Log Cleaners
Depois de ter invadido o sistema, colocado o seu backdoor e seu sniffer, o hacker necessita limpar os seus rastros. Em vários sistemas operacionais, existem sistemas de auditoria, que registram as operações do usuário em arquivos do sistema. Isto também pode ocorrer com aplicativos servidores Web, que têm suas operações registradas.
No sistema Linux podemos destacar os seguintes:
messages
localização: /var/log/
função: registrar todas as operações do sistema ou de programas do mesmo.
xferlog
localização: /var/ log
função: registrar todas as operações logon/logoff realizadas pelo daemon de ftp.
secure
localização: /var/log
função: registrar todas as operações realizadas por tcp-wrappers.
wtmp
localização: /var/log
função: registrar os logons de usuários. É um arquivo binário que trabalha em conjunto com a função who para a identificação do usuário.
mail.log
localização: /var/log
função: registrar os envios e recebimentos de e-mails no sistema.
bash_history
localização: /home/user
função: armazena os últimos 1000 comandos digitados pelo usuário. No caso do root este arquivo fica em)seu diretório de trabalho (/root).
No ambiente NT; o log no sentido como conhecemos no Linux, só entra E ação quando a auditoria do sistema está ativa. Caso a mesma não esteja ligada, os arquivos de log não serão criados. Os principais arquivos de log NT são:
AppEvent. Evt
localização: \systemroot\system32\config
função: Log das principais operações e eventos de aplicativos do sistema.
SecEvent. Evt
localização: \systemroot\system32 \config
função: Log dos principais eventos de segurança.
SysEvent. Evt
localização: \systemroot\system32\config
função: Log das principais operações e eventos do sistema.
O /ogcleanner limpa este arquivos excluindo as entradas feitas pelo hacker rir sistema, ocultando assim sua presença. Para o administrador fica despercebi toda sua rotina de invasão.
Ferramentas
Os logcleanners mais utilizados são os seguintes:
hideme.c
Autor: fusys
Plataforma: Linux/Unix
URL: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Licença: GPL
De acordo com o seu autor, o hideme limpa os arquivos Utmp, Wtmp, LastLog, Messages, XferLog, Secure e MailLog. A sua sintaxe de utilização é a seguinte:
hideme <user> <host> <IP>
Muitos hackers o utilizam para limpeza de suas invasões, fazendo parte das ferramentas básicas de um atacante.
rhclean.c
Autor: Sultrix
Plataforma: Linux(Red hat especificadamente)
URL: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Licença: GPL
Trata-se de um simples e específico e nem pouco sutil programa de limpeza de logs exclusivamente feito para o Linux Red Hat. Não é muito recomendado, mas pode ser uma ferramenta interessante de estudo para o administrador. Sua sintaxe é a seguinte:
/rhclean
Limpará todos os arquivos de log do sistema.
zap2.c
Autor: Desconhecido
Plataforma: Linux/Unix (Solaris)
Licença: GPL
Limpa os arquivos Utmp, Wtmp, LastLog. É muito simples, mas utilizado
principalmente em sistemas Solaris para limpeza. Sua sintaxe é a seguinte:
zap2 <user> <host>
--
celsetupb.exe
Autor: Duke Engineering
Plataforma: Windows NT
URL: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Licença: GPL
O Clear Event Log é um utilitário que limpa o log de eventos em segurança, sistema e aplicações. E simples e de fácil operação e permite limpá-los individualmente ou todos. Necessita da DLL Msvbvm50.dll, para ser executado, neste pacote o mesmo vem incluído.
__________
Créditos: Oldm@n
(Corrigido por mim)
Depois de ter invadido o sistema, colocado o seu backdoor e seu sniffer, o hacker necessita limpar os seus rastros. Em vários sistemas operacionais, existem sistemas de auditoria, que registram as operações do usuário em arquivos do sistema. Isto também pode ocorrer com aplicativos servidores Web, que têm suas operações registradas.
No sistema Linux podemos destacar os seguintes:
messages
localização: /var/log/
função: registrar todas as operações do sistema ou de programas do mesmo.
xferlog
localização: /var/ log
função: registrar todas as operações logon/logoff realizadas pelo daemon de ftp.
secure
localização: /var/log
função: registrar todas as operações realizadas por tcp-wrappers.
wtmp
localização: /var/log
função: registrar os logons de usuários. É um arquivo binário que trabalha em conjunto com a função who para a identificação do usuário.
mail.log
localização: /var/log
função: registrar os envios e recebimentos de e-mails no sistema.
bash_history
localização: /home/user
função: armazena os últimos 1000 comandos digitados pelo usuário. No caso do root este arquivo fica em)seu diretório de trabalho (/root).
Dica de segurança de Oldm@n
O bash_history é um dos arquivos mais importantes do sistema Linux1 pois normalmente é esquecido por invasores inexperientes. Em 70% de casos de invasão, este arquivo é esquecido de ser modificado pelo invasor. Até hackers experientes esquecem do mesmo. Logo, se torna um dos principais meios de identificar um hacker e descobrir suas ferramentas no sistema.
O bash_history é um dos arquivos mais importantes do sistema Linux1 pois normalmente é esquecido por invasores inexperientes. Em 70% de casos de invasão, este arquivo é esquecido de ser modificado pelo invasor. Até hackers experientes esquecem do mesmo. Logo, se torna um dos principais meios de identificar um hacker e descobrir suas ferramentas no sistema.
No ambiente NT; o log no sentido como conhecemos no Linux, só entra E ação quando a auditoria do sistema está ativa. Caso a mesma não esteja ligada, os arquivos de log não serão criados. Os principais arquivos de log NT são:
AppEvent. Evt
localização: \systemroot\system32\config
função: Log das principais operações e eventos de aplicativos do sistema.
SecEvent. Evt
localização: \systemroot\system32 \config
função: Log dos principais eventos de segurança.
SysEvent. Evt
localização: \systemroot\system32\config
função: Log das principais operações e eventos do sistema.
O /ogcleanner limpa este arquivos excluindo as entradas feitas pelo hacker rir sistema, ocultando assim sua presença. Para o administrador fica despercebi toda sua rotina de invasão.
Ferramentas
Os logcleanners mais utilizados são os seguintes:
hideme.c
Autor: fusys
Plataforma: Linux/Unix
URL: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Licença: GPL
De acordo com o seu autor, o hideme limpa os arquivos Utmp, Wtmp, LastLog, Messages, XferLog, Secure e MailLog. A sua sintaxe de utilização é a seguinte:
hideme <user> <host> <IP>
Muitos hackers o utilizam para limpeza de suas invasões, fazendo parte das ferramentas básicas de um atacante.
rhclean.c
Autor: Sultrix
Plataforma: Linux(Red hat especificadamente)
URL: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Licença: GPL
Trata-se de um simples e específico e nem pouco sutil programa de limpeza de logs exclusivamente feito para o Linux Red Hat. Não é muito recomendado, mas pode ser uma ferramenta interessante de estudo para o administrador. Sua sintaxe é a seguinte:
/rhclean
Limpará todos os arquivos de log do sistema.
zap2.c
Autor: Desconhecido
Plataforma: Linux/Unix (Solaris)
Licença: GPL
Limpa os arquivos Utmp, Wtmp, LastLog. É muito simples, mas utilizado
principalmente em sistemas Solaris para limpeza. Sua sintaxe é a seguinte:
zap2 <user> <host>
A maioria dos logcleanners não cuida da limpeza do bash_history, para isto os hackéas mais experientes desviam os registros do bash_history para diretório Idevinuíl, através de um hard link. O comando é o seguinte:
oldmanbox# ln -s /dev/null ~ /.bash_history
oldmanbox# ln -s /dev/null ~ /.bash_history
celsetupb.exe
Autor: Duke Engineering
Plataforma: Windows NT
URL: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Licença: GPL
O Clear Event Log é um utilitário que limpa o log de eventos em segurança, sistema e aplicações. E simples e de fácil operação e permite limpá-los individualmente ou todos. Necessita da DLL Msvbvm50.dll, para ser executado, neste pacote o mesmo vem incluído.
__________
Créditos: Oldm@n
(Corrigido por mim)
Comment