ЗАМЕТАЕМ СЛЕДЫ В LINUX

Дмитрий Докучаев aka Forb

Спецвыпуск Xakep, номер #032, стр. 032-062-6

Для администраторов систем логи - сигнализатор дневной активности и атак, для хакеров - предмет немедленного уничтожения, для анализаторов безопасности - главный источник информации.

Я встречал умников, которые боролись с логами после захвата системы следующим образом: прибивали syslogd и уничтожали бинарные журналы дедовским способом (rm -f).

Полигоном являлись три независимых и самых популярных unix-like оси: Linux RedHat 7.1, FreeBSD 4.7 и SunOS 5.8.

Если подумать, Солярка всегда была и будет надежной системой, поэтому упомянуть ее имя в обзоре я просто обязан.

Чтобы удалить в /var/log/messages ip-адрес 127.0.0.1, достаточно выполнить команду grep -v 127.0.0.1 /var/log/messages > tmp && mv -f tmp /var/log/messages.

Этот обзор включает в себя лишь шесть логвайперов. Хочешь больше? Топай на http://packetstormsecurity.nl/UNIX/penetration/log-wipers и найдешь для себя множество различных клинеров на все случаи жизни.

Рассматриваемые экземпляры ты можешь утянуть по ссылке: http://k-uralsk.net/forb/1/x/logwipers.tar.gz. Для удобства - все шесть логвайперов помещены в один архив.

После тестирования, я убедился, что идеальных логвайперов не бывает, ибо для каждого отдельно взятого вайпера выполнялось максимум два критерия из трех.

К сожалению, если админ установил другой демон для ведения логов, то их чистка будет довольно сложна. К примеру, syslog-ng формирует иерархию каталогов в /var/log и пишет в каждый журнал отдельные события. Если посчитать, то в сумме мы получим около 20 логов, пути и имена которых отличаются от дефолтовых...