[07h] JAK ZATRZEC SLADY W SYSTEMIE? Na poczatku musisz wiedziec gdzie owe 'slady' w systemie sie znajduja ;) Wiekszosc uslug *nixowych rejestruje swoje dzialanie w standardowych logach. Wiekszosc z nich znajduje sie w /var/log. Chociaz istnieja narzedzia pozasystemowe, komercyjne, ktore zapisuje je gdzie indziej [ale przeciez ich nie bede tu opisywal]. W pliku /var/log/lastlog zapisane sa procedury logowania uzytkownikow. Przyklad:
[root@localhost]~# lastlog -u root
Username Port From Latest
root tty1 Mon Oct 23 09:21:45 2000
Polecenie lastlog pobiera dane z /var/log/lastlog i odpowiednio je formatuje. Wyswietli kiedy zalogowal sie root. Wszystko jasne i czytelne.
W pliku /var/log/wtmp znajduja sie informacje o: nazwie uzytkownika, terminalu, adresie IP lub nazwie hosta, dacie, godzinie oraz czasie trwania sesji. Jak widzisz tutaj jest tego najwiecej. Gdy admin wyda polecenie:
[root@localhost]~# last root
root tty2 Mon Oct 2 09:01:34 - down (00:54)
root tty3 Mon Oct 2 09:21:45 - down (00:57)
wtmp begins Mon Oct 2 07:23:18 2001
Daje mu to info kiedy root w ogole, w calej swojej 'karierze' logowal sie do systemu, skad, na ile, itd. Mowiac scislej pliki, ktore Cie interesuja to wszystkie [z malymi wyjatkami] znajdujace sie w /var/log. A to te glowne:
- /var/log/wtmp
- /var/log/utmp
- /var/log/lastlog
Pliki te nie sa logami textowymi wiec edycja vi odpada - trzeba uzyc 'special program'. Musisz takze uwazac przy 'czyszczeniu' logow czy aby nie ma w systemie zainstalowanych jakis progow do analizy logow systemowych [np. chkwtmp]. Jak taki program 'zweszy', ze ktos dobiera sie do logow to admin zostanie o tym powiadomiony i po tobie :| Aby nie zostawic po sobie sladow skorzystamy z narzedzia, ktore je za nas zatrze [to te 'special programs']. Najpopularniejsze to:
*) Cloak
*) utclean
*) remove
*) marry.
Mozesz takze sciagnac napisany przeze mnie skrypt shit.gz, ktory wyczysci za Ciebie poczte do roota, ktora jest tworzona przez rozne programy - czasem to moze nam uratowac tylek. Poza tym historie, .bash_history i pare innych rzeczy. Zrobi troche za nas i przyspieszy nieco czas calego wlamu...
Offline