sh2log pentru momentele când vrei să știi.

Sunt momente când mai mulți oameni lucră pe aceeași mașină/server iar pentru a evita discuții inutile, au fost inventate diverse sisteme de monitorizare.

Și, la fel ca în multe alte cazuri, cele mai eficiente se dovedesc a fi cele vechi (oldies but goldies?)

sh2log este un keylogger (de prin 2006), o aplicație care întregistrează toate comenzile care sunt rulate pe o anumită mașină și apoi oferă posibilitatea vizualizării integrale (și foarte interesant – interactive) a unei sesiuni de lucru.

Am apucat să testez această aplicație pe sisteme CentOS(5) și Ubuntu(10.04, 12.04) și nu pot garanta funcționarea pe alte sisteme, așa că nu recomand testarea decât pe mașini de test.

Despre sh2log se poate citi pe pagina dedicată din packet storm.

Singura cerință pentru a putea instala și rula sh2log este să existe biblioteca de development libX11.
Aceasta trebuie instalată înainte de a compila sh2log.

Pe sisteme Ubuntu comanda de instalare este:

$ sudo apt-get install libx11-dev 

În cazul sistemelor CentOS (cu drepturi de root):

# yum install libX11-devel 

După aceasta procesul e foarte simplu.
Întâi trebuie descărcată arhiva, extrase fișierele și compilat sursele.

# wget http://packetstormsecurity.com/files/download/51780/sh2log-1.0.tgz
# tar zxvf sh2log-1.0.tgz
# cd sh2log-1.0
# make linux

Odată compilarea încheiată, trebuie înlocuite executabilele bash și sh (păstrând și o copie a fișierelor inițiale):

#mkdir /bin/shells/
# cp -p /bin/sh /bin/shells/
# cp -p /bin/bash /bin/shells/
# rm -rf /bin/sh /bin/bash
# cp -p sh2log /bin/sh
# cp -p sh2log /bin/bash

La final, după ce toți pașii au fost executați cu succes, se lansează aplicația de monitorizare:

# ./sh2logd

Din acest moment, orice nouă consolă (fizică sau virtuală) va fi înregistrată.
În directorul în care a fost compilată aplicația vor apărea fișiere având nume de tipul sh2log-20140207-082100.bin

Pentru a vizualiza înregistrările se lansează executabilul parser.

# parser sh2log-20140207-082100.bin 

iar apoi se selectează modul în care se dorește a fi făcută vizualizarea.

Deși nu e o practică recomandată, uneori oferă informații utile despre activitățile desfășurate pe un computer.


Posted

in

by

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

© Alex. Burlacu