Intro
С чего начинается взлом? Обычно со скана
портов, как бы ни банально это звучало. И
обычно люди, смотря банеры сервисов,напрочь
им доверяют... Люди верят что на Unix'е стоит
BackOrifice или NetBus... Но обо всем этом и многом
другом по порядку. Здесь я просто приведу
обзоры сетевых прог, то есть работающих на
сетевом уровне, а также логов (не
стандартных, а дополнительных). В общем
софта, мешающего жить хакеру, я бы даже
сказал очень мешающего... Начнем. [Сразу
говорю, что привести все проги по этой теме
просто невозможно. Цель этой статьи: ввести
вас в курс дела и задуматься над этими
проблемами.]
FakeBO
Это поддельный BO сервер. Типа Napster'a,
только для Unix'a (точнее Linux'а). Логит все в /var/log/fakebo.log
(по дефолту) или прямо на консоль. Лично мне
даже приходилось сталкиваться с такой
прогой. Помню как-то при скане мне nmap выдал
висящий BO и ОС - Linux. Я немного офигел :). Я не
сразу все понял:) (тогда я этого еще не знал).
Да,кстати,есть вариация и на тему NetBus'a.
AntiRoute
Эта прога предотвращает и логирует
основанную на UDP маршрутизацию. То есть
узнать адрес маршрутизатора, файрволла и
остаться анонимным не получиться (если
конечно все это не делается через шелл или
специально подкованными утилитами). Если
конкретнее то ваш IP'шник, порт источника и
расстояния в хопах заносится в лог. Так что
трейсить стандартным софтом уже опасно.
PingLogger
Записывает ICMP пакеты в определенный лог
файл. Аналог ICMPinfo.
SWATCH
Эта прога превосходит по возможностям
syslogd! То есть теперь на серваке сидят два
сислога :). Один стандартный, syslogd, а другой
все логит, немедленно уведомляет о действии
указанного пользователя, пытается узнать
finger инфу у атакующего, а также срабатывает
при определенном действии, активизации
определенных команд...
Аudit Daemon
Это часть Linux'оидовского ядра (встраиваемая,
типа модуля:)). Она все копирует из /proc/audit,
фильтрует и сохраняет в определенный лог
файл.
Logrotate
Позволяет упаковывать и пересылать
логи по мылу. Просто и доступно:).
Fftool(fingerprint fucking tool)
Утилита в виде модуля к ядру,
дезинформирующая утилиты подобные nmap'у.Подробнее
читайте на [http://void.ru/content/782].
Esc
Что, теперь перестали смеяться на "Я
производил скан портов за несколько дней"
или "я трейсил через шелл"? Вот именно...
Прошло то золотое время свободного скана,
трейса, эксплоита и т.д. Если вы
действительно грамотный хакер(или хотите
им стать:)),то нужно очень много внимания
уделять своей собственной безопасности и
анонимности и не слушать никого, кто
говорит вам всякую чушь... А на счет
дополнительных прог по логированию - вообще
смерть. Считай две проги по нестандартному
логу и можно вешаться! Но так или иначе на их
поиск нужно время да и в крайнем случае у
вас всегда есть запасной вариант: rm -rf:). Ну и
берегите рутшеллы, все можно делать с них...