se un attaccante ottiene i privilegi di root può tranquillamente cancellare o modificare i log senza che compaiano dati sulle modifiche. Esistono delle semplicissime funzioni di sistema che modificano questi dati (che altrimenti sono gestiti solo dal sistema operativo) e avendo i privilegi di root possono fare un programmino che le usa.
L'unico modo certo per loggare qualcosa sotto attacco è poter redirigere i log o il flusso di dati su una stampante, perchè i fogli non li cancelli
I rubinetti a casa di Chuck Norris non perdono, vincono.
In the beginning there was nothing...then Chuck Norris Roundhouse kicked that nothing in the face and said "Get a job". That is the story of the universe.
Originally Posted by Wolfo
Concordo e propongo ban temporanei per chi critica la topa , la topa non si critica , dal trombabile in su non si commenta in modo sgradevole.la tua ignoranza in materia e' raccapricciante
-cit. Estrema, 2022
lastlog non visualizza i log della macchina ma gli ultimi accessi effettuati dagli utenti, e non viene salvato in un file di testo.. modificarlo significa, nel 99% dei casi dei rootkit che vanno in giro sto periodo, sostituirlo con un eseguibile fasullo che non fa affatto la chiamata ai log, oppure causa un overflow e ti risponde con la classica "Broken Pipe"...
Jarsil, the Nervous Admin of [W] Forums
Posting Permissions
Reply With Quote