Agosto-2001

            
                            .:La Grande Guida AllHacking Di IIS:.            
                                                                                
                                       [realizzata da]                          
                       ___                                                      
                      /     __   __  |/  |__   __   __  |/   ___   __           
                      \___ (__) (__) |\ |__) (__) (__) |\ (__/_ |  '          
                                                                                
                                                                                
                                            ___                                 
                                           (__/_                                
                                                                                
                     _                                                          
                    |_  ___  |   _|_   __   __    __  __   __   __              
                    |  (__/_ |_,  |_, (__) |  ) __)  |__) |  ' (__( (__|        
                                                     |                _|        
            

3 LOG

Gli avvenimenti riguardanti il web server IIS (e il server FTP) vengono normalmente LOGgati da "inetinfo.exe" nella  directory "WinDir\System32\LogFiles".

Un esempio di file di LOG  il seguente:

192.168.0.1, -, 10/20/00, 0:28:56, W3SVC23, ORCHID, 209.236.24.166, 187, 375, 2852, 200, 0, GET, /images/logo.gif, -,
192.168.0.1, -, 10/20/00, 0:29:14, W3SVC23, ORCHID, 209.236.24.166, 0, 371, 2852, 200, 0, GET, /images/logo.gif, -,
192.168.0.2, -, 10/20/00, 2:20:47, W3SVC23, ORCHID, 209.236.24.166, 0, 497, 315, 403, 5, GET, /, -,
192.168.0.3, -, 10/20/00, 6:24:53, W3SVC23, ORCHID, 209.236.24.166, 0, 265, 334, 403, 5, GET, /, -,
192.168.0.1, -, 10/20/00, 7:27:19, W3SVC23, ORCHID, 209.236.24.166, 15, 373, 318, 302, 0, GET, /extreme/enter/, -,
192.168.0.1, -, 10/20/00, 7:27:19, W3SVC23, ORCHID, 209.236.24.166, 125, 374, 334, 403, 5, GET, /extreme/enter/, -,

Facciamo finta che il file sopra riportato contenga il nostro IP (per esempio 192.168.0.1), poniamo caso che il file si chiami in000732.log e sia contenuto nella cartella W3SVC3 in LogFiles "c:\WINNT\System32\W3SVC3\in000732.log", ci baster eseguire il comando sotto riportato per cancellare le nostre tracce:

 type c:\WINNT\System32\W3SVC3\in000732.log | find /V "192.168.0.1" > temp | del c:\WINNT\System32\W3SVC3\in000732.log | move temp c:\WINNT\System32\W3SVC3\in000732.log

Questa serie di comandi, a cui baster sostituire le "variabili" che indicano File e IP per adattare ad ogni occasione, compie le seguenti azioni:
1) visualizza il contenuto del file (attraverso il comando 'type');
2) cerca e cancella le righe contenenti il vostro IP ('find /V "192.168.0.1"');
3) tiene in memoria il file "filtrato" (' > temp');
4) cancella il vekkio file ('del');
5) sostituisce il vekkio file con quello temporaneo privo delle nostre tracce ('move temp ...');

Facile, no? Peccato che abbiamo trascurato un "piccolo particolare"... "il file  usato da Windows" (dal sopra citato "inetinfo.exe")! :o\ Ma nn preokkupatevi, baster, infatti, killare "inetinfo.exe" per "liberare" il file di LOG (per farlo dovete avere accesso come Administrator, nella prossima versione di questa guida spiegheremo l'uso dell'exploit delle estensioni .printer ISAPI... pazientate! :o)). Come? Dovrete usare "pslist.exe" per ottenere la lista dei processi e trovare quello di "inetinfo.exe" e, successivamente, killarlo usando pskill.exe. Ora potete scrivere liberamente sui file di LOG ma ricordatevi di riavviare InetInfo ("c:\WINNT\SYSTEM32\inetsrv\inetinfo.exe") al termine dell'operazione!

I file pslist.exe e pskill.exe sono reperibili su http://umcrew.supereva.it ;o)

Con questa breve guida all'occultamento delle vostre tracce finisce questa prima versione della "Grande Guida all'hacking di IIS", concludo sperando che questo testo nn abbia semplicemente insegnato al lamer di turno altri modi per rompere i coglioni alla gente ma sperando che abbia alimentato la curiosit e l'interesse del lettore nell'ambito della sicurezza informatica. Cook.

                           _________________________________________
                          [                                         ]
                          [            Copyright (C) 2001           ]
                          [                                         ]
                          [ FeltonSpray  - feltonspray@katamail.com ]
                          [                                         ]
                          [   Cookbooker - cookbooker@libero.it     ]
                          [                                         ]
                            