Estou trabalhando em um projeto pentesting, e tenho a seguinte configuração: Eu tenho um daemon SSH que está tentando registrar toda a atividade acontecendo em conexões SSH para outro servidor. Estou tentando desativar esse registro e, em particular, fazê-lo de uma maneira que evite ser detectado. Assim, tenho os seguintes requisitos:
- Eu preciso ser capaz de matar uma conexão TCP existente e, idealmente, com o mínimo possível de dados em buffer enviados. Ou seja, se houver dados de saída em buffer no kernel, seria ideal se esses dados fossem descartados sem serem enviados.
- Para conseguir isso, é melhor que o comando que eu preciso digitar seja o mais curto possível para que todo o comando possa ser armazenado no aplicativo de registro ou no buffer de TCP do kernel. Dessa forma, se o primeiro ponto de marcador for alcançado, o servidor de log nunca receberá informações sobre o fato de que o log foi desabilitado; ele aparecerá apenas como uma interrupção de rede.
Eu tentei iptables -A OUTPUT -d <ip of logging server> -j DROP
, mas isso não funciona - o texto do comando em si consegue ser enviado antes que a regra seja aplicada. Eu também tentei tcpkill
, da mesma forma sem sucesso.