Боевой софт

Vint (vint@vpost.ru)

Спецвыпуск: Хакер, номер #047, стр. 047-090-4

Размер, как у и любого комплекса сетевого анализа nmap, достаточно большой. Хотя и совершенствуется способ "снятия отпечатков", все еще достаточно часто приходится получать аналогичные этому выводы программы: "Это точно Винда. Версия? Или Миллениум, или 2к сервер, возможно, и 2к адванс-сервер, хотя похоже на ХР, даже вроде с первым сервиспаком". При этом Linux определяется достаточно четко.

Однозначный must have. Любой удаленный анализ сильно упрощается при использовании этой софтины. Программа считается одно из основных утилит хакера.

Yakrk - Yet Another Kernel Rootkit

(www.robota.net/download?file=93)

Эта утилита представляет собой набор руткитов для ядер 2.4. Вполне интересная софтина, тем более если учесть, что все еще очень многие сервера крутятся на ядрах серии 2.4.

Основной плюс набора – минимальное изменение системной конфигурации. Работает приложение на уровне ядра, перехватывая некоторые системные вызовы ОС.

Пока возможности этого руткита очень ограниченны. Он способен лишь скрывать сетевую активность некоторых приложений.

Если нужно установить маленький и очень простой руткит – это ПО для тебя. Неплохо, когда эта софтина лежит у тебя в боекомплекте, но и без нее можно спокойно обойтись ;-).

VANISH2

(http://packetstormsecurity.org/UNIX/penetration/log-wipers/vanish2.tgz)

Одна из самых необходимых утилит на захваченной машине – чистильщик лог-файлов. После долгих и упорных тестов я предлагаю использовать Vanish2.

В архиве обнаружился только файл кода на языке С и хедер. Добавить make программистам уже не хватило сил, поэтому компилировать программу следует так: “gcc vanish2.c -o vanish2”.

Очень грамотная чистка как текстовых, так и бинарных логов всей системы. Основное внимание следует обратить на чистки журналов messages, secure и httpd.access_log. С этой задачей ПО справилось очень хорошо: все чисто и ровно. Также к сильной стороне чистильщика следует отнести и отсутствие временных файлов после работы, они создаются во время чистки, но удаляются по ее завершении. Если процесс будет прибит, а анализ журнала не закончен, то останутся временные файлы, по которым можно вычислить, что работал логвайпер.. Отсутствовали и core-файлы, то есть после работы в системе не остается практически никаких следов.