Myst�rieusement personne ne sait, en utilisant les scripts Shell pour dissimuler les traces des op�rations sur les serveurs Linux

Les scripts shell pour contr�ler l'utilisation de Linux sur le serveur, d�truire ou quoi que ce soit � travers quelques obtenir des m�thodes d'attaque de pirate intelligent pourrait obtenir une grande valeur, mais la plupart des attaques ont �galement laiss� des traces. Bien s�r, ces traces peuvent aussi �tre cach�s par des scripts Shell et d'autres m�thodes.

Vous cherchez des preuves de l'attaque a commenc� � partir de ces traces laiss�es par l'attaquant, comme la date de modification du fichier. Chaque fichier � chaque syst�me de fichiers Linux sont conserv�s date de modification. Les administrateurs syst�me trouver le fichier a �t� modifi� pour la derni�re, le syst�me les invite � attaquer, syst�me de verrouillage d'action de prise. Heureusement, cependant, le temps de modification ne sont pas des documents absolument fiables, le temps de changement lui-m�me peut �tre usurp�e ou modifi� par l'�criture de scripts Shell, un attaquant peut modifier la sauvegarde et de restauration du temps de l'automatisation des processus.

mesures

��tape 1: V�rifier le fonctionnement et l'horodatage

La plupart des syst�mes Linux incluent certains nous permettent de visualiser et de modifier rapidement les outils d'horodatage, le plus influent lorsque le nombre de � Touch �, ce qui nous permet de cr�er un nouveau fichier, mettre � jour le fichier / groupe pour la derni�re fois a �t� � touch� � le temps.

fichier tactile

Si le fichier n'existe pas, ex�cutez la commande ci-dessus va cr�er un nouveau fichier appel� � fichier �, si elle existe d�j�, la commande mettra � jour la date de modification du temps du syst�me actuel. Nous pouvons �galement utiliser un caract�re g�n�rique, comme la cha�ne suivante.

* toucher

Cette commande mettra � jour l'horodatage de chaque fichier dossier fonctionne. Apr�s avoir cr�� et modifier les fichiers, il y a plusieurs fa�ons dont vous pouvez voir ses d�tails, la premi�re utilisation de la commande � stat �.

fichier stat

Ex�cuter des rendements stat des informations sur le fichier, y compris l'acc�s, la modification ou l'horodatage de mise � jour. L'horodatage du fichier batch peut utiliser ls pour afficher les param�tres de chaque fichier, utilisez le � -l � ou � long �, les listes de fichiers les d�tails de la commande, la sortie contient un horodatage.

ls -l

Maintenant, vous pouvez d�finir l'horodatage en cours et la vue d'horodatage a �t� d�fini, la touche peut �tre utilis�e pour d�finir un timbre personnalis�, en utilisant � d � drapeau, avec le format de date aaaa-mm-jj d�finition, r�glez l'heure, suivie heures, minutes et secondes, comme suit:

toucher -d "2001-01-0120:00:00" fichier

Modifiez les informations pour confirmer la commande ls:

fichier de ls

Cette m�thode convient pour l'horodatage de modification individuelle, des traces d'op�rations cach�es sur le serveur, cette m�thode est pas, vous pouvez utiliser un script shell pour automatiser le processus.

�Deuxi�me �tape: Organiser Script Shell

Avant de commencer � �crire des scripts doivent examiner attentivement les besoins du processus � effectuer. Afin de cacher les traces sur le serveur, l'attaquant aurait besoin le dossier d'horodatage d'origine dans un fichier, tout en mesure de revenir au fichier d'origine apr�s tout changement dans notre jeu.

Ces deux fonctions diff�rentes sont d�clench�es en fonction de l'entr�e ou le param�tre de l'utilisateur, le script ex�cute la fonction correspondante en fonction de ces param�tres, nous avons besoin d'un moyen de g�rer les erreurs. Trois actions possibles seront effectu�es selon l'entr�e d'un utilisateur:

Aucun param�tre - renvoie un message d'erreur;

Enregistrer horodat�es - l'horodatage enregistr� dans un fichier;

marque horodatage de r�cup�ration - selon l'horodatage r�cup�rer des fichiers sauvegard�s liste.

Nous pouvons utiliser des instructions imbriqu�es si / ou des d�clarations pour cr�er le script, vous pouvez attribuer � chaque fonction de leur instruction � si � dans les conditions, vous pouvez choisir de commencer � �crire un script dans un �diteur de texte ou nano.

�Troisi�me �tape: script de d�marrage

D�but de la ligne de commande nano et de cr�er un script appel� � timestamps.sh �, la commande est suit comme:

nano timestamps.sh

Ensuite, la commande suivante:

#! / Bin / bash si , puis echo "Utiliser param�tre AENR (-s) ou la restauration (r)." 1 sortie Je

Appuyez sur Ctrl + O nano, enregistrez le fichier, en utilisant la commande chmod pour le marquer comme un script peut fonctionner.

chmod + x timestamps.sh

Ensuite, ex�cutez le script, la fonction renvoie un message d'erreur lorsque aucun des param�tres de test. Si le script renvoie nos �tats d'�cho, nous pouvons continuer � la condition suivante.

./timestamps.sh

�Quatri�me �tape: �crire � l'horodatage de fichier

La d�finition d'un si la condition de l'instruction, � - s � repr�sente la fonction de sauvegarde:

si , puis fi

Bien s�r, vous devez v�rifier le programme fichier d'horodatage stock� existe, s'il y a, nous le supprimerons (appel� l'horodatage des fichiers), afin d'�viter la duplication ou l'entr�e incorrecte, utilisez la commande suivante:

rm -f horodatages;

Utilisez ensuite la commande � ls � commande � la liste tous les fichiers et son temps de modification, il peut �tre �mis � un autre programme, comme sed, pour nous aider � nettoyer cette entr�e plus tard.

ls -l

Habituellement, appara�t et affiche les r�sultats de ce qui suit:

rw-r - r-- 1 utilisateur utilisateur 01 janvier 2017 fichier

Pour enregistrer un horodatage, nous avons besoin que l'ann�e, le mois, la date et le nom du fichier, la commande suivante � des informations claires avant � Jan �:

fichier ls | sed 's /^.* Jan / Jan / p'

Une telle information est ce que nous devons montrer le programme, mais nous avons besoin de changer le format � un format num�rique en F�vrier:

ls -l fichier | sed 's /^.* Jan / 01 / p'

Tous les mois sont remplac�s par des num�ros:

ls -l | sed -n � s /^.* Jan / 01 / p; s /^.* Feb / 02 / p; s /^.* Mar / 03 / p; s /^.* Apr / 04 / p; s /^.* mai / 05 / p; s /^.* Jun / 06 / p; s /^.* Jul / 07 / p; s /^.* ao�t / 08 / p; s / ^. * Sep / 09 / p; s /^.* Oct / 10 / p; s /^.* Nov / 11 / p; s /^.* Dec / 12 / p; '

Dans une course de dossier, nous verrons les r�sultats pr�sent�s dans la figure suivante:

Ensuite, la sortie des r�sultats ". > > � Envoyer nomm� � horodatages de fichier � dans:

faire echo $ x | ls -l | sed -n � s /^.* Jan / 01 / p; s /^.* Feb / 02 / p; s /^.* Mar / 03 / p; s / ^. * Apr / 04 / p; s /^.* mai / 05 / p; s /^.* Jun / 06 / p; s /^.* Jul / 07 / p; s /^.* ao�t / 08 / p ; s /^.* Sep / 09 / p; s /^.* Oct / 10 / p; s /^.* Nov / 11 / p; s /^.* Dec / 12 / p; ' > > �horodatages

Ainsi, les deux premiers de l'op�ration de script est termin�, les r�sultats d'affichage comme indiqu� ci-dessous:

Les informations disponibles � -s � � la suite des scripts de test marqu�s, v�rifier avec le chat sauv�:

./timestamps.sh -s horodatages de chat

�Cinqui�me �tape: pour restaurer l'horodatage de fichier

Apr�s avoir enregistr� votre horodatage d'origine, l'horodatage pour laisser d'autres ont besoin de restaurer des fichiers imperceptibles ont �t� modifi�s, utilisez la commande suivante:

si 1 $ = "-r"; thenfi

Ensuite, utilisez la commande suivante, et transmet le contenu d'un fichier texte, ligne par ligne et course:

horodatages de chat | while read linedodone

Et puis redistribu� certaines variables � faire usage des fichiers de donn�es plus simplement:

MOIS = $ (echo $ ligne | cut -f1 -d); JOUR = $ (echo $ ligne | cut -d -f2); FILENAME = $ (echo $ ligne | coupe -F4 -d); AN = $ (echo $ ligne | coupe -f3 -d)

Bien que ces quatre variables fichier d'horodatage stock�es est le m�me, mais si l'horodatage a eu lieu l'ann�e derni�re, il affichera seulement le temps plut�t que des ann�es. Si vous avez besoin de d�terminer l'ann�e en cours, on peut attribuer un an pour �crire le script, vous pouvez �galement revenir l'ann�e du syst�me, en utilisant la commande cal pour afficher le calendrier.

Et puis r�cup�rer la premi�re ligne, je veux juste laisser le spectacle des informations get Ann�e:

CURRENTYEAR = $ (cal | t�te -1 | cut -d -F6- | sed 's / g //')

Apr�s avoir d�fini toutes les variables que vous pouvez utiliser � if else � d�claration, selon l'horodatage dates au format fichier mis � jour, utilisez la syntaxe tactile:

toucher -d "2001-01-0120:00:00" fichier

Comme chaque fois contient deux points, il peut utiliser les �l�ments suivants � ifelse � instruction est termin�e, l'op�ration comme indiqu� ci-dessous:

si , puis toucher -d $ CURRENTYEAR- $ mois- $ JOUR $ AN: 00 FILENAME $; d'autre toucher -d "" $ $ mois- $ ANNEE-JOUR "" FILENAME $; fi

�Sixi�me �tape: Utiliser un script

Utilis� principalement dans la commande suivante:

./timestamps.sh -s enregistrer le fichier horodatages toucher -d � 12/10/205010:00:00 � * Modifier l'horodatage de tous les fichiers dans le r�pertoire ls -a pour confirmer le fichier modifi� ./timestamps.sh -r restaurer les horodatages du fichier d'origine

Enfin, vous pouvez ex�cuter � nouveau si l'horodatage � ls -l � pour voir les fichiers avant la sauvegarde et l'horodatage du m�me, toute l'ex�cution de script est termin�, comme indiqu� ci-dessous:

r�sum�

Le script juste pour effacer quelques traces laiss�es apr�s l'attaque du serveur. Apr�s l'ordre de cacher les traces des pirates dans la mise en uvre d'attaques sp�cifiques contre le serveur, vous devez examiner attentivement chaque m�thode utilis�e et comment l'invasion des serveurs pour cacher leurs traces.

Gr�ce � la description ci-dessus, nous le savons, l'horodatage est � un mensonge �, l'administrateur syst�me doit �tre conscient du fait que bon nombre de leurs journaux et des mesures de protection peuvent �tre manipul�s, m�me si elle ne ressemble � aucune exception.

Route de la soie

Apprenez � conna�tre la Chine

Myst�rieusement personne ne sait, en utilisant les scripts Shell pour dissimuler les traces des op�rations sur les serveurs Linux