科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道如何隐藏你的入侵踪迹与日至清除(3)

如何隐藏你的入侵踪迹与日至清除(3)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

一 篇文章,但今天读来仍颇有收获,就象他自己说的:"即使是一个很有经验的hacker 也能从这里学到一些东西".在翻译的过程中对原文做了一些改动,也加入了一些自 己的理解,不当之处,还请赐教.

作者:论坛整理 来源:zdnet网络安全 2008年2月17日

关键字: 网络安全 攻击防范 入侵

  • 评论
  • 分享微博
  • 分享邮件
>> 译者注:这也是没有办法的办法,换了我,我就会怀疑.;) 

很多unix系统的login命令有一个bug.当你登录以后再执行一遍login 
命令时,它将 
用你当前的终端重写UTMP中的login from段(它显示你是从哪里来的!) 

那么这些log文件缺省在什么地方呢? 
这依赖于不同的Unix版本. 
UTMP : /etc 或 /var/adm 或 /usr/adm 或 /usr/var/adm 或 /var/log 
WTMP : /etc 或 /var/adm 或 /usr/adm 或 /usr/var/adm 或 /var/log 
LASTLOG : /usr/var/adm 或 /usr/adm 或 /var/adm 或 /var/log 
在一些旧unix版本中lastlog数据被写到$HOME/.lastlog 

* 5. 不要留下痕迹 * 
我曾经碰到很多hacker,他们把自己从log里删除了.但他们忘记删掉他们 
在机器中留下 

的其他一些东西:在/tmp和$HOME中的文件 

Shell 记录 
一些shell会保留一个history文件(依赖于环境设置)记录你执行的命令. 
这对hacker来 

说确实是件很糟糕的事. 

最好的选择就是当你登录以后先启动一个新shell,然后在你的$HOME中 
查找历史纪录. 
历史记录文件: 
sh : .sh_history 
csh : .history 
ksh : .sh_history 
bash: .bash_history 
zsh : .history 

>> 译者注:.*history是我最喜欢看的文件之一,通过它你可以了解root或用 
户常干 
些什么, 
>> 从而得知他们的水平如何,如果他们只会执行"ls","pwd","cp"...那说明水 
平不 
过尔尔,无须 
>> 太担心.不过如果你发现root喜欢"find / -type f -perm -04000 -exec ls -a 
l {} \;"," 
>> "vim /var/adm/messages","ps -aux( -elf) ","netstat -an"....那你就要小 
心一点了 

备份文件 : 
dead.letter, *.bak, * 

在你离开前执行一下"ls -altr"看看你有没有留下什么不该留下的东西. 

你可以敲4个csh命令,它能让你离开时删掉这些历史文件,不留下任何 
痕迹. 
mv .logout save.1 
echo rm .history>.logout 
echo rm .logout>>.logout 
echo mv save.1 .logout>>.logout 

>> 译者注:对于bash,有一个简单的办法就是执行一下"HISTFILE=",就是不 
设置bas 
h的历史文件, 
>> 这样就不会有讨厌的.bash_history了.(准确地说,是不会往 
$HOME/.bash_histo 
ry里写了) 
>> 或者退出的时候简单的敲kill -9 0 ,它会杀掉这次登录后产生的所有进 
程,bas 
h也不会往.bash 
>> _history里写 


* 6. 你应当避免的事 * 
不要在不属于你的机器上crack口令.如果你在别人(比如说一所大学)的 
机器上破解口令 

一旦root发现了你的进程,并且检查它.那么不仅你hacking的帐号保不住 
了,可能连你得 

到的那passwd文件也没了.那学校将会密切注视你的一举一动... 
所以得到口令文件后应该在自己的机器上破解.你并不需要破解太多的帐 
号,能破出几个 
就 
够了. 
如果你运行攻击/检测程序象ypx,iss,satan或其他的exploiting程序,应当 
先改名再执 
行它们. 
或者你可以修改源码改变它们在进程列表中显示的名字... 

>> 译者注:这并不难,你只要在main()中将argv[]用你喜欢显示的名字替代就 
可以了 
比如argv[0] 
>> ="in.telnetd",argv[1]=""...(当然必须在程序已经从argv中读取了所需的参 
数 
之后). 

如果某个细心的用户/root发现5个ypx程序在后台运行,他马上就会明 
白发生了什么. 
当然如果可能的话不要在命令行中输入参数.如果程序支持交互方式,象 
telnet. 
应当先敲"telnet",然后"o target.host.com"...这就不会在进程表中显示目标 
主机 
名. 

>> 译者注:如果你用ftp,最好这样做: 
>> $Content$nbsp;ftp -n 
>> $Content$nbsp;ftp>o target.host 
>> blahblah...(一些连接信息) 
>> blahblah...(ftp server版本) 
>> ftp>user xxx 
>> .... 

如果你hack了一个系统---不要在任何地方放suid shell! 
最好装一些后门象(ping,quota或者login),用fix来更正文件的atime和 
mtime. 

>> 译者注: 放suid shell是很蠢的,非常容易被root发现. 




IV. 高级技巧 
---------------------------------------------------------------------- 

内容 : 1. 前言 
2. 阻止任何跟踪 
3. 找到并处理所有的log文件 
4. 检查syslog设置和log文件 
5. 检查安装的安全程序 
6. 检查系统管理员 
7. 怎样修正checksum检查软件 
8. 注意某些用户的安全陷阱(诡计?) 
9. 其他 





* 1. 前言 * 
一旦你装了第一个sniffer开始你的hack生涯,你就应该知道并使用这些 
技巧! 
请运用这些技巧---否则你的hack之旅就行将结束. 

* 2. 阻止任何跟踪 * 
有时候你的hacking活动会被人发现.那并不是什么大问题 - 你hacked 
一些站点 
可能会被关掉,但谁管它呢,赶紧离开就是了.但如果他们试图跟踪你的来 
路(通常 
是为了抓住你)的话那就很危险了! 


这一节将告诉你他们跟踪你的各种可能的方法以及你该如何应对. 

* 通常对系统管理员来说发现一个hacker是从哪里来的并不是什么问题: 
检查log记 
录(如果那个hacker真的那么蠢的话);看看hacker安装的sniffer的输 
出记录(也许 
里面也记下了他的连接)或者其他系统记帐软件(象loginlog等等);甚至 
可以用netst 
at 
显示所有已经建立的网络连接--如果那个hacker正在线的话,那他就被 
发现了. 
这就是为什么你需要一个gateway server(网关). 

* 什么是gateway server? 
它是你所"拥有"的很多服务器中的一个,你已经得到了它的root权限. 
你 
需要root权限去清除wtmp/lastlog/utmp等系统记录或者其他一些记帐 
软 
件的log文件.除此之外你不在这台机器上做任何其他的事(它只是个 
中转 
站).你应当定期更换gateway server,可以每隔1,2个星期更换一次,然后 
至少一个月内不再使用原来的gateway server.这样他们就很难跟踪到 
你 
的hacking server. 

* hackin server - 所有活动的出发点 
你从这些机器开始hacking.Telnet(或者更好的:remsh/rsh)到一个 
gateway server, 

然后再到一个目标机器.你需要有root权限以修改log.你必须每隔2-4 
个星期就更换 
hacking server.. 

* 你的堡垒/拨号主机. 
这是个临界点.一但他们能跟踪回你拨号进入的机器,你就有麻烦了.只 
要打 
个电话给警察,再进行一次通信线路跟踪,你的hack活动就会成为历史 
了,也 
许是你的未来. 
在堡垒主机上你不需要得到root权限.既然你只是通过modem拨入,那 
里没有 
什么必须修改的记录.你应该每天用一个不同的帐号拨号进入,尽量用 
那些 
很少使用的.你应该找到至少2个你能拨号进去堡垒主机,每隔1-2个 
月更换一 
次. 

>> 译者注:我对phreak不熟.我猜大部分的国内hacker还没什么本事能躲 
过电信局 

>> 的跟踪.所以最好不要用别人的帐号上网,特别是那些很少上网的帐号, 
一旦他 

>> 发现上网费用剧增,肯定会让电信局追查的,到时候你就大难临头了.如 
果 
>> 你用那些上网频繁的人的帐号,他反倒不会注意,只会以为这个月上的 
太厉 
>> 害了.:-)(这绝对没有鼓励你盗用别人帐号的意思,这等于盗窃,凭什么你 
上网 

>> 要别人交钱?就凭你会用john破几个口令吗?hacker的名声就是让这些 
打着hac 
ker 
>> 旗号的无耻之徒败坏的.对这种人就得抓!所以我对这样的phreaker没 
有什么好 
感, 
>> 你要真有本事,就别嫁祸别人,而且还要让电信局查不出来.) 说多了,咱 
们言归 
正传. 

注意: 如果你能每天拨入不同的系统(比如通过"蓝盒子"),那你就不需 
要那些 
hacking server了. 
* 使用蓝盒子,这样即使他们跟踪到你的堡垒主机,也不能(至少是不能很 
容易地) 
追踪到你的电话... 
使用蓝盒子必须小心,德国和美国的电话公司有专门的监视系统来追踪 
使用蓝盒 
子的人... 

使用一个中间系统来传送你的电话将会使跟踪更加困难, 但是同样由 
于你使用 
一个pbx或其他的什么东西, 仍使你处于被抓的危险中. 这取决于你. 


注意在丹麦所有的电话数据均被记录!即使在你打完电话10年后,他们 
仍然能证明? 
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章