Comments 4
Остановка служб - уже инцидент, даже для ИТ, не то что для ИБ. Тем более если это rsyslog или auditd. И всë это не очень поможет, если ДО получения доступа на машине уже был более-менее правильно настроен rsyslog и auditd (конечно, с отправкой событий на удаленный сервер).
Предположим, вы разместили reverse shell скрипт в /usr/local/bin. Если временная метка явно указывает "создано пять минут назад", системный администратор может заметить это. Исправьте эту временную метку, и файл будет выглядеть незаметно.
Поле Birth на файле с файловой системы Ext4 смотрит на вас с ухмылкой
Автор, как и тот журналист, запустивший процесс изменения смысла терминов, по незнанию, путает хакеров (тип разработчиков) и крекеров (взломщиков систем)?
Умышленно или тоже по незнанию?
Stealth Mode: 10 Bash-трюков для скрытого хакинга