Собственно я в линуксе недавно поэтому прошу помощи. Вопрос такой: Вот я залил шелл,порутал. 3недели жил пока я активность не проявлял а тут вставил ифрейм и все потерли. Вопрос какие логи надо чистить: Случай первый : Орудовал я через веб(с шелла) в 2 файлах добавил по 2 строчки, может админ поставил какие тулзы которые фиксирует все изменения ? Как такие тулзы обнаружить? Где можно посмотреть bash history рута? Случай второй Code: 1. Бинпорт с шелла 2. Запуск суидника с паролем который мне дал права рута 3. Сменил права на индекс через шелл добавил строчку и поставил права обратно. Где я наследил?
Случай первый - access.log и error.log. Узнать пути где эти файлы почистить поможет эта тема Случай второй - access.log и error.log + файл перл-скрипта или Си (смотря на чём биндпорт) в папке /tmp (путь абсолютный)
Я как админ, тебе могу посоветовать: > 3. Сменил права на индекс через шелл добавил строчку и поставил права обратно. Также выставляй с помощью touch ту дату last modification > 1. Бинпорт с шелла Очень легко палится при правильно-настроенном фаерволе и логгировании левых пакетов ( iptables ... -j LOG) или при частом (параноидальном) вызове netstat -lanp > 2. Запуск суидника с паролем который мне дал права рута - проверка процессов по названию процессов от рута Задачи 3, 2 можно делать с помощью крона. Также как вариант может стоять отлов новых и изменённых файлов с помощью md5sum ( для параноиков -- есть скрипт, могу поделится ) Баш хистори и не только баш, будет лежать по-дефоулту в хомдире пользователя. Code: getent passwd|grep root|cut -f6 -d: получишь хомдиру рута, а там ищи файлы Code: ls -lia .*history*
Да поделить пожалуйста. Как такого рода скрипт можно обнаружить? просто на обоих серверах админы либо ленивые либо некомпетентные ибо не дырки не могут залатать ,не суидник мой с названием "exploit" не могут снести. Да и шелла живут а как к индексу полезешь то все....
