Программы типа "троянский конь"
Очистка системных журналов
Не желая предоставлять вам (а тем более – правоохранительным органам) каких-либо сведений о факте получения доступа к системе, взломщик, как правило, постарается очистить системные журналы от следов своего присутствия. В настоящее время существует много утилит очистки журналов, которые в большинстве случаев входят в набор отмычек. К таким программам, в частности, относятся zap, wzap, wted и remove. Однако обычно вполне достаточно даже простого текстового редактора, такого как vi или emacs.
Конечно, при удалении следов своей деятельности первый шаг злоумышленника заключается в изменении системных журналов регистрации. Для определения соответствующей методики достаточно взглянуть на конфигурационный файл /etc/syslog.conf. Например, из показанного ниже файла syslog.conf видно, что большинство системных журналов регистрации находится в каталоге /var/log/.
[quake]# cat /etc/syslog.conf # Регистрация всех консольных сообщений уровня ядра. # В процессе регистрации экран сильно засоряется избыточной информацией. #kern.* /dev/console # Регистрация всех сообщений (кроме почтовых) уровня info или выще. # Не пытайтесь регистрировать сообщения личной аутентификации! #.info;mail.none;authpriv.none /var/log/messages # Доступ к файлу authpriv ограничен. authpriv.* /var/log/secure # Регистрация всех почтовых сообщений в одном файле. mail.* /var/log/maillog # Everebody получает сообщения об опасности, плюс их регистрация # на другой машине. # .erne r g * # Сохранение сообщений об ошибках почты и новостей уровня err и выше # в специальном файле. uucp,news.crit /var/log/spooler
Обладая этой информацией, злоумышленнику достаточно просмотреть содержимое каталога /var/log, чтобы найти в нем основные файлы журналов. Выведя на экран содержимое каталога, мы найдем в нем файлы журналов всех типов, включая сгоn, maillog, messages, spooler, secure (журналы TCP-оболочек), wtmp и xferlog.
Взломщику понадобится изменить много файлов, в том числе messages, secure, wtmp и xf erlog. Поскольку журнал wtmp имеет двоичный формат (и обычно используется только командой who), для его изменения взломщик, как правило, прибегнет к помощи одной из отмычек. Программа wzap предназначена специально для удаления из этого журнала информации о заданном пользователе. Для того чтобы воспользоваться этой программой, достаточно ввести, например, следующую команду.
[quake]# who./wtmp joel ftpd!7264 Jul 1 12:09 (172.16.11.204) root ttyl Jul 4 22:21 root ttyl Jul 9 19:45 root ttyl Jul 9 19:57 root ttyl Jul 9 21:48 root ttyl Jul 9 21:53 root ttyl Jul 9 22:45 root ttyl Jul 10 12:24 joel ttyl Jul 11 09:22 stuman ttyl Jul 11 09:42 root ttyl Jul 11 09:42 root ttyl Jul 11 09:51 root ttyl Jul 11 15:43 joel ftpd841 Jul 11 22:51 (172.16.11.205) root ttyl Jul 14 10:05 joel ftpd3137 Jul 15 08:27 (172.16.11.205) joel ftpd82 Jul 15 17:37 (172.16.11.205) joel ftpd945 Jul 17 19:14 (172.16.11.205) root ttyl Jul 24 22:14 [quake]# <strong>/opt/wzap</strong> Enter username to zap from the wtmp: joel opening file… opening output file… working… [quake]# <strong>who./wtmp.out</strong> root ttyl Jul 4 22:21 root ttyl Jul 9 19:45 root ttyl Jul 9 19:57 root ttyl Jul 9 21:48 root ttyl Jul 9 21:53 root ttyl Jul 9 22:45 root ttyl Jul 10 12:24 stuman ttyl Jul 11 09:42 root ttyl Jul 11 09:42 root ttyl Jul 11 09:51 root ttyl Jul 11 15:43 root ttyl Jul 14 10:05 root ttyl Jul 24 22:14 root ttyl Jul 24 22:14