BASH Kabuk İzlerinizi Koruma - Adli Tıp

xNovem

Üye
9 Tem 2023
150
128
vcRcLMS.png

Merhaba Türk Hack Team Ailesi ben teux bugün forumumuzun konuları en çok beğenilen üyelerinden biri olan @'pump ile ortak konu çalışmamızda "BASH Kabuk İzlerinizi Koruma - Adli Tıp" konularını ele alacağız en detaylandırmalarına ineceğimiz çok emek verdiğimiz bir konu 2 Konuluk Kısa bir temelden bir seri hali olacağından başta konu hazırlayışında çok emeği geçen çok yardımcı olan @'pump a teşekkür eder ve siz değerli üyelerimize keyifli okumalar dilerim.

Bu konu sadece bilgilendirme amaçlı hazırlanmıştır, Yasadışı bir kullanımında şahsım ve pump herhangi bir sorumluluk kabul etmediğini, Tüm sorumluluğun yapan şahısa ait olduğunu belirtmek isteriz. Kullanımlarının kanıtlandığı takdirde daha büyük suçlar ile karşı karşıya kalabileceğinizi hatırlatmakta fayda var. Unutmayın Devlet Bulur... C*

TürkHackTeam_Logo.png
N0FPWLq.png



F3beZqk.png



Terminal kabuğunu düzenli olarak kullanan bizler, geçmişimizin sadece yukarı ve aşağı okları kullanarak kurtarılabileceği gerçeğini seviyoruz. Bu, komutlarımızı yeniden yazarken bize önemli ölçüde zaman kazandırır. Root veya B urne A gain Shell komut geçmişini kaydeder, bash_history adlı bir dosyadır. Aynı zamanda, bu uygun BASH/Terminal geçmişi, sistemdeki faaliyetlerimiz hakkında bir soruşturma yapılması durumunda can sıkıcı olabilir. Neredeyse tüm bilgisayar korsanlığı Linux komut satırından yapıldığından, etkinliklerimiz kolayca deşifre edilebilir ve bu komutları alarak kurtarılabilir.

d2j7wjn.png

(Bu Görsel Alıntıdır.)
F3beZqk.png
Kayıtlı Komut Geçmişi :
BASH izlerini kapatmanın yollarını keşfetmeden önce, bu komut geçmişi hakkında biraz bilgi sahibi olmamız gerekiyor. Linux, komut geçmişinizi ~/.bash_history adlı gizli dosyada saklar. İçeriğini yazarak görebiliriz;

Kod:
more ~/.bash_history

r1d3jy1.PNG




Geçmişi Devre Dışı Bırakma :

BASH kabuğunun komut geçmişimizi kaydetmesini engellemek istiyorsak, HISTSIZE ortam değişkenini sıfıra ayarlayabiliriz. HISTSIZE, kaç komutun depolandığını belirler. Varsayılan olarak, 500 veya 1000 olarak ayarlanmıştır.


BASH kabuğunun komutlarımızı kaydetmesini şu şekilde engelleyebiliriz;
Kod:
export HISTSIZE=0

lgtlxti.PNG


Artık, kabuk artık komut geçmişimizi kaydetmeyecek, ancak Linux sistemimiz üzerinde çalışırken komutlarımızı alma rahatlığını kaybedeceğiz. Bu, her komutu yeniden yazarken bilgisayar korsanlığı için gereken süreyi artırabilir. Bunu yapmaktan nefret ediyorum.






Geçmişi Temizleme :

Komut geçmişini devre dışı bırakmak yerine, -c (clear) anahtarıyla history komutunu kullanarak mevcut BASH kabuğundaki geçmişi temizleyebiliriz .



Kod:
history -c

rdv8i9e.PNG

Ardından, değişikliklerin diske yazıldığından emin olmak için -w anahtarıyla history komutuna bunu yapmasını söylememiz gerekir;



Kod:
history -w

qhjf4ie.PNG




Bu sadece geçerli kabuğun geçmişini temizler . Diğer kabuklarda çalışan komutlar kalacaktır, bu nedenle komut geçmişimizi tamamen kaldırmak için bu komutu her kabukta kullanmamız gerekir. muhtemelen geçmişimizi temizlemenin en uygun yolu değil ve kullandığımız her bir kabuğu hatırlamamızı ve geri dönüp temizlememizi gerektiriyor. Bu daha iyi bir yol olmalı.



F3beZqk.png

Kullanıcının Tam Geçmişini Temizleme :

Muhtemelen komut geçmişimizi silmenin daha etkili ve kullanışlı bir yolu bash_history dosyasına /dev/null yazmak ve ardından history -c ile mevcut kabuğu temizlemektir. Tam olarak bunu yapan ve ardından kabuktan çıkan bir komut oluşturabiliriz. Bu yazarak yapılabilir;


Kod:
cat /dev/null > ~.bash_history && history -c && exit



j5bc5ua.PNG




Şimdi kabuk geçmişine veya bash_history'ye baktığımızda bunların boş olduğunu görebiliriz.



8k2302v.png



Tarihi Parçalamak :

szsysh9.PNG



8meqbwh.PNG




Bu dosyaları silmek harika olsa da, bildiğimiz gibi, bilgili bir adli tıp müfettişi bu silinen dosyaları yine de kurtarabilir

.





Kod:
shred ~/.bash_history

szsysh9.PNG




Terminal işlem komut geçmişini kaydetmesini engellemek için​



F3beZqk.png


Kod:
shred ~/.bash_history && cat /dev/null > .bash_history && history -c && exit




h0swnbc.PNG

Şimdi, birisi komut geçmişimize baktığında boş olacak ve silinen dosyayı kurtarma zahmetine girdiklerinde sadece parçalanmış dosyayı bulacaklar. Başarı! Arkamızda hiçbir kanıt bırakmadık ve izlerimizi başarıyla kapattık!

F3beZqk.png

Komut Geçmişinin Temizlenmesini Otomatikleştirme:
Son olarak, komut geçmişimizin her gün silinmesi için bu işlemi otomatikleştirmek isteyebiliriz. Bu şekilde geçmişimizi silmeyi unutursak (eminim sık sık yaparım), günün sonunda sistem bunu bizim yerimize otomatik olarak yapacaktır.


Öncelikle crontab tablosunu yazarak düzenleme modunda açın;

Kod:
crontab -e

1a50vea.PNG



Crontab'ı kullanarak dosyanın sonuna gidebilir ve aşağıdaki satırı ekleyebiliriz.
Kod:
1 *  * *  shred ~/.bash_history && cat /dev/null > .bash_history
*** (buraya işlem numarası )

Bu komut her sabah saat 1'de yürütülür, önce bash_history parçalanır ve ardından bash_history silinir. Not, history -c komutunu dahil etmedim, çünkü bu dahili bir BASH kabuk komutudur ve crontab'ta kullanılamaz.

F3beZqk.png

Konumuz Burda Sona ermiş bulunmaktadır, Başta belirtmiş olduğumuz üzere bu yazı PUMP ve TEUX a aittir bilgilendirme amaçlı hazırlanmıştır. Buradaki hiç bir bilginin yasadışı kullanılmasını tavsiye etmeyiz. Devlet Baba Bulur :) Yasadışı kullanımında hiç bir sorumluluk kabul etmediğimizi beyan ederiz. İyi Forumlar İyi Çalışmalar.


🇹🇷


Özgünlük Test Raporu:


Virus Total Testi



Pump Popüler Konular:
https://www.turkhackteam.org/konular/linux-dersleri-1-linux-nedir.2029885/

https://www.turkhackteam.org/konular/polisler-bizi-nasil-buluyor.2030108/
https://www.turkhackteam.org/konular/powershell-ile-bilgi-guvenligi-dosya.2033159/

Teux Popüler Konular:

https://www.turkhackteam.org/konular/siber-guvenlik-icin-sistem-onerileri-diz-ustu.2039046/
Tüm Detaylarıyla Web Programlama (SSS)
https://www.turkhackteam.org/konular/network-nedir-lan-wlan-vpn-genel-ozellikler.2038086/


TULU İNOVASYON KULÜBÜNE KATILIM SAĞLAMAK İÇİN


Varlik-592b721538fca625ca.png
feat.'pump
yararlı konu olmuş ellerine sağlık
 

Rebelkan

Blue Team Lider Yrd.
12 Şub 2019
1,909
868
Konu hortlamıș gibi olmasın ama... Güzel, kaliteli hazırlanmış ve yararlı bir konu.

O yüzden yorum bırakmadan geçemedim.

Teşekkürler teux 👍
 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.