Компьютерная атака на сайты Днепра
22.10.2019Как было, в UNIX-системах большинство файлов регистрации написаны в стандарте ASCII и требуют привилегий супервизора для модификации. Как атакующему скрыть свои следы, учитывая эту традиционную среду файлов регистрации UNIX? Некоторые атакующие используют автоматизированный сценарий, который просматривает системные файлы регистрации, автоматически удаляя различные события. Сайты Днепра в руках опытного атакующего получают такой скрипт редактирования файлов регистрации, который может быстро и эффективно замаскировать признаки атаки. С другой стороны, некоторые «сценаристы» выполняют автоматизированные скрипты не на той разновидности UNIX, пытаясь применить их для редактирования или удаления несуществующих файлов и в результате генерируя последовательность ошибок. Учитывая бесчисленные различия во входе в многообразных вариантах UNIX на любых сайтах Днепра, стандартный скрипт редактирования файлов регистрации, вероятно, потерпит неудачу, если не будет запущен на почти той же самой версии того же самого варианта UNIX, для которого был разработан.
Как более искушенные атакующие скрывают свои следы? Упражнение начинается со знакомства с конфигурацией сайтов Днепра для определения местоположения файлов регистрации. Файл конфигурации сообщает syslogd, где поместить файлы регистрации в файловой системе. Как только местоположение этих файлов обнаружено, атакующий с привилегиями супервизора (полученными при помощи буферного переполнения или другой атаки) может непосредственно их редактировать.
С привилегиями супервизора атакующие способны модифицировать файлы регистрации при помощи своего любимого редактора (такого, как vi или emacs). Искушенные атакующие систематически разберут файлы регистрации строка за строкой и удалят записи, связанные с получением ими доступа к сайтам Днепра (типа попыток входа в систему или сообщений об ошибках определенных приложений). Поскольку файлы написаны в виде ASCII-текста, они могут быть изменены и сохранены без какого-либо сообщения о порче файла.
