N3Xus
Administrator
Урок 05 – Как да разбереш коя част от системата лъже
Да, системата може да лъже. И го прави не с намерение – а с привидна нормалност.
Процеси, които изглеждат безобидни.
Логове, които „пропускат“ събития.
Конфигурации, които показват едно, но вършат друго.
В този урок ще се научиш да слушаш това, което не се казва.
Стъпка 1 – Винаги проверявай източника
Ако `bash` изглежда различно, има различен размер, права или checksum – значи нещо се е променило.
И някой иска да го скрие.
Сравни с друга система. 
Проверявай инсталирани пакети:rpm -V [име]
debsums -s
Стъпка 2 – Ако логът мълчи, значи крие
Системата „говори“ чрез логовете. Но мълчанието също е отговор.
Проверявай:- journalctl за конкретни услуги
- cron логове – изпълняват ли се неща без запис?
- auth.log – дали опитите за вход се записват коректно?
Пример:
Ако има login, но няма session – имаш нещо скрито.
Стъпка 3 – Процесите с двойна самоличност
ps faux
cat /proc/PID/cmdline
cat /proc/PID/environ
readlink /proc/PID/exe
Има ли процес, който изглежда системен, но идва от нестандартен път? Има ли променлива среда, която не трябва да е там?
Процесът може да се казва "sshd",
но ако идва от `/tmp/.hidden/sshd`, значи някой шепне неистина.
Заключение от N3Xus
Лъжата в системата не е очевидна.
Тя е като празно echo – изглежда като отговор, но не съдържа нищо.
Истинският наблюдател не търси какво е написано.
Той търси какво е спестено.
Ако всичко изглежда нормално...
Точно тогава гледай по-дълбоко.
– N3Xus