------------------------------------------------------------------------------ *17******************** Effacer ses traces apres un hacking ****************** -------------------------------| 3D13 & devilhack |--------------------------- Ca y est vous y etes arrive, vous avez HACKER un ORDI tout seul, vous commencez a prendre un peu la grosse tete mais vous en faites pas, vous n'etes pas le premier ni le dernier a commettre un tel acte. Vous avez une jouissance monstrueuse, VOUS Y ETES ARRIVE, PAFFF, plus fort qu'eux... mais maintenant, les ennuis vont commencer : garde a vue, tribunal, prison :-((( MAIS, cet article existe et peu vous permettre de vous sauver la vie. Attention, cela marche avec une entreprise qui abandonne assez rapidement les rcherches. N'oubliez pas que cette etape est certainnement ce qu'il y a de plus important quand vous penetrez un systeme informatique. En effet, plein d'articles vous expliquent comment hacker un ordi, mais ensuite... ben vous vous faites attraper. Tout ce qui concerne cet article sera axe autour des systemes Unix et compatible, car c'est l'OS le plus important et le plus utilise dans le monde d'internet. la suite est tire du site internet devilhack, j'ai semble bon de le mettre, il s'agit d'une ressource de l'internet que vous pouvez retrouver sur : www.multimania.com/devilhack 1. Ne rien laisser dans les repertoires HOME et TMP des serveurs. 2. Lister tous les elements modifies avant de se deconnecter : ls -altr 3. Utiliser les commandes csh suivantes pour effacer les donnees d'historique sans laisser de trace : [Nd 3d13 : csh=shell, comme bash par ex.] mv .logout save.1 echo rm .history>.logout echo rm .logout>>.logout echo mv save.1 .logout>>.logout 4. Nettoyer les fichiers " logs " des servers : Sous Unix, il faut connaitre au moin 3 fichiers importants : WTMP - chaque connection/déconnection avec l'heure, le server, et le terminal concerne. UTMP - Tous les utilisateurs connectes a un moment donne. LASTLOG - origine des connexions. L'admin peut utiliser ces fichiers pour les commandes statistiques (lastlogin), pour par exemple savoir quand a eu lieu l'intrusion, le serveur d'origine de l'intrusion et puis le temp estime de l'attaque. (tout pour vous retrouver). Il faut savoir aussi que toutes les connexions par, ftt, rlogin, telnet, sont enregistre dans ces fichiers. Mais ne pas effacer ces fichiers car l'admin saura immediatement que l'intrusion a eu lieu. Pour vous simplifier la tache utiliser un prog de modification de ces fichiers : ZAP ou ZAP2 (remplace la derniere donnee de connexion par des 00000000. ). Recommendation : Pour modifier le LASTLOG sans toucher au fichier , une fois connecte, lancer un rlogin "server cible" avec le login et pass du compte utilisateur hacke. Cela a pour effet d'enregister un LASTLOGIN à partir du serveur et non a parir de l'exterieur. Normalement ces modifs sont possible que par le ROOT. MAis si le ROOT n'a pas ete obtenu, il suffit pour certaines version d'Unix de faire un rlogin lors de votre connexion sur le serveur pour modifier le LASTLOG. 5. Trouver tous les fichiers modifie apres la connexion : Juste apres etre connecte faire : "touche /tmp/check" avant de continuer a travailler. Par la suite faire : "find / -newer /tmpcheck -print" ou "find / -ctime 0 -print" ou encore "find / -cmin 0 -print", verifier les fichiers d'audit et les modifier. 6. Verifier les repertoires par default : /usr/adm , /var/adm , /var/log. 7. Manipuler les prg de securite installes : Sur les serveurs securises, les prg de securite sont lances a intervalles periodiques par cron. Ces programmes verifient les tailles de fichiers ou analyse les logs serveurs. Ils peuvent egalement etre stockes dans les repertoires /adm ou ~bin ( pour les sniffers ). acceder aux parametres de cron. Le rep par default est /var/spool/cron/crontabs. Verifiez toutes les entrees surtout les fichiers "root" et analysez les prgs lances. Faire par exemple : "crontab -l root". Les prg de securites sont en general : tiger, spi, tripewire, 15, binaudit, hobgoblin, s3,... voila bon la normalement vous pouvez etre tranquille, mais bon on est jamais trop prudent, et faut se dire qu'il y a toujours plus malin que nous. Je ne cesse pas de le dire mais, ne negligez pas la victime qui elle aussi peu s'y connaitre en hack alors n'effacez rien et n'abimez aucune donnee. Car un HACKER n'est pas un CRACKER...