دستورهای پوشش ردپا

منتشر شده در دسته : بلاگ, دستورهای تست نفوذ

دستورهای پوشش ردپا در فرایند تست نفوذ کدامند. پس از دستکاری سیستم هدف تغییراتی در اطلاعات موجود در سیستم عامل ایجاد می شوند و داده هایی اضافی ضبط می شوند. این داده بیشتر شامل اطلاعات موقتی و لاگ ها هستند که به منظور بررسی وضعیت رخدادهای سیستم عامل و شل استفاده می شوند. با استفاده از این داده می توان علت وقوع رخدادها , زمان و شخص خاطی و دیگر اطلاعات پیگیری را بدست آورد.

دستورهای پوشش ردپا

در این بخش یکسری از دستورهای پوشش ردپا به منظور حذف این اطلاعات را به شما معرفی می کنیم.

لاگ های احرازهویت سیستم در دبیان

در سرورهای دبیان فایلی تحت عنوان var/log/auth.log/ وجود دارد که اطلاعات مرتبط با  احرازهویت های انجام شده در سیستم عامل را ضبط می کند. این اطلاعات شامل زمان رخداد, کاربر انجام دهنده, رخداد انجام شده و … می باشد که در تصویر زیر نمونه ای از آن را با دستور cat نمایش داده ایم

دستورهای پوشش ردپا - پوشش ردپا در تست نفوذ - فرایند پوشش ردپا - پوشش ردپا

با یک دستور echo به مقدار خالی به سادگی می توان محتویات این فایل را حذف کرده :

echo "" > /var/log/auth.log

دستورهای پوشش ردپا - پوشش ردپا در تست نفوذ - فرایند پوشش ردپا - پوشش ردپا

تاریخچه بش

بش تمام دستورهایی را که وارد می کنید در فایلی مخفی در مسیر bash_history./~ ذخیره می کند.

دستورهای پوشش ردپا - پوشش ردپا در تست نفوذ - فرایند پوشش ردپا - پوشش ردپا

شما به سادگی می توانید این فایل را حذف کنید تا تاریخچه بش خالی شود.

echo "" > ~/.bash_history

دستورهای پوشش ردپا - پوشش ردپا در تست نفوذ - فرایند پوشش ردپا - پوشش ردپا

همچنین می توان با دستور rm -rf این فایل را حذف کرد

rm -rf ~/.bash_history

دستورهای پوشش ردپا - پوشش ردپا در تست نفوذ - فرایند پوشش ردپا - پوشش ردپا

خود دستور history دارای گزینه c- می باشد که به منظور پاک کردن تاریخچه کاربرد دارد.

دستورهای پوشش ردپا - پوشش ردپا در تست نفوذ - فرایند پوشش ردپا - پوشش ردپا

علاوه بر این شما می توانید حداکثر تعداد خطوط history را صفر تعیین کنید

export HISTFILESIZE=0

یا حداکثر تعداد دستورهای ذخیره شده در history را صفر تعیین کنید
export HISTSIZE=0

یا کلا تاریخچه لاگینگ را غیر فعال کنید. برای تاثیر پذیر این دستور بایستی از یک بار خارج شوید.
unset HISTFILE

دستورهای پوشش ردپا - پوشش ردپا در تست نفوذ - فرایند پوشش ردپا - پوشش ردپا

به منظور از بین بردن نشست فعلی دستور زیر را در خط فرمان وارد کنید :

kill -9 $$

دستورهای پوشش ردپا - پوشش ردپا در تست نفوذ - فرایند پوشش ردپا - پوشش ردپا

 

اگر قصد دارید تا به صورت دایمی تاریخچه بش به فایلی ناکجا آباد ارسال کردد می توانید از دستور زیر ارسال کنید. dev/null/ یک دیوایس نال بوده که موجب حذف اطلاعات ارسال شده به آن می گردد.

دستورهای پوشش ردپا - پوشش ردپا در تست نفوذ - فرایند پوشش ردپا - پوشش ردپا

حذف پیام های سیستمی (لاگ رخدادها)

فایل دیگری با نام var/log/messages/ وجود دارد که حاوی پیام های سراسری سیستم می باشد. اطلاعات مختلفی در این فایل ذخیره می شوند که شامل پیام های لاگ شده در حین استارت آپ سیستم , پیام های سرویس های میل , کورن کرنل و برنامه های مختلف دیگر

دستورهای پوشش ردپا - پوشش ردپا در تست نفوذ - فرایند پوشش ردپا - پوشش ردپا

شما می توانید این فایل را به سادگی حذف کرده تا اطلاعات مرتبط با آن ناپدید گردد

echo "" > /var/log/messages

دستورهای پوشش ردپا - پوشش ردپا در تست نفوذ - فرایند پوشش ردپا - پوشش ردپا

دستورهای پوشش ردپا در مترپرتر

در صورتیکه با متاسپلوییت کار می کنید و از طریق مترپرتر به سیستم هدف دسترسی پیدا کردید پس از پایان عملیات می توانید با وارد کردن دستور clearev رکوردهای مرتبط با اپلیکیشن ها , سیستم و رکوردهای امنیتی را پاک کنید. به منظور اجرای کامل این فرایند ابتدا بایستی با استفاده از دستور getsystem مجوز سیستمی بدست آورید :

exploit
getsystem
clearev

دستورهای پوشش ردپا - پوشش ردپا در تست نفوذ - فرایند پوشش ردپا - پوشش ردپا

صاحب امتیاز نت آموز : نویسنده , مدرس و متخصص در زمینه امنیت شبکه های رایانه ای

تعداد پیام ها 2

نظرات غیرمرتبط با محتوای این مطلب تایید نخواهند شد.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *