آموزش های تخصصی شبکه و امنیت و ضد امنیت

پاك كردن رد پا به صورت فوري 
خوب پاک کردن ردپا در سیستم عامل های سازگار با یونیکس مثل لینوکس . ( البته یکمم درباره اواع سولاریس میگم تا حد توان )
فایل های ثبت رخداد در سیسته عامل های سازگار با یونیکس به صورت فایل های متنی ساده ASCII ذخیره میشود . بهترین راه این است که ما پیکر بندی فایل syslogd به گونه مورد نظر خود تغییر بدیم تا موارد مشکوک ذخیره نشوند .( می توانیم این فایل ها را با یک ویرایشگر ساده مانند Vi و emacs ویرایش کنیم . ) البته تکرار میکنم نه همه آنها . ( البته کار غیر معقولانه تر اینه که بعضی ها با ین سکریپت های آماده این کارو انجام میدن مثل اسکریپت بالا ( البته کسی ناراحت نشه ها ) اینا دو بدی دارن . 
1: بیشتر این اسکریپت ها کل این فایل رو ویرایش میکنن وا ین یعنی .......
2: خودشون رد پا میزارن و یه مدیر باهوش سریعا میفهمه .

تغییر پیکر بندی syslogd:
این فایل syslog.conf مشخص کننده پیکر بندی برنامه syslogd است و به این برنامه میگوید که در کجا و کدام فایل رخدادهای اتفاق افتاده را ثبت کند . در مرحله اول ما باید دارای مجوز root شویم و این فایل را یک نگاهی بندازیم و ببینیم کجاهای این فایل مربوط به ما و کارهای ماست بعد اونارو پاک یا ویرایش کنیم . و به فایل syslog.conf رفته و آن را ویرایش کنیم تا اعمالی که ما میخوایم انجام بدیم رو ثبت نکنه البته باید در آخر کار تنظیماتو به تنظیمات اولیه برگردونیم . ( این آخری خیلی خبیثانه بود نه ؟؟؟ )
این مطمئن ترین راهه .
خوب حالا نکات مهم در پیکر بندی syslog.conf :
1:در اکثر سیستم های لینوکس پیام های ثبت رخداد توسط syslog.conf به /var/log/messages هدایت میشه و البته در سولاریس var/adm/log/messages ( که البته میتونه توسط ادمین عوض شه )( بعد میگن سولاریس از لینوکس کپی نزده ... )

2:در اکثر این فایل ها دستور زیر وجود داره :

Auth.info /vear/log/auth.log

که در واقع این دستور تلاش های صورت گرفته برای لاگین و یا استفاده از دستور Su و یا استفاده از reboot و دیگر وقایع مرتیط با امنیت را جمع آوری میکنه شما برای دست کاری فایل ثبت رخداد اینجور وقایع باید به زیر شاخه /vear/log رفته و فایل auth.log را ویرایش کنید .

نکته تستی : ( اینقدر برا کنکور خونذیم موخمون گوزیده ) کلا پوشه /vear در اکثر اوقات مربوط به ویرایش فایل های ثبت رخداد است .


touch/var/log.auth.log
chown root /var/loglauth.log
chmod 600 / var/loglauth.log


و در سولاریس :


touch /var/adm/loginlog
chmod600 /var/adm/loginlog
chown root /var/adm/loginlog
chgrp sys /var/adm/loginlog


نکته تستی : 100% در کنکور : لینوکس با فایل هایی که با (.) شروع میشن مشکل داره و آنها رو با ذستور ls نشون نمیده و با ls -a نشون میده ( گرفتید برا چی میگم که ایم پوشه var رو بزارین ... و یک space هم آخرش ..... حالا هکره خودشو پاره کنه تا وارده این فولدر بشه )

فایل پیکر بندی اصلی ما در در /etc/syslogd.conf قرار دارد .

راه حل تستی : ( این راهیه که معلم خصوصی ها 100 تومن میگیرن میدن ) سیستم رو با یک root kit مثل Knark یا Adore یا ....... آلوده کنین . خودشون همه این کارا و چند تا کار اضافه ترم براتون میکنن . این یعنی آخره خفیّت ( توضیح الواضحات : خفیّت : مخفی بودن و ....... )

اما فایل های ثبت رخداد در اینگونه سیستم ها در /var/log قرار میگیرند که بعضی از آنها عبارتند از : /var/log/secure ( که رخداد های امنیتی در آن ذخیره میشود ) var/log/message ( پیام هایی همچون مولفه های سیستمی مثل دایمون . هسته و ..... .) var/log/httpd wtmp ( اینم مثل بالایی است ولی خروج ها هم ثبت میکنه ) /usr/adm/last log ( این فایل نام ماشین و زما ورود و خروج شما را ثبت میکند )

ابزار های مربوطه :
ابزار zap : این ابزار آخرین ورود ها را باز نویسی میکند و جای آن صفر میزارن .
ابزار Cloack 2 : این ابزاز داده های فایل ثبت رخداد را تغییر میدهد .
ابزار Clear : فایل های ثبت رخداد رو پاک میکنه .