ЗАМЕТАЕМ СЛЕДЫ В LINUX

Дмитрий Докучаев aka Forb

Спецвыпуск Xakep, номер #032, стр. 032-062-5

Оценка:

Надежность:

Текстовые логи - 0 баллов.

Бинарные логи - 8 баллов.

Скорость - 8 баллов.

Маскировка - 5 баллов.

Многоплатформенность - 4 балла.

Общая оценка - 5 баллов.

И ЭТО НЕ ТОЛЬКО СИ

Что примечательно, логвайперы бывают не только сишными. Наткнувшись на экземпляр под названием gh0st.sh, которое говорило о том, что клинер был написан на sh-языке, я решил добавить его в свой обзор. Первые мысли были о том, что этот реальный клинер займет первое место в моем обзоре.

Итак, начало тестирования. Запустив gh0st.sh без опций, я увидел, что он просит hostname в качестве параметра. Удовлетворив его желания, я проследил за действиями призрака. Прочесав 10 текстовых логов, он удалил из них все посторонние записи. Моему удивлению не было предела, когда на экране появились строки, касающиеся бинарных файлов. Как удалить из них записи на языке sh, я не представлял.

Скрипт очень быстро завершил чистку. Заценив wtmp, я увидел, что его попросту не было. Точнее, его размер составлял 0 байт. Первое впечатление об этом клинере быстро изменилось. В текстовых логах вся компрометирующая информация была удалена. Впрочем, алгоритм чистки текстовиков от ненужных фраз был прост. Сперва надо было прогрепать лог с ключиком -v и последующим выводом инфы в темп-файл, а затем заменить его на нужный. То есть, чтобы удалить в /var/log/messages ip-адрес 127.0.0.1, достаточно было выполнить команду grep -v 127.0.0.1 /var/log/messages > tmp && mv -f tmp /var/log/messages. Этот алгоритм и выполнялся в рассматриваемом клинере.

Что сказать... Если выбросить часть кода, касающуюся чистки бинарников, то получится неплохой логвайпер для ascii-логов ;).

Оценка:

Надежность:

Текстовые логи - 6 баллов.

Бинарные логи - 0 баллов.

Скорость - 8 баллов.

Маскировка - 4 балла.

Многоплатформенность - 4 балла.

Общая оценка - 4 балла.

И КТО ЖЕ ПОБЕДИТЕЛЬ?

Настало время подвести итоги моего тест-драйва. Первое место я присудил vanish2. Он хоть и отличается своей медлительностью, но качество работы, пожалуй, у него отличное.

Второе место отдаю grlogwipe. Имея несомненные плюсы в скорости и многоплатформенности, он одновременно лажает в ascii-логах и бинарном lastlog. Но, опять таки, дополнительные фенечки клинера мне очень понравились.

На третьем месте располагается zap3. Хоть его и контузило при неудачном открытии syslog, он неплохо справляется с поставленной задачей. Немного универсальности и стабильности - и это будет лучший логвайпер ;).

Насчет остальных экземпляров ничего говорить не буду. Все было сказано выше. Отдельных слов в их адрес у меня попросту нет.

МОРАЛЬ СЕЙ БАСНИ

Надеюсь, что после прочтения этой статьи ты поймешь - идеальных логвайперов не существует. Идеальные вещи пишутся только применительно к конкретной ситуации. Поэтому мой тебе совет: учи Си и напиши свой суперклинер, который способен удовлетворять всем вышеназванным критериям, и тебе будут благодарны много людей.