Ти ніколи не замислювався про те, скільки інформації про себе ти залишив у
системі? Якщо ні, то даремно. Ось, наприклад маленький шматочок з файлу error.log
(Apache web server):
cut
[Fri Apr 13 00:40:11 2001] [error] [client 127.0.0.1]
File does not exist: d:/www/cgi-bin/phg.cgi
[Fri Apr 13 00:40:12 2001] [error] [client 127.0.0.1]
File does not exist: d:/www/cgi-bin/tigvote.cgi
cut

Ну що? Думка відразу змінилося? А адже адміну системи не складе ніяких
праці обчислити звідки ти виліз і написати листа твого провайдера, пославши
шматочок лода. Звичайно ситуація змінюється якщо ти сканував через проксі або
логін у систему, телнету через кілька шелов, але результат на лице!
Моєму знайомому одного разу сам провайдер надіслав логи його CGI сканування на
кілька МБ — напевно трафіку шкода стало >).
* примітка:
Після сканування свого сервера на cgi скрипти, я виявив, що мій error.log
збільшився на 67 кб., база сканера становила 650 скриптів. Хоча запити були
на меншу кількість інформації, але все ж уяви, скільки проходить КБ
через провайдера після сканування хоча б 50 сайтів. А таких як ти, в мережі
тисячі.
Але у нас сьогодні інша тема, я б хотів загостриться на питанні де ж все-таки
зберігаються лог файли? Нижче будуть розглянуті найбільш відомі на мої погляд
системи і сервера.
Unix OS’s
# вся інформація про входах в систему:
/etc/utmp
/var/log/utmp
/usr/adm/wtmp
/var/log/wtmp
# коли і звідки заходили під своїм логіном останній раз:
/var/log/свіжіші
/usr/adm/свіжіші
* В UNIX просто так логи видалити не вийти (звичайно якщо ти не root). Також
зручно використовувати так звані log wiper’и, які заздалегідь
автоматизовані на зачистку логів (залежно від ОС).
Win NT*
# лог файли з сервера:
WINNTsystem32logfilesW3SVC1
..W3SVC3
..W3SVC4
# FTP лог файли:
WINNTsystem32logfilesMSFTPSVC3
..MSFTPSVC4
* всі лог файлів у кожній директорії зберігаються за датою (наприклад in010411.log —
2001 11ое квітня).
** На NT видаляє логів під nobody іноді можливо (все залежить від прав
доступу і мізків адміністратора). Якщо спробуєте стерти лог файл на
поточну дату то так просто не вийде, доведеться зупиняти web server.
Sambar WEB server
..Sambarlog*.log
Apache Web server
# помилкові запити:
../apache/logs/error.log
# доступ до файлів:
../apache/logs/access.log
* Для web server’mssql ів потрібна зупинка сервера.
Зачистка
Видалення вмісту лог-файлів без застосування спеціалізованих
програм можливе лише при роботі з root шелла !!!!
Як всім нам стало відомо, все більше і більше людей починають
цікавитися власною безпекою. Все більше хвилюють наслідки
зломів в різних областях хакінгу, спливають теми, що стосуються
знищення слідів злому системи. Явною причиною цього є
зацікавленість людей у проблемі зачистки лог-файлів. Ця стаття допоможе
вам детально розібратися в механізмі програмної запису даних про
песещениях і дії в системі, а так само відповість на всі подібні питання.
Для початку хочу розбити всі уявлення читача про можливість відсутності
програмної запису лог-файлів. Добрий адмін, мати його за ногу,
приставлений до коштовного або ж популярного ресурсу пише все: від спроб
введення неправильного логіна, до дій в доступі на FTP і виконання
комманд. Тобто після злому системи всі до єдиного пункту твоєї атаки
прописані в різних лог-файлах розкиданих по системі. Таким чином,
адміністратор, при виявленні злому здатний з лог-файлів вивчити твій
метод дії + твої дані. Або ж, якщо ти був досить розумний, дані
ланцюжки використовуваних проксі-серверів. За традиційним методом обчислюється
провайдер і якщо не були застосовані методи призводять до збивання номери
АТС, тебе сповивають «маски». Це всього лише стандартна схема, якої новини
доходять до мене щодня. Якщо тобі судилося піти під підсудна справа
без допомоги стукачів, то спеленают тебе саме так. Як ви бачите, початкової
помилкою приводить до подібного результату, є ігнорування зачистки
лог-файлів при зломі системи. На мій погляд, після довгого язика саме
вони стають причиною затримання хакера.

Локалізація лог-файлів

Оскільки я віддаю перевагу роботі з Юнікс системами, нижче будуть
описані лог-файли саме Юнікс систем. Залежно від версії і
різновиди систем Юнікс файли і містять їх директорії будуть
різні. Найбільш поширені директорії лог-файлів такі:
/var/log — використовується в деяких версіях Solaris, LinuxBSD і FreeBSD.
/usr/adm — поширене серед систем ранніх версій.
/var/adm — тут містяться логи більш свіжих систем.
/etc — більшість версій Юнікс зберігають utmp, деякі wtmp з syslong.conf.
Залежно від директорії в якій ви знаходитесь распологаются
відповідні лог-файли:
свіжіші — Логи останніх логінов кожного користувача, і іноді логи останніх
невірно введення логінів.
loginlog — Запису введення всіх невірних логінов.
messages — Запису виведення на системну консоль (тобто все те, що пише тобі на
термінал система ) та інші повідомлення syslog.
security — Запис всіх атак, що використовують uucp систему.
sulog — Логи команди SU.
acct OR pacct — Пише команди, використовувані кожним користувачем.
access_log — Для серверів NCSA HTTPd. Цей журнал зберігає інформацію про сайти,
контактуючих з сервером.
aculog — Зберігає записи вхідних модемних зв’язків.
utmp — Запис всіх відвідувань користувачами системи.
utmpx — Подовжений utmp.
uucp — містить логи пересилок, різних контактів і активності
користувача.
vold.log — складальник зовнішніх помилок лог-файлів.
xferlog — логи FTP доступів.
Також існують деякі типи лог-файлів не мають специфічних
призначень, але виконують запис певних дій. Таких файлів
теоретично досить багато. Перебуваючи в системі, варто вивчити всі
вищезгадані файли і безліч інших файлів на наявність запису лода.

Не варто недооцінювати їх функцію. Не важливо, що ви робите в системі —
СИСТЕМА ПИШЕ ВСЕ!!! Витративши хвилин 20-30 на вивчення та коригування
специфічних файлів ви позбавите себе від головного болю з приводу
наслідків справи. Я наведу приклад файлів, без затирання яких не
відбувається жодна моя атака. Це xfer файл — файл запису спроб переміщення
та пересилання файлів в систему і ( або ) з неї. І rexe файл — запис спроб
виконання команд, які заборонені в системі (тобто припустимо, команди
недоступні з даного шелла).

Існує безліч лог-файлів, про які хакер може і не здогадуватися.
Більшість адміністраторів керуються простим правилом —
розташовувати лог-файли так, що б йому вони були легко доступні для читання. Я
давно простежив тенденцію розміщення файлів в кореневих директоріях. Як я
помітив, з роками, можливо із-за любові сисопов до комфорту і їх вродженої
ліні, файли переміщуються все ближче і ближче до кореневих каталогів. Деколи я
знаходив їх у відкритому вигляді. Іноді логи валялися в найнепередбачуваніших
місцях.

Кілька разів мені траплялися текстовики зі списками лог-файлів системи,
причому один із списків зберігався у смітнику. Ймовірно, втомлений від постійних
копань адмін складав їх для того, щоб самому простіше було розібратися і
знайти численні логи. Настійно реккомендую вивчати всі текстові
файли системи. В першу чергу файли робочого столу і кореневих директорій,
оскільки саме в них зберігається найбільш часто використовувана адміністратором
інформація.

Вершки теми

Поряд з традиційними лог-файлів Юнікс містить так звані
«історії шелл», тобто повної запису активності користувача при роботі з
одним з шелл системи. Бажано затирати хісторі файли після
завершення кожної роботи з системою, але будьте обережні з підлими
сисопами. У них зараз мода пішла: створювати лінки для активації хісторі
файлу, які викладаються в директорії недоступні для читання хакера. В
в результаті виходить щось на зразок активного pgp disk’а.
Сьогодні вони готові на все, і ніколи не знаєш, чого від них чекати. Я вже давно
нічому не дивуюся.
Ще один файл, який ви повинні перевірити, файл запису поштових операцій
певних користувачів. Ім’я цього файлу різному. Іноді це може бути
фрагмент syslog файлу. Syslog — це програма запису певних дій в
певні файли. Для того, щоб з’ясувати куди програма пише логи
достатньо вивчити файл конфігурації syslog.conf. Після виявлення даного
файлу вся лог-захист системи руйнується. Syslog потрапляє під ваш тотальний
контроль.
Файл повинен розташовуватися в /etc директорії !!!
І пам’ятай! Скрізь і завжди ведуться логи, навіть на твоєму комп’ютері можна відкопати
стільки інфи, що мало не здасться, навіть твій PGP з порнухою
розшифровувати не доведеться.