Log Cleaners

[n0mor3]

Um texto que fala sobre apagar os seus ratros (logs) após conseguir acesso.

Log Cleaners

Depois de ter invadido o sistema, colocado o seu backdoor e seu sniffer, o hacker necessita limpar os seus rastros. Em vários sistemas operacionais, existem sistemas de auditoria, que registram as operações do usuário em arquivos do sistema. Isto também pode ocorrer com aplicativos servidores Web, que têm suas operações registradas.


No sistema Linux podemos destacar os seguintes:


messages

localização: /var/log/

função: registrar todas as operações do sistema ou de programas do mesmo.


xferlog

localização: /var/ log

função: registrar todas as operações logon/logoff realizadas pelo daemon de ftp.


secure

localização: /var/log

função: registrar todas as operações realizadas por tcp-wrappers.


wtmp

localização: /var/log

função: registrar os logons de usuários. É um arquivo binário que trabalha em conjunto com a função who para a identificação do usuário.


mail.log

localização: /var/log

função: registrar os envios e recebimentos de e-mails no sistema.


bash_history

localização: /home/user

função: armazena os últimos 1000 comandos digitados pelo usuário. No caso do root este arquivo fica em)seu diretório de trabalho (/root).

    Dica de segurança de Oldm@n

    O bash_history é um dos arquivos mais importantes do sistema Linux1 pois normalmente é esquecido por invasores inexperientes. Em 70% de casos de invasão, este arquivo é esquecido de ser modificado pelo invasor. Até hackers experientes esquecem do mesmo. Logo, se torna um dos principais meios de identificar um hacker e descobrir suas ferramentas no sistema.

No ambiente NT; o log no sentido como conhecemos no Linux, só entra E ação quando a auditoria do sistema está ativa. Caso a mesma não esteja ligada, os arquivos de log não serão criados. Os principais arquivos de log NT são:


AppEvent. Evt

localização: \systemroot\system32\config

função: Log das principais operações e eventos de aplicativos do sistema.


SecEvent. Evt

localização: \systemroot\system32 \config

função: Log dos principais eventos de segurança.


SysEvent. Evt

localização: \systemroot\system32\config

função: Log das principais operações e eventos do sistema.

O logcleanner limpa esses arquivos excluindo as entradas feitas pelo hacker no sistema, ocultando assim sua presença. Para o administrador fica despercebida toda sua rotina de invasão.


Ferramentas

Os logcleanners mais utilizados são os seguintes:


hideme.c

Autor: fusys

Plataforma: Linux/Unix

URL: http://www.s0ftpj.org/tools/hideme.c

Licença: GPL

De acordo com o seu autor, o hideme limpa os arquivos Utmp, Wtmp, LastLog, Messages, XferLog, Secure e MailLog. A sua sintaxe de utilização é a seguinte:

hideme <user> <host> <IP>

Muitos hackers o utilizam para limpeza de suas invasões, fazendo parte das ferramentas básicas de um atacante.


rhclean.c

Autor: Sultrix

Plataforma: Linux(Red hat especificadamente)

URL: http://www.ussrback.com/UNIX/penetra...pers/rhclean.c

Licença: GPL

Trata-se de um simples e específico e nem pouco sutil programa de limpeza de logs exclusivamente feito para o Linux Red Hat. Não é muito recomendado, mas pode ser uma ferramenta interessante de estudo para o administrador. Sua sintaxe é a seguinte:

/rhclean

Limpará todos os arquivos de log do sistema.


zap2.c

Autor: Desconhecido

Plataforma: Linux/Unix (Solaris)

Licença: GPL

Limpa os arquivos Utmp, Wtmp, LastLog. É muito simples, mas utilizado

principalmente em sistemas Solaris para limpeza. Sua sintaxe é a seguinte:

zap2 <user> <host>

    A maioria dos logcleanners não cuida da limpeza do bash_history, para isto os hackéas mais experientes desviam os registros do bash_history para diretório Idevinuíl, através de um hard link. O comando é o seguinte:

    oldmanbox# ln -s /dev/null ~ /.bash_history

--


celsetupb.exe

Autor: Duke Engineering

Plataforma: Windows NT

URL: http://www.packetstormsecurity.org/N...g/celsetup.exe

Licença: GPL

O Clear Event Log é um utilitário que limpa o log de eventos em segurança, sistema e aplicações. E simples e de fácil operação e permite limpá-los individualmente ou todos. Necessita da DLL Msvbvm50.dll, para ser executado, neste pacote o mesmo vem incluído.

__________

Créditos: Oldm@n
(Corrigido por Summ3rs)