ИЗИ ШЕЛЛ ДВУМЯ ПАЛЬЦАМИ

1oker

Спецвыпуск Xakep, номер #025, стр. 025-050-2


root:$1a$08$E1U6cАdMNcCruz9ffTJ1mOe23cHpHneRIQrsXZcyEzMgS/QoeqJye:11937::::::

...

lpx::11937::::::

Не забудь сохранить свой нетленный труд.

После проведения всех этих волшебных действий ты в любое время можешь зайти в систему под пользователем lpx и без пароля.

СКРЫВАЕМ СЛЕДЫ

Любое действие пользователя в системе обязательно фиксируется. Если ты не врубаешься, я повторяю - ЛЮБОЕ. Вход, выход, выполнение команд, короче - все. Соответственно, есть файлы, в которых эта информация хранится. Они называются системными журналами, а по-нашему - логами. Чтобы скрыть следы твоего присутствия в журналах, придется заняться уборкой мусора.

Основной журнал хранится в файле /var/log/messages или в /var/adm/messages в зависимости от дистрибутива Linux. Это обычный текстовый файл, и он может быть отредактирован в текстовом редакторе. Ты понял, к чему я клоню? Правильно! Этот файл можно поправить в нужную тебе сторону. Достаточно просто удалить строчки, где фиксируется вход под твоим новым логином. Вот пример такой записи:

Окт 25 10:27:29 home PAM_pwdb[11610]: (su) session opened for user root by lpx(uid=0)

В других журналах каталога /var/log (/var/adm) хранятся сведения о работе почтовых сервисов и других программ.

Еще система хранит в логах время, проработанное пользователем, а также время входа и выхода из нее в файлах /var/log/wtmp и /var/run/utmp. Править их по-шустрому не получается, поэтому достаточно просто дать команду:

echo -ne > /var/log/wtmp

echo -ne > /var/run/utmp

После этой процедуры файлы обнулятся. Надейся и трепещи, что твой папашка, или кого ты там собрался хакать, не заметит этого. Туда вообще редко кто заглядывает.

Когда пользователь запускает на выполнение команды, они тоже фиксируются. При использовании командной оболочки bash список истории команд хранится в файле .bash_history в домашнем каталоге. Так как ты используешь домашний каталог /root для работы, то смотреть надо там. Список редактируется любым текстовым редактором.

Такой же список команд хранит любая командная оболочка, но название файла может отличаться. Например, файловый менеджер mc хранит историю команд в подкаталоге .mc/history.

Короче. С заметанием следов немного разобрались. Поехали резвиться в захваченной системе дальше.

ГРЯЗНЫЕ ТАНЦЫ

Нагадить горячо любимому соседу можно по-всякому. Сразу говорю, что все, что тут я тебе наплету, может иметь самые хреновые для тебя последствия, поэтому миллион раз подумай, прежде чем что-то делать. Также оговорюсь, что все действия должны выполняться из-под администратора, иначе ни фига не получится.

ГАДОСТЬ ПЕРВАЯ, ТУПАЯ

Можно стереть все к чертям собачьим следующей командой:

rm -f /

rm - это команда удаления. Опция -f заставит ее не задавать вопросов, ну а / означает, что ты собираешься тереть корневой каталог. Команда убьет все, что есть на винте или на Linux разделе. Это сурово, но и последствия проявятся тут же. Так что после выполнения этой шняги тебе надо сразу смываться. И очень быстро.

Назад на стр. 025-050-1  Содержание  Вперед на стр. 025-050-3