Sunt momente când mai mulți oameni lucră pe aceeași mașină/server iar pentru a evita discuții inutile, au fost inventate diverse sisteme de monitorizare.
Și, la fel ca în multe alte cazuri, cele mai eficiente se dovedesc a fi cele vechi (oldies but goldies?)
sh2log este un keylogger (de prin 2006), o aplicație care întregistrează toate comenzile care sunt rulate pe o anumită mașină și apoi oferă posibilitatea vizualizării integrale (și foarte interesant – interactive) a unei sesiuni de lucru.
Am apucat să testez această aplicație pe sisteme CentOS(5) și Ubuntu(10.04, 12.04) și nu pot garanta funcționarea pe alte sisteme, așa că nu recomand testarea decât pe mașini de test.
Despre sh2log se poate citi pe pagina dedicată din packet storm.
Singura cerință pentru a putea instala și rula sh2log este să existe biblioteca de development libX11.
Aceasta trebuie instalată înainte de a compila sh2log.
Pe sisteme Ubuntu comanda de instalare este:
$ sudo apt-get install libx11-dev
În cazul sistemelor CentOS (cu drepturi de root):
# yum install libX11-devel
După aceasta procesul e foarte simplu.
Întâi trebuie descărcată arhiva, extrase fișierele și compilat sursele.
# wget http://packetstormsecurity.com/files/download/51780/sh2log-1.0.tgz # tar zxvf sh2log-1.0.tgz # cd sh2log-1.0 # make linux
Odată compilarea încheiată, trebuie înlocuite executabilele bash și sh (păstrând și o copie a fișierelor inițiale):
#mkdir /bin/shells/ # cp -p /bin/sh /bin/shells/ # cp -p /bin/bash /bin/shells/ # rm -rf /bin/sh /bin/bash # cp -p sh2log /bin/sh # cp -p sh2log /bin/bash
La final, după ce toți pașii au fost executați cu succes, se lansează aplicația de monitorizare:
# ./sh2logd
Din acest moment, orice nouă consolă (fizică sau virtuală) va fi înregistrată.
În directorul în care a fost compilată aplicația vor apărea fișiere având nume de tipul sh2log-20140207-082100.bin
Pentru a vizualiza înregistrările se lansează executabilul parser.
# parser sh2log-20140207-082100.bin
iar apoi se selectează modul în care se dorește a fi făcută vizualizarea.
Deși nu e o practică recomandată, uneori oferă informații utile despre activitățile desfășurate pe un computer.
Leave a Reply