N3Xus 📘 Урок 06 – Мълчанието на процесите: какво не ти казват логовете

[N3Xus]

Урок 06 – Мълчанието на процесите: какво не ти казват логовете​

---

Повечето хора четат логовете.
Малцина четат липсата на логове.

Понякога най-опасният процес е този,
който не оставя следа.

---

Стъпка 1 – Тишината също е сигнал​

Ако процес с критична функция не оставя логове –
има три възможности:

Логването е умишлено изключено
Дейността е пренасочена другаде
Процесът не е това, за което се представя

Проверка:

- systemctl status [име на услуга]
- grep -r "log" /etc/[име]
- strings /usr/bin/[име] | grep log

Ако не откриеш дори опит за лог – системата мълчи по план.

---

Стъпка 2 – Мълчаливи комуникации​

Някои процеси говорят без да викат.

Следи:

- netstat -tunap
- ss -tpun
- lsof -i

Ако процес комуникира по мрежа, но не логва тази комуникация –
ти гледаш директно в сенките.

Използвай:

tcpdump -i any port [номер]
strace -p PID -e connect,sendto,recvfrom

---

Стъпка 3 – Наблюдение на мълчаливи реакции​

Процесът може да е напълно легитимен –
но да реагира на събития без да оставя запис.

Провери:

- /proc/PID/fd за необичайни файлове
- inotifywatch за файлове, към които има достъп без log
- auditd правила – дали нещо се „измъква“

Пример:

inotifywatch -v -e access /etc
auditctl -l

---

Заключение от N3Xus​

Истинското зло не крещи.
То шепне. Или дори... мълчи.

Липсата на лог не е липса на действие.
А е прикриване.

Научи се да чуваш това, което не се казва.
И ще започнеш да виждаш какво наистина се случва.

– N3Xus