足跡


お掃除ですかー 投稿者:素人  投稿日:08月07日(木)00時43分45秒

初めてroot accessした再、(半信半疑だった^^;)
何気なくfinger..あれ? rootが二人..一人は俺、もう一人は
..当然(汗)..やばい! 足跡消さねば..ここは慌てず
wormhole氏のページにいって足跡の消しかたを読むとするか..(笑)
それからしばらく....ふう..作業完了...logout..
..めでたし めでたし...なわけはなく、次の日にはさっそく入れなく
なっていましたとさ..教訓:付け焼き刃では駄目..らしい

その直後訳したDOCです。wormhole氏が参考にした物と同じだと
思います。
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
あほの研究資料No.254(嘘)
How to cover your tracks
-足跡の隠しかた-
Author: van Hauser 
*このDOCはHow to cover your tracksの完訳では
ありません。重要(と思われる)場所だけ抜いて機械翻訳
に多少の手を加えた程度のものです。当たり前ですが読み
にくいです。

セオリーと背景編から抜粋
4.ログ

3つの重要なログファイルがあります: 

     
      WTMP −    すべてのLog on/offとログイン/アウトタイム、ttyと
                 ホスト
      UTMP −    現在ログインしている人(finger情報はこのファイルを参照)
      LASTLOG − どこからログインしてきたか

他にもファイルは存在しますがそれは上級セクションで論じられるであろう
すべてtelnet によってのログイン、 ftp、rloginそして若干のシステム rsh 
の上がこれらのログに書き込まれます。それらのログファイルからあなたの
記録を削除することは非常に重要である。なぜなら

      a) 貴方がハックした正確な時間
      b) あなたがどこのサイトからきたか
      c) どの位の時間繋いでいたか、そして影響(ハッキングの)を推測
         する事ができるからである。 
   

	絶対にログを消してはいけない!?

	ログを消すとハッカーが浸入したとアドミンに簡単に知られてしまいます。
良いプログラムでログを修正するようにさせてください。
ZAP(あるいは ZAP2 )がしばしば最良と言われていますが実際はそうでは
ありません。それらはすべてはユーザーの最後のログインデータを0で
上書きしてしまいます。
CERT はすでにそれらを調べる単純なプログラムを発表しました。よって
ログを消す事はadminは誰がルートアクセスしたかすぐに知り、貴方が仕組
んだ全て仕事が無駄になるでしょう。もう一つの重要なポイントは
ZAPはログファイルを発見することができなかった場合それを知らせてくれま
せん。コンパイルの前にパスを必ずチェックしてください。
あとは( CLOAK2 のような)データを変えるプログラムあるいは
 (CLEARのような)項目をデリートするものを手に入れなさい。 

通常あなたはログを修正するためにルートにならなければ
ならないに違いありません。 けれどももしあなたがルートを
ハックできなかったらでどうでしょう? 多くの事は出来ないに違い
ありません。貴方がいるコンピューターにrloginしてあやしくない
LASTLOG データを所有者が次にログオンする時、表示されるデータに
加えてください。
それでもし所有者が「 localhost 」を見るなら怪しまれないでしょう。
具体例:target_hostにログインした後 rlogin target_host

どこログファイルはディフォルトで置かれているか?

UTMP : /etc or /var/adm or /usr/adm or /usr/var/adm or /var/log
WTMP : /etc or /var/adm or /usr/adm or /usr/var/adm or /var/log
LASTLOG : /usr/var/adm or /usr/adm or /var/adm or /var/log

いくつかの古いUNIXではlastlogデータ は$HOME/.lastlogに書かれている。

5.ほんのわずかを残さないでください

私はログから自身の痕跡をを削除した多くのハッカーに出会い
ました。 けれども彼らはマシーン上の別の物を消すのを忘れて
いました。/tmp と$HOMEのファイルです。
 

Shell History
いくつかのシェルがタイプされたすべてのコマンドを
ヒストリーファイルに残します。(環境やコンフィギュレーション
よって異なります。これはハッカーにとって非常に良くありません
最良の選択はログインして、すべてのヒストリーファイルの時間を
チェックした後であなたの最初のコマンドとして新しい
シェルを始動させる。

sh:  .sh_history
csh: .history
ksh: .sh_history
bash:.bash_history
zsh: .history

Backup Files : dead.letter, *.bak, *~ 


あなたが去る前に、ls -altr をしなさい。


あなたがログアウトする時、 トレースされる事なく
.history を削除するであろう4つの csh コマンドがあります。 

       mv .logout save.1
       echo rm .history>.logout
       echo rm .logout>>.logout
       echo mv save.1 .logout>>.logout

Appendex:使えるプログラム

          
  Change: Changes fields of the logfile to anything you want
      
  Delete: Deletes, cuts out the entries you want
  
  Edit:   real Editor for the logfile
  
  Overwrite:
              just Overwrites the entries with zero-value
              bytes.
              Don't use such software (f.e. zap) - it can
              be detected!


                      LOG MODIFIER 
  ah-1_0b.tar: Changes the entries of accounting information
                
  clear.c:  Deletes entries in utmp, wtmp, lastlog
           and wtmpx
  
  cloak2.c: Changes the entries in utmp, wtmp and
            lastlog
  
  invisible.c: Overwrites utmp, wtmp and lastlog with
                predefines values, so it's better than
                zap.
                Watch out, there are numerous inv*.c !
  
  marryv11.c: Edit utmp, wtmp, lastlog and accounting
              data - best!
  
  wzap.c:  Deletes entries in wtmp
  
  wtmped.c: Deletes entries in wtmp
  
  zap.c: Overwrites utmp, wtmp, lastlog - Don't
         use! Can be detected!
−−−−−−−−−−end of Theory and Background ----

練習編に続く..