BAS: Модуль Инструменты — Функция ОЧИСТИТЬ ЛОГ в Browser Automation Studio
► Обучись BAS с нуля до гуру: https://cutt.ly/bas_free ► Наш Telegram чат по BAS: https://t.me/ae_bas ► Закажи бота под ключ: https://automationempire.ru/ ► Магазин ботов: https://pavelduglas.ru/shop/ ► Скачать BAS: https://cutt.ly/download_bas ► Личный блог с полезными материалами: https://cutt.ly/blog-pd ► Мой инстаграм: https://cutt.ly/insta-pd ► Telegram канал с бонусами и полезными материалами: https://cutt.ly/tg-pd ► Моя книга по криптовалютам «45 моделей заработка криптовалют»: https://cutt.ly/ebook-45 ► Мой трейдинг бот «Bitsmart Trade»: https://cutt.ly/bt-trade-bot BAS: Модуль Инструменты — Функция ОЧИСТИТЬ ЛОГ в Browser Automation Studio Добавляйтесь в друзья: ►TikTok — https://cutt.ly/tt-pd ►Вконтакте — https://cutt.ly/vk-pd ►Facebook — https://cutt.ly/fb-pd ►OK — https://cutt.ly/ok-pd ►Telegram — https://cutt.ly/tg-me-pd Я в Децентрализованных Blockchain сетях: Steemit: https://cutt.ly/steem-it-pd DTube: https://cutt.ly/dtube-pd Golos: https://cutt.ly/golos-pd Cos.TV : https://cutt.ly/costv-pd Павел Дуглас канал Бот Мейкер: Всё про создание ботов для автоматизации любых рутинных действий в бизнесе, заработке или для личных нужд. Узнайте все фишки ботоводов и ботмейкеров на этом канале. Канал ведет эксперт по заработку в интернете, онлайн бизнесу, криптовалютам и автоматизации. #Павел_Дуглас #Browser_Automation_Studio #BAS Возможно вы искали: визуальное программирование, примеры программ по bas, bas уроки, примеры bas, заказать скрипт бас, bablosoft, bas интересные уроки, bas новые уроки, создание на bas бота под кран, browser automation script logic, bas с разными задачами, browser automation studio tutorial, пример скрипта bas, уроки по browserautomationstudio, browserautomationstudio что это, автоматизируем процесс в bas, изучаем browserautomationstudio, бот для заработка, как заработать в интернете, заработать школьнику, боты для заработка реальных денег, зарабатываем легко, бот для заработка денег, бот для сбора биткоинов, создать бот для бизнеса, создать бота онлайн, создать бота без программирования
Показать больше
Войдите , чтобы оставлять комментарии
Как удалить следы активности (логи) при проведении тестирования на проникновение
Аудит ИБ
Автор Martyshkin На чтение 8 мин Опубликовано 04.05.2021
Как удалить записи событий системных журналах
Один из неменее важных аспектов во время тестирования на проникновение – это убедиться, что в системе не останется никаких следов взлома. Как и у злоумышленника, вашей целью может быть взлом (легитимный) целевой системы или сети, однако при разрыве соединения или выходе из взламываемой системы очень важно, чтобы не оставалось никаких следов в журналах или в других логах. Кроме того, во время тестирования на проникновение могут быть сгенерированы новые данные, которые оставляют след в системе и сети. В этой статье мы рассмотрим какие бывают логи, их информативность при расследовании инцидента и как очистить журналы событий в Windows с помощью штатных средств, powershell и cmd.
В область кибербезопасности чрезвычайно быстро растет потребность в специалистах по информационной безопасноти в целях защиты организаций от киберугроз и противодействию злоумышленникам. Кибератака может быть чем угодно: от фишингового письма до заражения вредоносным ПО, атакой с помощью программ-вымогателей(шифровальщиков) и т.д. Международные организации по кибербезопасности и органы сертификации, такие как EC-Council и GIAC, подчеркивают роль в компьютерной криминалистики в цифровом мире. В рамках расследованиях необходимо определить, что произошло, как произошла атака, определить возможных исполнителей, а также прояснить многие другие детали, которые могут помочь при обвинение в суде.
Типы журналов и их расположение
Даллее рассмотрим различные типы журналов, которые пентестер должен опередить для удаления, а также где эти журналы можно найти
Журналы DHCP-сервера
В этих журналах ведется учет присвоения IP-адресов в сети. В этом журнале хранятся все события при взаимодействии между потенциальным DHCP-клиентом и DHCP-сервером. Наибольший интерес здесь представляют MAC-адресса клиентов, которые будут занесены в соответсвующий журнал событий.
Ниже приведены местоположения журналов DHCP-сервера:
Журналы DHCP хранятся в каталоге % SystemRoot% \ System32 \ dhcp для ОС Windows.
В Linux для просмотра журналов DHCP мы можем использовать команду
cat / var / log / syslog | grep -Ei 'dhcp'
События Syslog
Когда внутри организации происходит кибератака, будь то MITM (атака типа человек посередине) или же выявлен хост, который является частью ботнета, незамедлительно проводится расследование. Эксперты проводят сбор событий и их последующий анализ не только на компьютерах, ноутбуках и серверах, но и в сети. Для каждого сеанса или запроса/ответа, происходящего в сети, такие устройства, как межсетевые экраны, системы обнаружения / предотвращения вторжений (IDS / IPS) и др. ведут свои журналы событий в отношении сетевого трафика. Эти устройства используют Syslog protocol для создания сообщений журнала в едином формате со всеми необходимыми деталями, которые могут очень пригодиться при расследовании инцидента информационной безопаности.
В системах Linuх Syslog журналы находятся в / var / log / syslog
Пакетный анализ
Далее,проводя исследования сети, эксперты проводят анализ пакетов, наблюдая за любыми аномалиями в интересующем сегменте сети. Анализ пакетов позволяет определить следующее:
Источник атаки
Загруженые и скачаные файлы
Тип трафика в сети
Время атаки
Извлеченные артефакты, например файлы
URL-адреса и домены
Атакованный хост
Данные телеметрии
Журналы веб-сервера
В этих журналах хранятся сообщения обо всех действиях при взаимодействии между веб-сервером и клиентским веб-браузером. Ниже приведены местоположения различных веб-серверов:
Файлы журнала Internet Information Server (IIS) находятся в
% SystemDrive% \ inetpub \ logs \ LogFiles
Журналы Apache в Red Hat, CentOS и Fedora хранятся в
/ var / log / httpd / access_log и / var / log / httpd / error_log
Для систем Debian и Ubuntu журналы веб-сервера Apache можно найти по адресу
/ var / log / apache2 / access_log и / var / log / apache2 / error_log
Журналы FreeBSD Apache находятся в /var/log/httpd-access.log и
/var/log/httpd-error.log
Журналы базы данных
Во время теста на проникновение вам может быть поручено манипулировать целевой базой данных, будь то создание, изменение, удаление или извлечение информации. При этом базы данных создают собственный набор сообщений журнала.
Журналы базы данных для Microsoft SQL Server можно найти в \\ Microsoft SQL Server \ MSSQL11.MSSQLSERVER \ MSSQL \ DATA \ *. MDF и \\ Microsoft SQL Server \ MSSQL11.MSSQLSERVER \ MSSQL \ DATA \ *. LDF.
Эксперт может проверить журналы ошибок в базе данных на предмет подозрительных действий, их можно найти в \\ Microsoft SQL Server \ MSSQL11.MSSQLSERVER \ MSSQL \ LOG \ ERRORLOG.
Event logs
Журналы событий – это запись действий, предпринятых в системе с участием пользователя и без него. Например журналы безопасности содержат записи о событиях входа в систему, если пользователь успешно авторизовался или же наоборот, о неудачной попытке входа в систему. Event logs фиксируют все, что происходит в системе, с момента ее включения и до выключения. В операционной системе Windows 10 конфигурация журналов событий хранится в следующем разделе реестра:
HKLM \ System \ ControlSet00x \ Services \ EventLog
Чтобы просмотреть список имён доступных журналов событий в Windows 10, используйте команду
wevtutil el
Кроме того, использование команды wevtutil gl представит информацию о конфигурации для выбранного журнала:
Стоит отметить, что сами системные журналы Windows хранятся в C:\Windows\System32\winevt \Logs в локальной системе:
Простое изменение или удаление файлов журналов, хранящихся в этих местах будет вызывать сложности при расследовании инцидента информационной безопаности и безусловно будет затруднять работу экспертов. Станет гораздо сложнее определить фактическую последовательность атаки и ее распространение, что в свою очередь снижает шансы быть обнаруженным.
Очистка журналов в Windows
В операционной системе Windows средство просмотра событий представляет собой приложение, которое объединяет журналы приложений, безопасности, установки и системы на единой информационной панели. Она располагается в:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Просмотрщик событий
Также для открытия средства просмотра событий в Windows достаточно ввести сочение клавиш Win + R , и в окне «Выполнить» ввести eventvwr.msc и нажать OK.
В окне «Просмотр событий» журналы можно очистить, просто выбрав функцию «Очистить журнал» кнопкой на панели «Действия». Чтобы очистить журналы для определенной категории, например всех журналов, которые находятся в группе «Приложение», просто щелкните правой кнопкой мыши имя группы и выберите «Очистить журнал».
Однако не стоит забывать о том, что события об очистке журнала также пишется в лог
Использование PowerShell для очистки журналов в Windows
PowerShell – это очень мощный инстурмент командной строки, который дает системному администратору большой просмтор для администрирования систем, для выполнения и автоматизации операций и задач в операционных системах Windows, MacOS и Linux.
Для начала щелкните значок Windows, который является значком запуска в нижнем левом углу рабочего стола, и введите powershell. Появится приложение Windows PowerShell, или в уже запущенной командной строке введите “powershell”
Убедитесь, что вы запускаете Windows PowerShell от имени администратора. Запуск программы или приложения с правами администратора снимет любые ограничения, с которыми может столкнуться обычный пользователь. Эти ограничения будут включать и привилегии безопасности.
Теперь рассмотрим несколько комманд для очистки журналов.
1.Для очиски всех журналов событий:
wevtutil el | Foreach-Object
После выполнения команды журналы стираются, как показано в средстве просмотра событий:
2 Для очистки определенных журналов с компьютера
Команда Clear-EventLog позволяет администратору очистить / стереть все сообщения журнала : из определенной категории событий. Синтаксис для использования этой команды:
Clear-EventLog
Использование параметра Get-Help, за которым следует командлет Clear-EventLog, предоставит вам дополнительные параметры:
Далее рассмотрим использование командной строки для очистки журналов.
Использование командной строки для очистки журналов в Windows
Теперь рассмотрим использование командной строки для очистки журналов в ОС Windows:
1 Очистка отдельных журналов
Ранее мы использовали команду wevtutil el в командной строке Windows для просмотра списка типов / категорий журналов. Мы можем использовать wevtutil cl, за которым следует конкретный журнал, чтобы стереть / очистить записи в категории журнала:
Кроме того,можно использовать синтаксис clear-log вместо cl:
2.Очистка всех журналов одним скриптом
Когда мы запустили команду wevtutil el, мы увидели длинный список категорий журналов событий. Однако очистка каждой категории занимает довольно много времени, поэтому используйте следующий скрипт для очистки каждой категории при выполнении команды
for / F "tokens = *"% 1 в ('wevtutil.exe el') DO wevtutil.exe cl "% 1"
И чтобы не получить результат “отказано в доступе”, cmd также следует запускать с правами администратора
Использование Meterpreter для очистки журналов Windows
В cоставе the Metasploit framework существует очень продвинутая и динамически расширяемая полезная нагрузка, известная как Meterpreter. Использование этой утилиты на этапе тестирования на проникновение позволит вам выполнять полезные нагрузки stager в целевой системе, которые могут создавать соеднинение или даже обратную оболочку между целью и машиной атакующего.
Metasploit – фреймворк, созданный Rapid7 (www.rapid7.com). Он позволяет тестировщикам на проникновение собирать информацию о цели, обнаруживать уязвимости, создавать и доставлять полезные нагрузки на атакуюемый хост, а также создавать бэкдоры. Отличный набор инструментов для тестирования на проникновение для обнаружения и использования уязвимостей.
Meterpreter разработан, чтобы быть скрытым, мощным и динамически расширяемым. После успешного закрепления в системы ве можете использовать команду clearev для очистки журналов приложений, системы и безопасности:
Как видно на предыдущем скриншоте, Meterpreter очищает журналы каждой категории в целевой системе. Также указано количество очищенных записей.
В этой статье мы рассмотрелли способы скрытия активности во время тестирвоания на проникновение, моделируя атаки на целевую систему или сеть. Мы обсудили различные типы журналов и их расположение. Кроме того, мы рассмотрели несколько сценариев, в которых мы использовали различные методы для очистки журналов в операционных системах Windows.
Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
Как удалить или отключить логи «Информации об использовании почтового ящика?»
Почему я не могу отключить «Информацию об использовании почтового ящика?»
Почему это право предоставлено кому-то еще? Я владелец ящика или ваше ЦРУ или еще какая спец. служба?
Раньше была функция на отключение этой службы, сейчас меня лишили такой возможности !
На каком основании за мной назначена слежка ?
Лучший ответ
Информацию об использовании почтового ящика,
которая отображается в разделе почты «Пароль и безопасность»:
https://e.mail.ru/settings/security
невозможно ни очистить, ни отключить,
нет такой возможности, потому что там убрали опцию
«Сохранять и отображать последние действия в ящике»,
которая была раньше:
https://help.mail.ru/mail-help/settings/security
Вот, даже опрос делала по данному новшеству, когда
оно только начало появляться в почтах пользователей:
https://otvet.mail.ru/question/192488271
Почитайте ещё дополнительно информацию в моём ответе здесь:
https://otvet.mail.ru/answer/1837657746
Можете написать в службу поддержки Почта@Mail.Ru
на этот адрес:
mailsupport@corp.mail.ru
и у них узнать всё, что Вас интересует,
а здесь отвечают простые пользователи
(в заголовке письма укажите тему проблемы)
Ответ от службы поддержки приходит обычно в течении 5 рабочих дней.
Источник: © обычный пользователь проекта
НиколайУченик (79) 6 лет назад
Я 2 раза уже получаю тот же ответ !
Почему я не могу отключить «Информацию об использовании почтового ящика?»
Почему это право предоставлено кому-то еще? Я владелец ящика или ваше ЦРУ или еще какая спец. служба?
Раньше была функция на отключение этой службы, сейчас меня лишили такой возможности .
На каком основании за мной назначена слежка ?
Лена Добровольская-Forever•.♥.ツ Высший разум (3136134) Претензии не по адресу ( Можете написать в службу поддержки Почта@Mail.Ru на этот адрес: mailsupport@corp.mail.ru и у них узнать всё, что Вас интересует, а здесь отвечают простые пользователи (в заголовке письма укажите тему проблемы) Ответ от службы поддержки приходит обычно в течении 5 рабочих дне
Остальные ответы
Умишкой, перетрудившись, тронулись: в почте майл ру лог действий НЕЛЬЗЯ убрать — это с целью усиления контроля за свободой переписки? И отчего-то аникак нельзя не пущать, вычернить нежелательного борзописьца! Пишет и пишет, пишет и пишет! И адрес почтовый не поменяешь — только новый вводи?! Когда эти и прочие ненужности уберутся? А как достаёт реклама, в том числе и хозяев программ — Почта и проч.
Как очистить логи действий в настройках?
Здравствуйте. Очистить историю действий нельзя в целях безопасности.
MAУченик (176) 1 год назад
Это вопрос не безопасности, а в том, то ФСБ этого не хочет
Остальные ответы
спасибо за помощь, кстати
прогуглил твой вопрос — https://xakep.ru/2016/05/05/windows-delete-history/
Мамка твояМудрец (18613) 2 года назад
Вообще-то вопрос был про почту. А если конкретно, то
https://e.mail.ru/settings/actions
Похожие вопросы
Ваш браузер устарел
Мы постоянно добавляем новый функционал в основной интерфейс проекта. К сожалению, старые браузеры не в состоянии качественно работать с современными программными продуктами. Для корректной работы используйте последние версии браузеров Chrome, Mozilla Firefox, Opera, Microsoft Edge или установите браузер Atom.