Académique Documents
Professionnel Documents
Culture Documents
Comment Effacer Ses Traces
Comment Effacer Ses Traces
Résumé
Tout hacker s'introduisant dans un système connecté (=attaquant puis intrus !! )
cherche à :
Contre :
Les débutants n'ont besoin que de PGP, d'un logiciel de cryptographie de fichers et de disque
dur
N'oubliez pas ! : l'utilisation des logiciels de cryptographie est encore interdit en France
Crypteur de fichier
Triple DES
IDEA
Blowfish
Crypteur d'e-mail
PGP v2.6.x
Nautilus v1.5a
SSH
DES-Login
PK ou WIN ZIP
ARJ
Quoi ? :
Une tentative d'intrusion peut être détectée. Il ne faut pas que l'intrus puisse être identifié et
retrouvé
Contre :
Comment :
Le serveur d'origine :
serveur initial à partir duquel le hacker se connecte à Internet, généralement par appel
téléphonique (accès dialup à un fournisseur d'accès par exemple)
règles :
le dialup ne rend pas nécessaire de modifier les logs d'activité sur le serveur d'origine (adresse
IP allouée dynamiquement).
NE RIEN modifier sur ce serveur
utiliser plusieurs comptes utilisateurs
changer de fournisseur d'accès tous les deux mois
ne craquer les mots de passe QUE sur le PC ou la machine appelante
Le serveur d'attaque
serveur tampon sur lequel le hacker dispose d'un compte avec un accès ROOT.
En utilisant différents fournisseurs d'accès chaque jour il ne sera pas nécessaire
d'utiliser un serveur d'attaque
règles :
A utiliser
Hacker / Serveur d'origine : de préférence un accès via modem pour connexion par
dialup.
Hacker / serveur d'attaque : telnet du serveur d'origine sur le serveur d'attaque
Hacker / serveur cible : telnet du serveur d'attaque sur le serveur cible
Règles
Ne pas utiliser son numéro de téléphone réel mais passer par un système de rappel
(carding/bluebox/hack d'un PABX) Cette précaution est parfois inutile car les
compagnies de téléphone (privées - ATT -ou publique -Danemark -)
D'anciens clients telnet exportent la variable USER. En modifiant le telnetd un
administrateur peut obtenir le nom de tous les connectés
Les nouvelles versions exportent les variables UID, MAIL and HOME
Avant tout telnet, il faut donc changer les variables USER, UID, MAIL et PWD,HOME.
La recommendation
Changer les variables d'environnement de votre Telnet :
sous win : accéder aux paramètres de configuration système et logiciel
sous Unix :
SH : <>=<_value>;export <> ; exemple : USER=nobody;export USER
CSH: setenv <> <_value>; exemple : setenv USER nobody Règle de Survie 3 : gérer son
compte utilisateur sur le serveur d'origine
Contre :
Ne pas utiliser son compte utilisateur pour tout ce qui a trait aux activités de Hack
Ne pas laisser de fichiers ou outils de Hack sur son répertoire utilisateur
Systématiquement supprimer les messages électroniques reçus sur le serveur de
messagerie (si POP3 utiliser get + delete)
Ne pas utiliser son adresse email réelle (commande EXPN de sendmail sous Unix !)
N'accepter de recevoir ou d'envoyer que des messages cryptés
Règle de Survie 4 : ne rien laisser dans les répertoires HOME ou TMP des serveurs
Quoi ? :
sh: .sh_history
csh: .history
ksh: .sh_history
bash: .bash_history
zsh: .history
Comment :
Utiliser les commandes csh suivantes pour effacer les données d'historique sans laisser de
traces.
'The first command you should enter after logging in with a hacked account is a shell different
from the one you are currently running as login shell. The purpose is to disable history saving
of the commands you'll type in while hacking. A history check by the real user or sysadmin
reveils your presence and what you did!! If you are running a CSH then execute a SH and
vice versa. "
Quoi ? :
l'administrateur du serveur cible peut analyser ces fichiers ou utiliser des commandes
statistiques (lastlogin par exemple) pour savoir :
Comment :
Effacer les traces de son passage des fichiers logs de base WTMP, UTMP, LASTLOG.
Localisation par défaut des fichiers logs : (variable selon les distributions d'Unix)
ZAP (or ZAP2) : remplacement de la dernière donnée de connexion par des zéros
Peu efficace car le CERT distribue des programmes vérifiant les données à zéro.
Autorisation nécessaire :
Si l'accès ROOT n'a pas été obtenu, il suffit pour certaines versions d'Unix de faire un rlogin
lors de votre connexion sur le serveur pour modifier - le LASTLOG, - les données UTMP
(effacées)
Vérifier les serveurs distants recevant les logs (messages envoyés à @loghost)
Problème : pénétrer le serveur de logs et manipuler la messagerie...très compliqué
Pour éliminer le nom d'intrusion des messages à expédier : "grep -v evil.host.com
messages > /tmp/tmpfile; mv /tmp/tmpfile messages"
Vérifier la configuration des syslogs
Le programme syslog enregistre les logs dans des fichiers spéciaux.
Son fichier de configuration est /etc/syslog.conf. :
"Pour modifier le LASTLOG sans toucher au fichier, une fois connecté, lancer un rlogin
"serveur cible" avec le login et pass du compte utilisateur hacké. Cela a pour effet
d'enregistrer un LASTLOGIN à partir du serveur et non à partir de l'extérieur..."
Règle de Survie 6 : comprendre et manipuler les programmes de sécurité installés
Quoi ? :
Sur les serveurs sécurisés, les programmes de sécurité sont lancés à intervalles périodiques
par cron.Ces programmes vérifient les tailles de fichiers ou analysent les logs serveurs. Ils
peuvent être également stockés dans les répertoires adm ou ~bin (pour les sniffers)
Contre :
Comment :
Les programmes d'audit peuvent être : tiger, cops, spi, tripwire, l5,binaudit, hobgoblin, s3,...
Il s'agit de savoir ce qu'ils enregistrent et si ils enregistrent... Si ils sont actifs pour enregistrer
les fichiers sniffers installés par les intrus , faire ...
l5 compile directory l5
Pour modifier les contrôles :
- modifier les paramètres pour ne pas contrôler un fichier
faire "tripwire -update /bin/target" par exemple.
- modifier la liste des fichiers à contrôler
Pour trouver les 1 à 6 administrateurs système, vérifier le fichier .forward, les entrées d'alias,
les sulog pour root, les groupes "administration", le fichier des mots de passe.