Админ палит мои действия. Как сделать все скрытно?

Discussion in 'Песочница' started by tenebriss, 1 Oct 2015.

  1. tenebriss

    tenebriss New Member

    Joined:
    1 Oct 2015
    Messages:
    17
    Likes Received:
    4
    Reputations:
    1
    Доброго времени суток.
    Случилось так что ко мне попал доступ к Cpanel от одного крупного ресурса.

    Я туда воткнул сниффер что бы сливать себе нужные данные.

    Через несколько дней админ удалил мой снифф.

    Вопрос - по каким логам или другим действиям он мог меня спалить?

    Все правки в файлах я делал с помощью стандартного редактирования файлов в cpanel.
    После того как все правки были внесены, залил файлик php с touch и восстановил все тачи файлов на те же что были до меня.(исключение могли составлять секунды т.к. они не отображаются в цпанели) потом я этот файл удалил.

    из палевных действий:
    1. один из файлов картинок менялся в размерах. т.е. я туда писал данные а через некоторое время удалял их.
    2. у одного из файлов (картинки) сменились права на 777.


    Админ точно знал все файлы которые я редактировал т.к. исправил тоглько те файлы где я был. (я не во всех делал изменения)

    Какими штатными средствами он мог меня отследить и как от этого защитится т.е. поставить код так что бы он не спалил на протяжении как можно большего количества времени.

    или возможно есть нештатные средства и их можно как то определить?

    Большое спасибо за советы.
     
  2. MoneyMan

    MoneyMan Active Member

    Joined:
    11 Sep 2015
    Messages:
    88
    Likes Received:
    103
    Reputations:
    2
    Скорее всего посмотрел по логам на сервере. Какие файлы менялись. Если есть доступ к SSH то можно удалять все свои действия в логах!
     
  3. tenebriss

    tenebriss New Member

    Joined:
    1 Oct 2015
    Messages:
    17
    Likes Received:
    4
    Reputations:
    1
    возможный вариант. А где обычно логи лежат? как их можно посмотреть и отредактировать?
     
  4. MoneyMan

    MoneyMan Active Member

    Joined:
    11 Sep 2015
    Messages:
    88
    Likes Received:
    103
    Reputations:
    2
    обычно /var/log/
     
  5. dondy

    dondy Member

    Joined:
    5 Jun 2015
    Messages:
    560
    Likes Received:
    61
    Reputations:
    5
    вероятно что можно узнать - если админ проверяет изменение в файлах а так же появление или удаление файлов.
    есть скрипты - делающие снимки md5 хеш файлов хостинга.
    сталвивался с таким, такой файл может быть спрятан в системе заранее или загружаться админом для сверки, а потом удаляться !
     
Loading...