Настоящие ниндзи не удаляют логи, а модифицируют их!

Удаленный лог свидетельствует о наличии хакера в системе. Вам нужно раздобыть хорошую программу для модификации логов. В Сети нахваливают ZAP (или ZAP2), но она только заполняет нулями последнюю запись о логине пользователя. Против нее уже создана другая программа. Сисадмин тут же узнает, что кто-то получил доступ к корню. Все ваши труды окажутся напрасными.

И потом ZAP не дает сообщения, если не находит логфайлы. Я рекомендую вам использовать СЮАК2 для изменения данных или CLEAR для их полного удаления.

Естественно, для модификации логов вы должны иметь статус root. Впрочем, возможен еще один вариант. Сделайте rlogin на компьютере, которому вы подключились, добавьте новые «неподозрительные» данные LASTLOG, которые будут показаны владельцу. Он ничего не заподозрит, если увидит «localhost».

Многие дистрибутивы Unix получают баг с командой login. Когда вы выполняете ее вновь после того, как уже зарегистрируете логин, она переписывает логин в UTMP (файл показывает узел, с которого вы пришли) с вашим текущим tty.

Это еще один способ использования вашей текущей учетной записи логина. Некоторые оболочки сохраняют файл history (в зависимости от конфигурации окружения) вместе со всеми командами, которые вы печатали. Для хакера это провал. Поэтому после ввода первых команд все время проверяйте файл history в вашем $НОМЕ.

Несколько полезных советов

1. Ломайте чужие пароли только на своей машине и только в кодированной части диска. Если вы будете использовать для ломки паролей, к примеру, институтский компьютер, системный администратор заметит не только сам процесс, но и узнает сайт, с которого был взят парольный файл.

2. Если вы используете такие программы, как урх, iss, satan или другие эксплоиты, то меняйте их названия перед выполнением атак.

3. Если вы хакнули систему, то инсталлируйте в нее «лазейки» — ping, quota или логин. Не забудьте подправить atime и mtime файла.

Обсуждение закрыто.