Page 88 - بسم الله الرحمن الرحيم
P. 88
============
هناك 3ملفات مهمه جهدا :
WTMP -للتسجيل عند الدختول و الخروج ) ( log on/off - log in/logout + tty + host
UTMP -للمتواجهدين اونلين حاليا !
LASTLOG -تصسجيل من اين جهاءت هذه logins
** سنتكلم عنهم باستفاضه و تصعمق فيما بعد ) في جهزء اختر من نفس الموضوع (
كل عملية دختول بواسطة ال telnet , ftp , rloginيتم تصسجيلها في هذه الملفات ..لبد حذف دختولك من
هذه الملفات و ال سيتم معرفة التصي :
-ماذا قمت بالختتراق !!
-من اي مكان انت قاد.م
-كم من الوقت بقيت اونلين ..
ختطا يقع فيه الجميع بنسبة % 99.9مننا ) حتى انا كنت اقع في نفس هذا الخطا زمان ..لكن اتصعلمت ( و
هو انك تصمسح اللوقات logfiles
علطول ..هذا مجدي في حالة انك لتصهتم بان يعرف الدمين انه هناك مخترق ما قد دختل على النظا.م ..اما اذا
اردت ان تصشتغل شغل المحترفين عليك الدختول و الخروج دون ان يلحظك اي شخص ..دون ان تصقو.م بتغيير
اي شئ يلفت انتباه مدير النظا.م
و لعمل ذلك تصابع معي :
لتصعتمد البرامج التي روجهت على انها لتصقو.م بمسح اللوق انما تصقو.م بحذف دختولك فهي غيير مجديه مثل
برنامج ZAP (or ZAP2
لنه يقو.م بعمل اصفار كاختر لوق مكانك انت و هذا ايضا دليل على وجهود ختطا سيلحظه مدير النظا.م
اذا عليك بالقيا.م بذلك يدويا ..
عادة لبد ان تصكوت rootلتغير و تصعدل في ال ) log filesباستثناء بعض التوزيعات القديمه جهدا (
اماكن تصواجهد ملفات اللوق ) defaultتصختلف باختتلف التوزيع (
UTMP : /etc or /var/adm or /usr/adm or /usr/var/adm or /var/log
WTMP : /etc or /var/adm or /usr/adm or /usr/var/adm or /var/log
LASTLOG : /usr/var/adm or /usr/adm or /var/adm or /var/log
و في بعض النسخ القديمه $home/.lastlog
ل تصترك اثرا :
=======
كثيير من الهاكرز ينجحون في عملية حذف دختولهم من ملفات اللوق ..لكنهم ينسون امرا هاما و قاتصل !!! و
هي الملفات التي تصوجهد هنا
tmp and $HOME/
و جهود ال Shell Historyفي $HOMEمصدر قلق كبيير :
: History files
sh : .sh_history
csh : .history
ksh : .sh_history
bash: .bash_history
zsh : .history
: Backup Files
~* ,dead.letter, *.bak
لكن الحل موجهود ايضا لمسح ال : History files
mv .logout save.1
echo rm -rf .history>.logout
echo rm -rf .logout>>.logout
echo mv save.1 .logout>>.logout
88
