logs, você poderá utilizar um programa escrito em C, o Zap, que se encontra no CD-ROM desta edição. O Zap é um logcleanner, que limpa estes arquivos, excluindo as entradas feitas pelo hacker no sistema, ocultando, assim, sua presença, de forma que toda a rotina de invasão passe despercebida pelo administrador.

Como usar o Zap:
# w
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
invasor tty1 09:58am 9:31 0.30s 0.04s bash
# ./zap invasor - o usuário que você deseja apagar todo tipo
de log
Entrada invasor foi apagada
# w

USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT Pronto, ele apagará todos os logs relacionados ao username.

Outra ferramenta com muitas funções para editar esses tipos de logs é o Marry, também disponível no CD-ROM desta edição. Abaixo, alguns exemplos de como usá-lo:
./marry -mW -i /etc/utmp -s -a
./marry -mL -u -a -n -e
./marry -mW -a -p mil -E emacs


Logs no Apache (Linux)


Para quem não sabe, o Apache Web Server é o servidor Web mais usado na Internet, e casa muito bem com o Linux, por ser também um software de livre distribuição e open source. Além disso, ele também roda em servidores da família MS Windows.

O Apache é um web server bem mais seguro que os da MS, como o IIS, por exemplo. Ele é totalmente configurável, sendo que o administrador poderá configurá-lo para gravar os logs das ocorrências e alterações que vierem a acontecer. Você terá que alterar ou até mesmo apagar esses logs, cujo local-padrão no Linux é em /usr/local/apache/logs. Dentro deste diretório existem alguns tipos de logs, sendo que o mais útil é o access_log. Existem também outros tipos de arquivos logs, como sssl_request_log e sssl_engine_log, que também poderão fornecer muitas informações para o administrador. Portanto, não perca tempo: para editar os logs no Apache, digite o comando abaixo no servidor:

vi -rf /usr/local/apache/logs

Mas há um porém. Como dito anteriormente, o Apache é totalmente configurável. O administrador poderá facilmente mudar o diretório dos logs para que o invasor não o ache tão facilmente. Se você não achar o arquivo log, procure no sistema, fuce nas pastas, mas nunca deixe de apagar logs desse tipo.

Logs no BIND (Linux)


Servidores DNS (Domain Name System) que utilizam o software Berkeley Internet Name Domain (BIND) eram, até um tempo atrás, os serviços mais explorados na plataforma Linux, já que quase todas as suas versões são vulneráveis a algum tipo de ataque. Ataques desse tipo deixam poucas evidências por trás do servidor que esteja definido com suas configurações- padrão. O log que poderá ser gravado no sistema é o log de mensagens de erro. Você poderá facilmente editar esses tipos de logs na pasta-padrão de logs no Linux /var/log. Para apagar, digite o comando abaixo:
Vi f var/log/messages

Exibindo resultados 1 a 1, de 2.


Tags: tutorial hacker apagando logs dicas truques messages xferlog secure wtmp mail.log bash history apache linux servidor proxys windows AppEvent.Evt SecEvent.Evt SysEvent.Evt routers

Deixe seu comentário

Nome:


Email:

Comentário:

  • 06:51
  • 19/04

BPYUUgIS

PDa0qk iskvehtkgqyf, [url=http://eznqmagcphuc.com/]eznqmagcphuc[/url], [link=http://ydwbtglfwqfh.com/]ydwbtglfwqfh[/link], http://xzdcvgadgleb.com/

  • 16:38
  • 09/09

name

stock market and defer or eliminate paying any taxes on their investments until withdrawals are made. Sometimes this tax deferral is the only,

  • 04:41
  • 09/09

name

policy provisions requiring certain types of maintenance, and possible discounts for loss mitigation efforts. ,

Leia Mais
Softwares Similares

  • Kaspersky Anti-Hacker

    Firewall para proteção contra invasões não autorizadas ao seu computador