О каких-таких статьях УК идёт речь? :) В смысле работы же выполнялись по УСТНОЙ договорённости, после "акции" трутся логи messages, lastlog, wtmp, secure. Причём трутся скриптом по команде запущенной из at, а потом он сам себя удаляет. Для контроля копируется куда-то файл /etc/shadow-, а в случае смены пароля из крона прописывается периодическое копирование с перезаписью нового shadow- старым (вызов можно прописать в недра периодически выполняемого, "легитимного", системой скрипта. Такое очень трудно отследить, это может быть рядовая операция системы.) Тереть, конечно же, в системе ничего не нужно. Я бы, по той-же команде at сделал подмену конфигурационных файлов SQUID-, BIND-, SMTP-, POP-серверов и других. Причём не все сразу, а с интервалом в день-два, тут по вкусу. Запретил бы коннект в рутовую консоль с локального терминала сервера, оставил бы только удалённую возможность получения рута через какой-нибудь ничего не говорящий аккаунт, похожий на системный. Делать открытые релеи и всякую чепуху не стал бы, потом труднее "отмыться" будет, если заплатят и попросят систему реанимировать. Одним словом изменить настройки так, чтобы создалась полная картина "умирания" системы, о которую легко потом "вылечить", записав предварительно все сделанные изменения. Только не забывай чистить логи посещения. Тогда доказать твоё участие в этом будет весьма и весьма трудно. Да и работать лучше через каскад анонимных прокси, желательно как наших, так и зарубежных. Тогда даже по запросу провайдера трудно будет отловить источник изменений, если вообще возможно. Это же не кино, где все бескорыстно будут помогать ловить кибер-хулигана, всем миром :) Судя по тому, что тебя приглашали делать работу, специалистов у них нет, контора не большая (большие денег не жалеют - себе дороже потом). А когда к тебе обратятся за помощью можно поломаться немного, выбить старый долг с процентами (по возможности), плюс ещё за восстановление.
|