Comments 32
А, чуть не забыл. Самые суровые скрывают следы командой rm -rf /
for i in $(ls /dev/sd[a-z]{1,}*); do dd if=/dev/urandom of=$i; done
unset HISTFILE вообще, т.к. если оборвалось ссш соединение (попросту у вас выбило инет), то консоль убьется по таймауту и история сохранится, так что ваш метод канает не всегда. Что касается беспалевных заходов — ssh -T вам в помощь, никаких прав рута не понадобится, правда есть ограничения, кто заинтересовался — заглянет в ман.
За (w/b/u)tmp тоже надо бы смотреть. Ну и в auth.log еще запись о логине сохраняется. А иногда и в messages дублируется.
также не забываем, что непосредственно перед хостом, на который вы лезете, может стоять еще парочка мелких сервачков, которые логируют все коннекты на интересующий вас хост. кроме этого, существует ряд системных средств, позволяющих отследить ваши чёрные дела. ;-)
да, надо было подробнее тему осветить, с цепочками проксей, подчистой и поиском следов в других логах.
Всё просто. Идёшь на машину жертвы через промежуточный хост в открытом интернете. Сделав дело, rm -rf /* его. Только в качестве промежуточного лучше использовать хост, никак не связанный с тобой.
Если не хотите сильно навредить невольной жертве — владельцу промежуточноо хоста, есть ключик --one-file-system у rm
Если не хотите сильно навредить невольной жертве — владельцу промежуточноо хоста, есть ключик --one-file-system у rm
мвахахах Ж) уж не знаю как там в тазиках торвальца и знать не желаю, а во всех нормальных юнипсах системые логи и аудит пользователей не почистить без прав рута, ну и конечно рута просто так не получить скачав эксплойтег :D а выходит из консоли при помощи килла — это да, сильно. не проще ли просто напросто в шелле отключить ведение истории комманд?
$ ssh -T user@host /bin/bash -i
opens a «hidden» remote shell (login will not appear in «last» for example).
This is not really hidden, because the login will be shown in auth.log and the process is visible anyways.
ssh -T = Disable pseudo-tty allocation.
bash -i = interactive shell
opens a «hidden» remote shell (login will not appear in «last» for example).
This is not really hidden, because the login will be shown in auth.log and the process is visible anyways.
ssh -T = Disable pseudo-tty allocation.
bash -i = interactive shell
«Для операций с файлом lastlogin нужны права root.»
Для lastlog может?
Для lastlog может?
Кто как привык конечно… Я в профиль себе export HISTFILE="" прописал — и счастлив…
last -f /var/log/wtmp
таки покажет ваш исправленый в lastlog'е ойпи, что будет несколько конфузно
а вообще же, имея рутовый доступ переживать об какихто там скрываниях покровов — ну както не солидно.
таки покажет ваш исправленый в lastlog'е ойпи, что будет несколько конфузно
а вообще же, имея рутовый доступ переживать об какихто там скрываниях покровов — ну както не солидно.
export HISTCONTROL=ignorespace
После этой волшебной строчки в лог не попадут команды, начинающиеся с пробела. Очень удобно, например, для команд типа « sudo halt». Работает в bash
После этой волшебной строчки в лог не попадут команды, начинающиеся с пробела. Очень удобно, например, для команд типа « sudo halt». Работает в bash
sshd забыли.
Mar 6 12:16:28 jetta sshd[74892]: Did not receive identification string from 151.8.228.80
Mar 6 12:22:13 jetta sshd[76376]: Accepted publickey for raven from 10.72.1.102 port 1767 ssh2
Mar 6 12:16:28 jetta sshd[74892]: Did not receive identification string from 151.8.228.80
Mar 6 12:22:13 jetta sshd[76376]: Accepted publickey for raven from 10.72.1.102 port 1767 ssh2
~ $ alias logout="kill -9 $$" ~ $ logout
Именно поэтому пишу логи со всех серверов по сети на другой сервак :)
Отсутствующий lastlog сам по себе след от взлома.
Sign up to leave a comment.
Заметаем следы