Читаем Секреты супер хакера полностью

Поищите резервные файлы или файлы с автоматическим сохранением через определенный промежуток времени. Некоторые текстовые редакторы оставляют подобные файлы, которые может прочесть каждый, кто на них наткнется, и, если системный администратор недавно редактировал с помощью такого редактора файл, содержащий ценную информацию, например, файл с паролями, значит, вам повезло. Электронная почта тоже не всегда уничтожается автоматически, а скапливается в файлах на диске (возможно, спрятанных). Уничтоженные недавно файлы порой могут не уничтожаться немедленно, а становиться спрятанными, или переноситься в специальную директорию.

Вы можете обнаружить журналы регистрации. При загрузке неопытные пользователи часто набирают пароли в окне приглашения к вводу имени, и в журналах встречаются сообщения о подобных ошибках. Например, если Джордж Вашингтон пытается войти в свой бюджет в UNIX, используя свой пароль "cherrytree", но набирает его слишком поспешно, происходит следующее:

WashingtonUs1ername:cherrytree2Password:

Джордж соображает, что поторопился. Он напечатал свое имя еще до того, как появилось входное приглашение, и его пароль, отнюдь не в виде звездочек, появился в строке пользовательского имени. Он несколько раз нажимает3, чтобы очистить экран, но ошибка-то уже сделана. Где-то в административных директориях появился регистрационный файл следующего содержания:

Unsuccessful login of user cherrytree @ Tue, Mar 24,1992, 14:16:03

Теперь вам остается только перебрать различных пользователей системы, пока вы не найдете того, кому принадлежит этот пароль.

Журналы системных операторов иногда содержат также записи отосланных и полученных файлов, ошибки, явившиеся результатом ввода несанкционированных команд, новых бюджетов или очередных пользователей, получивших статус привилегированного пользователя.

Если говорить о безопасности, первое, что вы должны сделать, загрузившись в чей-либо бюджет, - сразу же постараться узнать, кому он принадлежит (если вы еще не знаете этого). При загрузке вам, скорее всего, будет выдано сообщение о том, когда произошло последнее обращение к бюджету, и, возможно, данные о том, откуда пользователь устанавливал связь.

Если легальный пользователь, бюджет которого вы взломали, только что загружался сам, у вас могут возникнуть проблемы. Заметьте, в какое время дня пользователь входил в бюджет, и сами постарайтесь входить в это же время. Постарайтесь войти в бюджет одновременно с двух разных компьютеров - не появится ли на втором компьютере сообщение об ошибке. Можете ли вы распознать присутствие в бюджете вашего "конкурента"? Вам необходимо узнать обо воем этом, поскольку вам необходимо иметь возможность использовать бюджет, не вызывая подозрений со стороны его владельца.

Например, произошло так, что вы загрузились в бюджет, а в тоже время легальный пользователь, пытаясь сделать то же самое, получает сообщение:

"Пользователь такой-то уже установил связь через вход 11 б". Вы не сможете узнать, что это произошло, но вы можете подготовиться к такому случаю. Пошлите настоящему пользователю сообщение якобы от системного менеджера, и оставьте не прочтенным. Когда настоящий владелец бюджета войдет в систему, его будет ждать нечто вроде:

Message #01

From 1513 SuperUser

То Al-l.USERS@calli.poo.mil

В подразделе группы С системы локальной сети произошла техническая неполадка, что привело к проблемам с работой нескольких из наших схем соединительных портов. Если во время загрузки вы получите сообщение о том, что вы уже вошли в систему, просим вас повторить свой вызов через несколько минут.

Мы приносим свои извинения по поводу возникших проблем и постараемся устранить неисправность как можно скорее, но наладка займет некоторое время. Нам пришлось выбирать между временными неудобствами и полным выключением системы. Мы надеемся, вы согласитесь, что лучше иметь систему с временными недостатками, чем не иметь системы вообще.

Мы ожидаем, что проблема будет решена к 3 марта. Спасибо за сотрудничество.

Пользователи часто хранят в своей директории личные ретроспективные журналы регистрации. Это могут быть ретроспективные отчеты о вводе команд, чтении новостей из определенных групп, передаче или уничтожении файлов. Из них вы сможете узнать, когда и как пользователь работает в системе, а также уровень его пользовательской компетентности.

Если взломанный вами бюджет используется нечасто, можете особенно не опасаться его настоящего владельца - разве что системный менеджер заподозрит неладное, заметив внезапно повысившуюся активность загрузки в бюджет, который никогда не отличался "посещаемостью".

Но, с другой стороны, если обладатель бюджета работает в нем, как говорится, днем и ночью, вам следует опасаться его больше, чем системного оператора, который вряд ли распознает ваши сеансы входа среди множества других.

какие команды следует искать и использовать