Иллюстрированный самоучитель по Secure Web

       

Редактирование журналов регистрации


Профессиональные взломщики обязательно выполнят эту задачу, чтобы скрыть следы своей деятельности. Сделать это можно, отключив систему аудита, изменив время последнего обращения и модификации файлов, а также откорректировав файлы журналов.

Отключение системы аудита

При выполнении своих злонамеренных действий умные взломщики обязательно проверят, установлена ли система аудита, а затем отключат регистрацию определенных событий. Вот несколько шагов, которые предпримет взломщик, чтобы отключить систему аудита для службы каталогов и серверов.

1. Запустите утилиту auditcon из каталога SYS: \PUBLIC.

2. Выберите команду Audit Directory Services.

3. Выберите требуемый контейнер и нажмите клавишу <F10>.

4. Выберите команду Auditing Configuration.

5. Выберите команду Disable Container Auditing.

6. Теперь можно приступать к добавлению контейнеров и пользователей в выбранный контейнер.

Изменение атрибутов файлов

Если взломщик изменил файл autoexec.ncf или netinfo.cfg, то ему вряд ли  захочется, чтобы об этом кому-либо стало известно. Для изменения даты последнего обращения к этим файлам прекрасно подходит утилита SYS:PUBLIC\filer. Как и команда touch систем UNIX и NT, filer — это утилита DOS, предназначенная для поиска файлов и изменения их атрибутов. Модифицировать атрибуты файла очень просто. Для этого нужно сделать следующее.

1. Запустите утилиту filer из каталога SYS: PUBLIC.

2. Выберите команду Manage files and directories.

3. Найдите каталог, в котором расположен требуемый файл.

4. Выделите его.

5. Выберите команду View/Set file information.

6. Измените значения полей Last accessed date и Last modified date, как показано на следующем рисунке.




Содержание раздела