• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Гостевая статья Как очистить записи и журналы в Linux

Clearing-Tracks.png



Очистка записей и журналов в Linux
Почему это важно?
Сокрытие записей является заключительным этапом процесса тестирования проникновения перед написанием отчета. Он предполагает очистку или стирание всей активности злоумышленника, чтобы избежать обнаружения.

Так что это жизненно важно в цикле тестирования проникновения, теперь с оборонительной точки зрения это действительно может проверить обработчики инцидентов и синяя команда и проверить их способность обнаружить нападающего и найти все, что нападающий, возможно, забыл очистить.

Это, как правило, самый большой вектор ошибки нападающего и именно там профессионалы отсортированы от любителей.

С точки зрения злоумышленников, он/она должен уклоняться от обнаружения с помощью IDS, тем самым предотвращая любые действия по реагированию на инциденты, и должен очищать любые журналы или бэкдоры, которые могут быть обнаружены группой судебно-медицинской экспертизы.

Что атакующий будет и должен делать
  1. Очистить логи
  2. Изменить реестр или очистить
  3. Удаление любых файлов, которые вы создали

Я собираюсь рассмотреть основные принципы, но в большей степени для Linux систем, так как именно здесь мои знания и опыт.
Очистка ваших записей также будет зависеть от привилегий, которые вы имеете в системе (если вы атакуете ее удаленно).


Система Linux

Файлы журнала хранятся в каталоге /var/log

- Редактирование файлов будет действительно не легким, я бы рекомендовал использовать инструмент под названием shred для удаления или изменения файла.

Что такое Shreed
Shreed
- это инструмент, позволяющий удалить файл или данные навсегда и препятствующий восстановлению данных, поскольку он несколько раз перезаписывает файл с помощью 1 s и 0s (при удалении файла на компьютере он действительно не удаляется, он просто помечается как пространство, в которое можно записать данные)

Shred очень популярен при стирании жестких дисков и т.д., я использовал его много раз, прежде чем удалить или продать мои диски.

Параметры при использовании команды Shred

Команда Shred используется для повторной перезаписи указанных файлов, что затрудняет или делает невозможным восстановление данных даже дорогостоящим оборудованием или программным обеспечением. Доступные параметры включают:
  • -f изменяет разрешения, чтобы разрешить запись при необходимости
  • -n (iterations = N) перезаписывает N раз вместо значения по умолчанию, которое составляет три раза
  • -s (размер = N) указывает количество байтов для уничтожения
  • -u обрезает и удаляет файлы после перезаписи
  • -v показывает подробную информацию о прогрессе
  • -x не округляет размеры файлов до следующего полного блока
  • -z добавляет окончательную замену нулями, чтобы скрыть измельчение
  • -u удаляет файл после перезаписи

Общие файлы журналов и какие данные они содержат

/var/log/auth.log: логи аутентификации

/var/log/kern.log: логи ядра

/var/log/cron.log: журналы Crond (задание cron)

/ var / log / maillog: журналы почтового сервера

/ var / log / httpd /: каталог доступа и журналов ошибок Apache

/var/log/boot.log
: журнал загрузки системы


Чтобы стереть файл:

Shred -vfzu auth.log

История bash сохраняет запись всех команд, выполняемых пользователем в командной строке Linux.
Код:
Stored in: /home/user/.bash_history

Root user example: /root/.bash_history



>.bash_history  – Essentially clears the file with null redirect


Руководство
—————
 
Последнее редактирование модератором:
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!