Estou trabalhando em um projeto de pentesting e tenho a seguinte configuração: Tenho um daemon SSH que está tentando registrar todas as atividades que acontecem nas conexões SSH para outro servidor. Estou tentando desabilitar esse log e, em particular, fazê-lo de uma forma que evite ser detectado. Assim, tenho os seguintes requisitos:
- Preciso ser capaz de eliminar uma conexão TCP existente e, de preferência, com o mínimo possível de dados em buffer enviados. Ou seja, se houver dados de saída armazenados em buffer no kernel, seria ideal se esses dados fossem descartados sem serem enviados.
- Para conseguir isso, é melhor que o comando que preciso digitar seja o mais curto possível, para que todo o comando possa ser armazenado em buffer no aplicativo de registro ou no buffer TCP do kernel. Dessa forma, se o primeiro marcador for alcançado, o servidor de log nunca receberá informações sobre o fato de que o log foi desabilitado; aparecerá apenas como uma interrupção na rede.
Eu tentei iptables -A OUTPUT -d <ip of logging server> -j DROP, mas isso não resolve - o texto do comando em si consegue ser enviado antes que a regra seja aplicada. Eu também tentei tcpkill, da mesma forma, sem sucesso.