-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- r00tになった後にすることとは? Copyright,1997 Written by R00t Zer0 -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- ・はじめに さて、あなたは遂にOSを騙し、またはパスワードをデコードし(!)、または ソーシャルエンジニアリングを使い、はたまたごみ箱を漁り、挙げ句の果てにはシ ョルダーサーフィンを敢行し、、、いずれにせよ念願のr00tとなった。これで そのマシンはあなたのものだ。リモートでできることなら全て実行することができ る。さぁ、何をしようか? rm -r /homeか? それは馬鹿のすることだ。本当に楽 しみたいならば破壊と混乱をもたらすのは愚考だからだ。では何をすべきか? ・パスワードファイルをいただく 基本だ(笑) ただし、ftpを使用してはならない。なるべくlogが残らないよ うに行動するのが望ましい。ファイルのアップロード、ダウンロードにはテキスト 送信を使う。容量を減らすために通常はgzipとUU(en/de)codeを使用する。 とあるISP(笑)を見本にしてある。 fuck%ypcat passwd > a fuck%compress a fuck%uuencode a.Z a.gz 出てくるデータをロギングする。 r00tが取れるのだからパスファイルの位置くらいしっているだろうから割愛す る。そうそう、何か行動を起こす前に侵入のログを消すのを忘れずに。コンソール にもダミーを送っておかなければならない。また、zapは使うべきではない。手軽 に使っている人も多いだろうが、あれは本来のエントリにNULLを書き込む仕様にな っているのがソースを見てもわかるだろう?だからそれが更に足跡となってしまう のだ。だから使用すべきではない。 また、足跡の消し方をよくわかってない人はr00tになることができたとしても なるべきではない。すぐにバレて潰れるか、または逆探知される可能性がある。 ・hostsなど/etcの重要なデータをいただく これは規模の把握の他にもいろいろと使える。当然書き換えるべきではない。 ・バックドアを仕掛ける 書き換えは本来すべきではないが、、、時間に注意すること。それからバックア ップにも仕掛けること。新規にファイルを作らないこと。チェックされてもいいよ うにすべきなのでその場合もポイントごと書き換える。 ・バージョンアップをしてやる(笑) あまりにも穴だらけの場合、可哀相だし、他の奴等に使われないように穴をふさ ぐのもなかなかよい(笑) 少なくともphfでr00tになったら塞いであげよう。 ・ゴミあさりをする /tmpを漁る。用心している所でもここに重要なデータがあるかもしれない。 ・メールを読む これは重要なポイントだ。特にサーバにメールを残している場合、重要なデータ の殆どはここにある。数十メガバイト程度ならすべてダウンロードして読むべきだ。 あまりにも多いならば管理者などのクラスの奴等のメールだけは確実に読むべきだ。 どのディレクトリに重要なファイルがあるか、パスワードやアクセス番号、開発ソ フトのソースコードなどが見つかる場合もあるし、人間関係や地位まで把握できる。 ・/homeを漁る ここにも重要なものがある。面倒だと思わずにすべてみること。メールでPGP を使っている場合でも、ここでデコードしている馬鹿がたまにいるからだ(笑) ま た、PGPをここに置いている馬鹿もいるのでチェック(笑) .rloginファイルなども見ておくこと。大企業の場合、使用しているところ多数。 ・historyを見る。 いろいろ参考になるだろう。また、消せない場合、、、、、(苦笑) ・同業者がいないか調べる 同じことをやられているとかなり勿体無い。なにもないことを調べて、あった場 合ファイルを消してやろう。コンタクトをとるのもいいかもしれない(笑) ・ログアウト 最終確認すること。 用心に超したことはない。特に楽しいサーバの場合は。 もちろんこれが全てではないし、故意にはずした項目も多々ある。 それは経験を積んで知ってくれ。それでは楽しいハッキングライフを! -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- PRODUCED BY DEF CON ZERO