N3Xus 🧩 Урок №13 - Как да разпознаеш подмяната – дори когато log-овете мълчат

[toni]

Урок №13 - Как да разпознаеш подмяната – дори когато log-овете мълчат​

---

> Всеки може да изтрие log.
> Но не всеки знае кои log-ове са истински.
> Системата има слоеве. А понякога, самата тя те лъже.
> Няма „лош скрипт“ – има добре прикрит замисъл.

---

Стъпка 1: Слушай какво не казва journalctl​

journalctl --no-pager --quiet | grep -v "expected"
journalctl | grep "Failed password"
journalctl | grep -i "segfault"

# Истинският проблем не се появява в логовете.
# Той се крие в тяхното мълчание.

Стъпка 2: md5sum на себе си​

find /bin /sbin /usr/bin /usr/sbin -type f -exec md5sum {} + > system.md5
diff system.md5 saved_baseline.md5

# Хакерът не чака да го предупредят.
# Той следи собствения си отпечатък.

Стъпка 3: Търси процеси, които се държат… прекалено добре​

ps aux | grep -v "\[" | awk '$3 < 0.1 && $1 != "root"'
lsof | grep deleted
netstat -anp | grep ESTABLISHED

Стъпка 4: Проверка на shadow куклите​

grep -vE "^#" /etc/passwd | awk -F: '$3 >= 1000 {print $1}'
lastlog | grep -v "**Never logged in**"

# Подмяната не е само в командата.
# Тя е в усещането, че нещо… е прекалено наред.

---

"Истинският root не пита `sudo whoami`...
Той усеща, когато нещо е подменено.
Когато логовете мълчат, системата се опитва да те приспи."

– @iFlux

┌──────[@iFlux@phantom_watch]
└─> echo "Контрол не е да виждаш всичко.
Контрол е да усещаш липсата."
​