NFsec Logo

Używanie utmpdump do wykrywania manipulacji plikami logowań

Napisał: Patryk Krawaczyński

30/10/2022 w Bezpieczeństwo Możliwość komentowania Używanie utmpdump do wykrywania manipulacji plikami logowań została wyłączona

Z

narzędziem utmpdump spotkaliśmy się pierwszy razy przy okazji ściągawki z informatyki śledczej w wykrywaniu włamań za pomocą linii poleceń Linuksa. W tym wpisie rozwinę trochę użycie tego narzędzia i pokażę jak można go użyć od strony defensywnej, jak i ofensywnej. Pozornie nieznane przez wielu polecenie utmpdump jest doskonałym narzędziem do wykrywania manipulacji na plikach logowań. Jeśli chodzi o system Linux to często możemy polegać na następujących trzech artefaktach w celu określenia czynności logowania i wylogowywania użytkowników:

  • /var/run/utmp – plik utmp pozwala odkryć informacje o tym, kto aktualnie korzysta z systemu.
  • /var/log/wtmp – plik wtmp rejestruje wszystkie logowania i wylogowania. Jego format jest dokładnie taki jak utmp, z tą różnicą, że pusta nazwa użytkownika wskazuje na wylogowanie z powiązanego terminala. Co więcej, nazwa terminala “~” z nazwą użytkownika “shutdown” lub “reboot” wskazuje na zamknięcie lub ponowne uruchomienie systemu.
  • /var/log/btmp – plik btmp zawiera wszystkie złe próby logowania do systemu.

Ponieważ pliki utmp, wtmp i btmp zawierają dane logowania wszystkich użytkowników, są one głównym celem modyfikacji lub usuwania wpisów przez intruzów i złośliwe oprogramowanie. Wiele rodzajów malware dla systemu Linux po prostu usunie te pliki i zastąpi je plikami o zerowej długości bajtów. Bardziej wyrafinowani napastnicy podejmują próbę wyczyszczenia poszczególnych wpisów jednak jest to trudniejszy sposób na zacieranie śladów i łatwo go zauważyć.
[ czytaj całość… ]

Nie usuwaj tych logów! — Wyzeruj je.

Napisał: Patryk Krawaczyński

19/10/2011 w Administracja 1 komentarz.

W

wielu przypadkach niektóre pliki logów systemowych podczas różnych testów najlepiej, jeśli zostaną wyczyszczone. Usuwanie ich i tworzenie od nowa pociąga za sobą takie czynności jak sklonowanie uprawnień, własności i atrybutów. Sposobem, aby zamienić te wszystkie kroki na jeden wystarczy wyzerować zawartość pliku (przykłady na powłoce bash):

  • Najdłuższy: # cat /dev/null > dziennik.log
  • Krótszy: # echo -n > dziennik.log
  • Najkrótszy: # > dziennik.log

W ten sposób zachowane zostają wszystkie atrybuty, uprawnienia i własności, a zawartość pliku znika.

Odkrywając access_log Apache

Napisał: Patryk Krawaczyński

23/08/2009 w Hacks & Scripts Możliwość komentowania Odkrywając access_log Apache została wyłączona

P

rzedstawiony skrypt jest tłumaczeniem “Exploring the Apache access_log” z książki “Wicked Cool Shell Scripts” autorstwa Dave’a Taylor’a udostępnionym on-line (Skrypt #84) na stronie www.intuitive.com. Do tłumaczenia zostało dodane także parę informacji od tłumacza.
[ czytaj całość… ]

Twitter @nfsec_pl
Dołącz do NFsociety
RSS via e-mail