sexyChloe
Inlägg: 6
Blev medlem: 08 jun 2016, 18:31

Covering tracks?

08 jun 2016, 19:12

Hej
Hur göra man för att ta bort alla spår från en hackad linux/windows server?
Som tillexempel att man har använt en Local root exploit på en server hur tar jag bort alla spår?

Användarvisningsbild
topcat
Moderator
Inlägg: 333
Blev medlem: 06 nov 2014, 16:59
Områden: ja
Kontakt: Twitter

Re: Covering tracks?

08 jun 2016, 19:24

Ja du, det beror på precis vad du gjort. Det första jag tänker på är skalets historik-fil, last-filen (oftast /var/log/wtmp), samt alla filer du använt för din exploit. Se även över tidsstämplar och ändra tillbaka.
🦊️

sexyChloe
Inlägg: 6
Blev medlem: 08 jun 2016, 18:31

Re: Covering tracks?

09 jun 2016, 00:49

Hur skulle jag göra för att ta bort spår på en windows server?
-Filer som jag har laddat ner
-Ta bort installerade program
-Ta bort skapade användare

Något mer?

miniblau
Inlägg: 12
Blev medlem: 18 jan 2015, 19:38
Områden: Webb

Re: Covering tracks?

09 jun 2016, 09:22

En bra idé kan vara att ta en titt i loggboken (Event Viewer på engelska). Var ett tag sedan jag själv satt på Windows så jag vet inte exakt hur matnyttigt den är. Men dessa sidor kan säkert hjälpa dig (resultat av snabbsökning):
http://windows.microsoft.com/sv-se/wind ... =windows-7 - vad som finns i loggboken
https://technet.microsoft.com/en-us/lib ... 22318.aspx - radera logg

Användarvisningsbild
Chloë
Administratör
Inlägg: 2505
Blev medlem: 08 okt 2014, 02:28
Områden: Webbsäkerhet
Kontakt: Twitter

Re: Covering tracks?

15 jun 2016, 11:21

Finns lite matnyttig info på Pwnwiki: http://pwnwiki.io/#!persistence/windows/cover.md - dock inte så mycket info. När det kommer till att rensa i Windows så kan typ PrivaZer vara sjukt bra, men du kommer ju lämna spår att du tagit bort spår så inte så stealth kanske.

För Linux så är det (mycket) lättare. Rensa i /var/log och håll ett öga på .bashrc och liknande dotfiles i $HOME. Finns så klart mer du ska ha ett öga öppet för, t.ex syslog-servrar. Men googla dig till "post exploitation" osv så kanske du hittar mer matnyttigt. Det har som dock diskuterats förr en hel del gånger och finns även tools (som jag använt med bra resultat).
keybase.io/dotchloe | chloe.re | chloe.website

sexyChloe
Inlägg: 6
Blev medlem: 08 jun 2016, 18:31

Re: Covering tracks?

15 jun 2016, 16:59

Tack för alla svar :)