11 日誌系統

2022-06-23 21:39:09 字數 3423 閱讀 6836

作為黑客,日誌檔案可以跟蹤目標的活動和身份。但它也可以是你自己在別人系統上的活動痕跡。攻擊方使用日誌系統,抹掉自己的痕跡,防守方備份日誌系統,尋找攻擊方。

保護系統,知道如何管理日誌記錄功能,以確定系統是否受到攻擊,破譯實際發生的事情以及是誰在攻擊你。查到第一個攻擊目標,進一步確認目標的日誌系統看是否為跳板還是真正的攻擊源。

本章描述如何檢查和配置日誌檔案,以及如何刪除活動的證據,甚至完全禁用日誌記錄。首先,我們將看看執行日誌記錄的守護程序。

rsyslog日誌記錄守護程序

linux使用一個名為syslogd的守護程序來自動記錄計算機上的事件。syslog的幾個變體,包括rsyslog和syslog-ng,在linux的不同發行版上使用,它們很相似,但仍然存在一些細微差異。由於kali是在debian上構建的,debian預設情況下帶有rsyslog,本章重點介紹這個。如果你使用了其他發行版,有必要對它們的日誌系統做一些研究。

搜尋與rsyslog相關的所有檔案

locate rsyslog

我們要檢查的是配置檔案rsyslog.conf

rsyslog配置檔案

使用任何文字編輯器開啟配置檔案

leafpad /etc/rsyslog.conf

其中大量註釋解釋了它的使用者。此時,這些資訊中的大部分對你沒有用處,導航到第50行以下,找到rules部分。可以為linux系統將自動為你記錄的內容設定規則。

rsyslog日誌記錄規則

作為一名黑客,這執行你找出正在記錄的日誌以及這些日誌的寫入位置,以便你可以刪除或保護它們。

每一行都是一個單獨的日誌記錄規則,說明記錄了哪些訊息以及記錄到**。這些規則的基本格式如下:

facility.priority  action

facility關鍵字引用正在記錄其訊息的程式,例如郵件、核心或列印系統。priority關鍵字決定為該程式記錄哪種型別的訊息。在最右邊的action關鍵字引用將傳送日誌的位置。

facility,指生成日誌的任何軟體,無論是核心、郵件系統還是使用者。

auth/authpriv  安全/授權訊息

cron時鐘守護程序

daemon其他守護程序

kern核心訊息

lpr列印系統

mail郵件系統

user常規使用者級別訊息

使用logrotate自動清理日誌

logrotate通過將日誌檔案移動到其他位置來定期歸檔日誌檔案的過程,在指定的一段時間之後,歸檔的位置將被清理。

系統已經在使用logrotate實用程式的cron作業切割轉儲日誌檔案。可以配置logrotate實用程式,以使用/etc/logrotate.conf文字檔案選擇日誌轉儲備份的規律性。  

leafpad /etc/logrotate.conf

每四周轉存日誌。

保持隱身

禁用日誌記錄,刪除日誌檔案中你入侵的任何證據,以減少被檢測到的機會。很多方法可以做到這一點,每種方法都由自己的風險和可靠性。

刪除證據     為什麼公開攻擊手法?安全的核心就是:未知攻,焉知防。

從地球誕生到現在:不存在從理論100%反推出新的實現,只能從實現總結成為理論,這個過程不可逆。

安全的本質:收集所有攻擊手法,從所有手法中堵住攻擊渠道。進攻它,總結詳細報告,將致命手段替換成為試探手段。將報告交給防禦者,將是建設安全產品的本質思路。【將攻擊手段毫無保留的告訴防禦者,這是一個多國家的時代,遮蔽技術是愚蠢的思路。你封國與遮蔽,其他國家將增加更多的攻擊與防禦手段。最後你將發現,自己在掩耳盜鈴。】而且,對於人類發展,以後註定要探索宇宙,危機在地球之外。不分你是哪國我是哪國人,統稱為地球人。做強做大就得走開源技術的路,多結善緣,不要小家子氣,作繭自縛。

當下現狀:各個團隊各種為營,或為利,或為義。大部分不允許公開內部資料。給團隊以外的交流和教學之用也帶來嚴重阻礙。這裡建議,反正都是團隊,要選擇的話,選擇更大的平臺,hackerone或者github。既然規定不公開就得尊重他們。對於公開的人來說,你應該加入到更大的平臺中,去做更有成就的事情,使得人生更有意義。

你需要刪除活動的任何日誌,你可以簡單地開啟日誌檔案,並使用前面提到的檔案刪除技術,逐行準確地刪除詳細描述你的活動的任何日誌。然而,這會很耗時,並且在日誌檔案中留下時間間隔,這看起來很可疑。此外,刪除的檔案通常可疑由一個熟練的取證調查員恢復。

更好、更安全的解決方案是分解日誌檔案。對於其他檔案刪除系統,熟練的調查員仍然能夠恢復已刪除的檔案,但是假設有一種方法可以刪除檔案並多次擦寫覆蓋它,這使得恢復變得更加困難。幸運的是,linux有一個內建命令,名為shred,正是為了這個目的。

shred     --help        在取證過程中,知道攻擊手法以後,就可以預判攻擊方的專業程度。並及時再備份一份日誌到其他地方。

shred 最基本形式,預設情況下,覆蓋4次。通常,檔案被覆蓋的次數越多,恢復起來就越困難,每次覆蓋都需要時間。

-f選項,它更改檔案的許可權,以便在需要更改許可權時允許覆蓋;-n選項,選擇覆蓋檔案的次數。

shred -f -n 10 /var/log/auth.log.*             -f選項確保命令順暢的執行

現在嘗試開啟一個日誌檔案,看到其中的內容是難以理解的亂碼

leafpad /var/log/auth.log.1

現在,安全工程師將發現沒有任何用處,因為沒有一個是可恢復的。

禁用日誌記錄

另一個覆蓋跟蹤的選項是禁用日誌記錄。這需要root特權。

只需要停止rsyslog守護程序。停止linux中的任何服務使用相同語法。

service servicename start|stop|restart

因此,要停止日誌守護程序,只需要輸入以下命令

service rsyslog stop

現在linux將停止生成任何日誌檔案,直到服務重新啟動,使你能夠在日誌檔案中不留下任何證據的情況下進行操作。