دسته بندی نشده
حذف ردپا در لینوکس برای هکرها

حذف ردپا در لینوکس برای هکرها

لینوکس را مانند محیطی ببینید که منابع را مدیریت می کند تا شما کارهای خود را توسط آن انجام دهید. از طرفی هکر وارد سیستم می شود و اقداماتی انجام میدهد. از این رو اقدامات هکر باید مخفی بماند. پس حذف ردپا در لینوکس برای هکرها امری بسیار مهم و حیاتی است.

اما این ردپا ها در کجا ثبت می شوند؟

فایل لاگ در سیستم عامل لینوکس چیست؟

لینوکس زبان انسان را نمیفهمد. برنامه نویس سیستم عامل و ابزار های موجود سعی دارند تا از طریق یک سری متن که در فایل ذخیره میشوند به صاحب سیستم اطلاعرسانی کنند.

در لینوکس همه چیز فایل است و از این رو لینوکس از طریق فایل با مدیر سیستم صحبت می نماید. این فایلها که لینوکس اطلاعات خود را در آنها می نویسد لاگ (Log) نام دارند.

چه چیزی در فایل لاگ نوشته میشود؟

وضعیت و نتیجه تمامی رویداد هایی که روی سیستم عامل انجام میشود در فایل لاگ ذخیره می شود. از این رو اگر سیستمی هک شود کی شود بسیاری از کارهای انجام شده را در فایل لاگ مرتبط با موضوع ذخیره کرد.

کاربرد لاگ برای هکر ها

هکر کلاه سیاه تلاش دارد تا وارد یک سیستم مهم شود و چیزهایی که نیاز دارد را بردارد.

در بیشتر مواقع خواسته هکر ماندن در سیستم است. مثلا میخواهد مشخصات مشتریان شما را بردارد یا این که اطلاعات مالی مشتریهای شما استفاده کند.

مالک سیستم باید بداند چه اتفاقی افتاده است و هکر به کجا سر زده است. این تغییرات را مدیر یا مالک سیستم در فایلهای لاگ می تواند مشاهده کند.

از این رو، هکر باید ردپای خود را مخفی کند یا شاید فایلها را تغییر دهد تا مدیرسیستم متوجه اقدامات وی نشود. پس نتیجه می گیریم که اگر سیستمی مورد هک قرار گرفت باید ردپاها را دنبال کنید تا بتوانید از آسیب هایی که در آینده رخ می دهند جلوگیری کنید.

روش های زیادی برای حذف ردپا وجود دارد. از طرفی هم با روش های زیادی می شود رد پای هکر را تشخیص داد.

سیستم هتی زیادی برای تشخیص نفوذ وجود دارد و تکنولوژی فناوری اطلاعات در این زمینه به ابزار های بسیاری مجهز گردیده است.

قبل از هر چیز بهتر است در صورت تمایل سری به دوره لینوکس مقدماتی برای هکر ها بیندازید. این دوره بیش از ۹ ساعت آموزش کاربردی را برای شما فراهم نموده است. و برگرفته از کتاب بسیار ارزشمند زیر می باشد.

یکی از این روش های تشخیص ردپا در لینوکس، بررس فایل لاگ توسط سیستم های IDS (تشخیص نفوذ) است.

این سیستم ها مانند یک انسان ولی با سرعت بیشتر از انسان این فایل ها را بررسی می کنند و به دنبال اقدامات مشکوک می گردند.

حالا از کجا لینوکس میداند که باید چه چیزی را ذخیره کند؟

سرویس Syslog

سرویس Syslog مسئول ذخیره در فایل های لاگ در لینوکس است.

لینوکس مجموعه ای از برنامه های آماده در حافظه دارد که همیشه آماده به خدمت هستند و اقدامات خاصی انجام میدهند.

syslog تمام وظیفه ای که دارد، رسیدگی به حال فایلهای لاگ است. برای آشنایی دقیق تر با سرویس ها میتوانید به لینوکس مقدماتی برای هکر ها مراجعه نمایید. ما در این دوره مدیریت سرویس ها را در کنار مطالب بسیار زیادی آموزش داده ایم.

مدیریت فایل های لاگ

فتیل لاگ احتیاج به مدیریت دارد. ممکن است لازم نباشد برخی لاگها ذخیره شوند. یا این که بیش از حد نیاز آنها را نگهداری کنیم.

دسته بندی کردن فایلهای لاگ بسیار اهمیت دارد و میتوانید فایل هتی لاگ را به دسته های زیر تقسیم بندی کنید.

  • هسته لینوکس
  • بوت
  • ابزارهای مدیریت بسته های نصبی
  • سرویس های کاربردی
  • سرویس های مرکزی

در کنار دسته بندی میتوانید توسط این سرویس لاگها را در مکانی دیگر ذخیره نمایید (مثلا روی یک سرور دیگر).

دسته بندی لاگ های لینوکسی

دسته بندی کردن لاگها بسیار مهم است. این که بدانید فایل لاگ هر قسمت از سیستم عامل در کجا قرار دارد، کمک خواهد کرد تا زود تر مشکلات را پیدا کنید.

مثلا اگر مشکوک شدید که اتفاقی در هسته سیستم عامل لینوکس افتاده است میتوانید به سراغ فایل لاگ هسته لینوکس بروید تا در آنجا رخداد ها را بررسی کنید.

اولویت بندی لاگهای لینوکس

در هر سیستمی (بسته به پلتفرم نصب شده) ممکن است لاگهای مهم و لاگهای بی اهمیت وجود داشته باشند. مثلا ممکن است روی یک وب سرور لازم شود تا خطا ها بصورت لاگ ذخیره شوند اما لاگ هر درخـواست ورودی به وب سرور نادیده گرفته شود. چرا؟

چون صرفا منابع را مصرف میکند و در آنجا شما اطلاعات هارد خود را نیاز خواهید داشت تا صرف نیاز های مشتریان و کاربران سیستم خود نمایید.

پس بهتر است آنها را به سطوح زیر (بسته به اولویت) تقسیم بندی کنید.

  • emerg
  • alert
  • crit
  • err
  • warning
  • notice
  • info
  • debug
  • none

البته ممکن است نام یا ترتیب آنها بسته به توزیع لینوکس متفاوت باشد.

سطح اهمیت لاگهای بالا به ترتیب اهمیت است. یعنی بالاترین ها مهم ترین ها هستند.

ذخیره لاگ در مکانی دیگر

سرویس syslog با سایر سرویس های syslog دوستانه برخورد میکند. آنها میتوانند اطلاعات را بین یکدیگر ردوبدل کنند. در نتیجه با این قابلیت میتوانید به اکثر سیستم های ids مبتنی بر لینوکس اطلاعات لاگ خود را با هر سطح اهمیتی ارسال کنید

از این رو اگر سیستم شما با مشکل مواجه شود اطلاعات شما در مکان دیگری ذخیره شده است.

همچنین میتوانید از سرویس های مانیتورینگ حرفه ای مانند زبیکس استفاده کنید. ما این دوره را بصورت جامع با نام دوره جامع زبیکس ۵ فراهم نموده ایم.

Author

خسرو نظری

دانش آموخته کارشناسی ارشد فناوری اطلاعات (گرایش طراحی و تولید نرم افزار)، توسعه دهنده وب، مدیرپروژه های نرم افزاری، مدیرسیستم (sysadmin) لینوکس، مشاور مانیتورینگ و مدیر مجموعه تحلیل یار

Leave a comment

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *