پاک کردن لاگ لینوکس برای از بین بردن ردپا موقع هک کردن سیستم

پاک کردن لاگ لینوکس برای از بین بردن ردپا موقع هک کردن سیستم (۱)

بدون ديدگاه

با عرض سلام خدمت همراهان تیم امنیتی بیت، در این آموزش میخوایم ببینیم که چجوری میتونیم با پاک کردن لاگ لینوکس ردپامون رو بعد از هک کردن یک سیستم از بین ببریم

آخرین مرحله Exploit کردن یک سیستم این است که تمامی رد پا هارا از بین ببریم تا دیگر اثری از ما باقی نماند

و شامل از بین بردن مدارک از تمامی کارهای انجام شده در سیستم است، تا هکر ردیابی نشود

و یا حتی اینکار در صورتی که هکر بخواهد فعالیت هایش را مخفی کند تا در سیستم باقی بماند و یا بعدا دوباره به آن نفوذ کند بسیار حیاتی است

۱- ساخت یک Directory مخفی

زمانی که از سیستم مورد نظر خودمون دسترسی گرفتیم، در اولین قدم یک دایرکتوری مخفی میسازیم و فایل ها و کار های خودمون رو در داخل اون مسیر انجام میدیم

البته این نکته رو تحت نظر داشته باشید که اینکار بیشتر ادمین های نوب و تازه کار رو گول میزنه (در ادامه میبینید چرا 🙂 )

اما هیچوقت یک لایه امنیتی بیشتر بد نیست، پس اینکار رو حتما انجام بدید

پیدا کردن مسیر هایی که دسترسی Write در آن ها داریم

اول از همه با دستور زیر دایرکتوری هایی که در آن ها دسترسی Write برای ما وجود دارد را پیدا میکنیم

[email protected]:/# find / -perm -222 -type d 2>/dev/null

/dev/shm
/var/lock
/var/lib/php5
/var/tmp
/var/www/dav
/var/www/twiki/data/Sandbox
/var/www/twiki/data/Main
/var/www/twiki/data/Know
/var/www/twiki/data/TWiki
/var/www/twiki/data/_default
/var/www/twiki/data/Trash
/var/www/twiki/pub/Sandbox
/var/www/twiki/pub/Main
/var/www/twiki/pub/Know
/var/www/twiki/pub/Know/IncorrectDllVersionW32PTH10DLL
/var/www/twiki/pub/TWiki
/var/www/twiki/pub/TWiki/TWikiDocGraphics
/var/www/twiki/pub/TWiki/TWikiTemplates
/var/www/twiki/pub/TWiki/TWikiLogos
/var/www/twiki/pub/TWiki/PreviewBackground
/var/www/twiki/pub/TWiki/FileAttachment
/var/www/twiki/pub/TWiki/WabiSabi
/var/www/twiki/pub/Trash
/var/www/twiki/pub/icn

ساخت دایرکتوری مخفی

حالا به کمک دستور mkdir در یکی از این مسیر هایی که دسترسی write داریم یک دایکتوری مخفی میسازیم

نکته ای که وجود دارد این است که برای ساخت دایرکتوری مخفی

تنها کافی است قبل از نام دایرکتوری یک نقطه (.) قرار دهید تا مخفی باشد

[email protected]:/# mkdir /dev/shm/.secret

حالا اگر از دستور ls استفاده کنیم دیگر نام دایرکتوری را نمیبینیم

[email protected]:/# ls -l /dev/shm/

total 0

اما اگر از سوییچ -a هنگام ls گرفتن استفاده کنید، میتوانید دوباره نام دایرکتوری را مشاهده کنید (دایرکتوری در این حالت در محیط گرافیکی هم Hide میشود)

[email protected]:/# ls -la /dev/shm/

total 0
drwxrwxrwt  3 root root    60 2019-06-19 13:49 .
drwxr-xr-x 13 root root 13480 2019-06-19 13:41 ..
drwxr-xr-x  2 root root    40 2019-06-19 13:49 .secret

۲- پاک کردن تاریخچه (Bash (Bash History

Bash یک لیست از تمامی Command هایی که در Session جاری زده شده است را در Memory نگه میدارد

و به همین خاطر بسیار مهم است تا برای پاک کردن لاگ لینوکس و از بین بردن رد پای خودتان، تاریخچه آن را پاک کنید

به کمک دستور history میتوان لیست تاریخچه را مشاهده کرد

[email protected]:/# history

    ۱  cd /
    ۲  ls
    ۳  find / -perm -222 -type d 2>/dev/null
    ۴  cd /dev/shm/
    ۵  cd /
    ۶  mkdir /dev/shm/.secret
    ۷  ls -l /dev/shm/
    ۸  ls -la /dev/shm/
    ۹  ls
   ۱۰  rmdir /dev/shm/.secret/
   ۱۱  history

دستورات در داخل متغیر محیطی HISTFILE ذخیره میشوند

و میتوان با دستور echo مسیر آن را پیدا کرد (معمولا .bash_history)

[email protected]:/# echo $HISTFILE

/root/.bash_history

میتوانیم به کمک دستور unset متغیر محیطی HISTFILE را حذف کنیم

و بعد از آن دیگر با echo کردن آن چیزی برنمیگردد

[email protected]:/# unset HISTFILE
[email protected]:/# echo $HISTFILE

همینطور میتوانیم مطمئن شویم که تاریخچه دستورات در جایی ذخیره نمیشود

که باید برای اینکار متغیر محیطی HISTFILE را به مسیر /dev/null (یعنی عملا هیچ جا (انگار دور انداخته میشود)) هدایت کنیم

که به کمک دستور زیر اینکار انجام میگیرد

[email protected]:/# export HISTFILE=/dev/null

همینطور میتوانیم به کمک دستور HISTSIZE، سایز تعداد دستوراتی که در Session جاری میتواند ذخیره شود را روی ۰ تنظیم کنیم

[email protected]:/# export HISTSIZE=0

همچنین میتوانیم تعداد خطوط مجاز برای ثبت تاریخچه را هم به کمک HISTFILESIZE به ۰ تغییر دهیم

[email protected]:/# export HISTFILESIZE=0

همچنین میتوانیم به کمک دستور set به طور کلی option ـه history را غیرفعال کنیم

[email protected]:/# set +o history

و برای فعال کردن دوباره ی آن:

[email protected]:/# set -o history

همچنین میتوانیم برای غیرفعال کردن این قابلیت از دستور shopt هم استفاده کنیم

[email protected]:/# shopt -ou history

و برای فعال کردن آن:

[email protected]:/# shopt -os history

۳- استفاده از space

در برخی از سیستم ها (همیشه جواب نمیدهد) میتوانیم برای جلوگیری از ذخیره شدن دستور در history از یک فاصه (Space) در ابتدای دستور استفاده کنیم

[email protected]:~#  cat /etc/passwd

۴- استفاده از دستور history

برای پاک کردن تاریخچه history میتوان از دستور history و سوییچ -c و -w استفاده کرد

برای اینکه تاریخچه را پاک کنیم:

[email protected]:~# history -c

برای اینکه مطمئن شویم تغییرات ما در disk ذخیره شده است:

[email protected]:~# history -w

همچنین برای اینکه هنگام خارج شدن از Session اطمینان حاصل کنیم که تمامی تاریخچه دستورات پاک شده است

میتوانیم از دستور زیر استفاده کنیم

[email protected]:/# cat /dev/null > ~/.bash_history && history -c && exit

 

در قسمت دوم این آموزش هم با ما همراه باشید تا روش های بیشتری برای پاک کردن لاگ لینوکس و از بین ردپای خودتون بعد از دسترسی به تارگت رو ببینید

موفق باشید

نوشتن دیدگاه