==============================================================================
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
--------------------[ previous ]---[ index ]---[ next ]---------------------

浜様様様様様様様様様様様様様様様様様様様様様様様様様様様様様様様様様様様様様様
藩HACKiNG様幼陳陳陳 C0ME NASC0NDERSi DENTR0 UN SiSTEMA UNiX 陳陳陳塚様様様様夕
                          E ViVERE fELiCi E CONTENTi

Autore: PiGPeN

Consumo:
        1 Te' Guizza alla pesca
        1 confezione di pistacchi
        1 coca-cola
        1 uovo kinder (con un fottutissimo gnomo come sorpresa, tra l'altro
                       ne avevo gia' uno uguale :( 

Musica ascoltata:
        Tampa Florida 12/19/73 (Grateful Dead)
        Reckoning (Grateful Dead)


Bene questo articolo ho deciso di scriverlo per rendersi conto di quanti
log ci sono all'interno di un sistema unix e come molte volte e' difficile
controllarli tutti (anche da parte dell'amministratore).

Cominciamo da quelli piu' odiati:

utmp
wtmp
lastlog

Questi tre file sono ben conosciuti da chi si occupa di hacking per il
semplice fatto che all'interno di essi vengono scritti l'ora, il giorno,
la porta da cui e' venuta la connessione e l'ip.

Esempio:

last PiGPeN

PiGPeN    ftp          localhost        Mon Dec 22 18:09 - 18:09  (00:00)
PiGPeN    ttyp1        porcile.net      Mon Dec 22 18:05   still logged in
PiGPeN    ttyp3        pigland.com      Mon Dec 22 15:41 - 15:47  (00:06)
PiGPeN    tty1                          Mon Dec 22 14:57 - down   (00:31)
PiGPeN    tty1                          Mon Dec 22 14:49 - down   (00:07)
PiGPeN    tty2                          Mon Dec 22 14:36 - down   (00:11)

Una volta, soprattutto per le versioni come il SunOs, era possibile modificare
questi file da parte di ogni utente, ora invece e' richiesto l'accesso come
root, cio' vuol dire che molto spesso si fa hacking senza essere sicuri al
100% di poter coprire le tracce.
In questi casi, conviene sempre telnettarsi in giro e poi entrarci in modo da
coprire il proprio ip.
Una volta entrato nel sistema, tenta di utilizzare qualche exploit per avere
accesso root, e poi utilizza un programma come zap per rimuovere l'utente dai
file di log.
NON MODIFICARE uno di questi file con un editor, altrimenti lo incasini per
bene, usa un programma apposito!

I programmi come lo zap  non coprono tuttavia le tracce completamente, infatti
mentre non siete visibili con comandi come who, i vostri processi possono
essere notati da parte del root.
Infatti con un semplice "ps" l'amministratore si puo' accorgere della vostra
presenza.
Per evitare che questo avvenga ci sono in giro molti rootkit che modificano
tale comando non visualizzando processi indesiderati.

Se non riuscite a coprire le tracce x mancanza dell'accesso root telnettatevi
dalla shell che state usando con lo stesso login, in modo che quando l'utente
si collega non veda scritto il vostro ip, ma localhost e quindi non si
insospettisca piu' di tanto.
Comunque l'user puo' risalire all'ip usando il comando "last nomeutente".

sulog

Questo file logga l'utilizzo del comando "su"  che viene usato dagli utenti
per prendere i privilegi come root.
Molti hackers lo evitano, io ritengo che "su" sia un buon modo per cambiare
utente e rimanere nascosto dal comando "who", oltre a non essere loggato
nei files precedenti, con il nuovo utente.
Infatti sulog e' un file costituito soltanto da chi e' passato a root e non
logga quindi se si passa da un user all'altro.

xferlog

questo figlio di puttana logga qualsiasi trasferimento che avviene via ftp,
ecco un esempio:

Mon Dec 22 18:09:30 1997 1 localhost 753 /etc/passwd b _ o r PiGPeN ftp 0 *

La cosa migliore e' evitarlo facendo un cat del file che vi interessa via
telnet, oppure spedendovi i file ad un indirizzo.

Domande e Risposte:

Come posso fare un upload senza essere loggato?

Ci sono vari modi:

1) Spedisci il file all'utente e aspetti che arriva
2) Usi il copia ed incolla di win per esempio in questo modo:
   cat > zap << /etc/passwd

Se il root fa un bel "ps":

nel primo caso vedra' cat /etc/passwd
nel secondo solo cat

Come posso fare in modo che i miei files restino nel sistema x un bel po'?

Ok rispondo con un esempio: supponiamo che devo nascondere una suid shell
e altre cosette.

(siete nella homedir o in una dir con permesso di scrittura)

Ecco come farei:

mkdir "..     "
cd "..     "

Questa e' una directory difficile da trovare, perche':

1) E' nascosta
2) Gli altri non sanno il numero degli spazi (e probabilmente non sanno
   nemmeno che si puo' usare il cd in questo modo :)))

Date ai file nomi non sospettabili (che ne so lettera, relaz ...) cambiate la
data con "touch" e metteteli nascosti!!!
Dopo che ne avete fatto uso crittate tutto!
Se dovete eseguire un comando per esempio il telnet:

Non scrivete: telnet nomesito
e nemmeno: telnet

1) copiate il telnet nella home dir con nome insospettabile
2) scrivete il nome
3) scrivete open nomesito
4) ......

In questo modo si evita che gente idiota, veda quello che state facendo.

Se volete che un file sia difficile da cancellare salvatelo con un trattino
davanti:

-lettera

cosi' l'utente (se e' un idiota) fara':

rm -lettera  e il file non verra' cancellato perche' sara' interpretato
come un parametro :)

Dove posso vedere se mi loggano?

- Per cominciare controlla questo file:

/etc/login.defs

- cerca il tuo ip con un grep
- se sei root controlla i cron

Tutto qui?

Beh se non vi basta cominciate a girare su qualche VMS e vedrete cosa vuol
dire vivere una vita loggata!
Il problema e' che c'e' sempre piu' controllo e molti non se ne accorgono
nemmeno: tutto questo va contro il principio della liberta' di informazione e
la definizione di "rete anarchica" :(

                                                             pIGpEN

-------------------------------------------------------------------------------
In coerenza con lo stile PiGPeNiano :)

Autore: bELFaghor :)
Consumo: 1 coca~cola
Musica ascoltata: Queen of winter, throned
                  Vempire or dark faerytales in phallustein (Cradle of filth)

The Queen of death/white winter enthroned
Evil resplendent in dusk red seething skies
Foam/flecked nightmares drag a moon
of draconian design...

Dopo essere entrati in un sistema e' sempre buona regola digitare "unset
HISTFILE" affinche'il file di history (dove vengono loggati tutti i comandi
che lanceremo sul sistema) venga eliminato non appena lasceremo il server
vittima e per evitare che ne venga scritto uno nuovo conviene linkarlo a
null con il comando "ln -s /dev/null .bash_history" (il file history si
trova solitamente nella dir dell'utente e il prefisso "bash" cambia a
seconda della shell utilizzata; ad esempio se utilizzate la tcsh il file
history sara' .tcsh_history! :)
Un'altra cosa da aggiungere e' che fa' sempre bene controllare le directory
/var/adm e /var/log, non sia mai troviate qualche file di log in piu'! :) E 
soprattutto fate un grep di tutti i file cercando il vostro ip! :)

                               bELFaghor Nocturnus Daem0n

--------------------[ previous ]---[ index ]---[ next ]---------------------
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
==============================================================================