BreakPoint Posted June 2, 2012 Share Posted June 2, 2012 Existen tantos tipos de huellas, como tipos de ataques realizados. Lo primero que hay que tener en cuenta, es qué hicimos, y como nos pueden cojer. Para entrar a robar a una casa, puede tirarse la puerta a patadas, utilizar una palanca (Fuerza Bruta), Ganzuas... En el primer caso hay que recomponer la puerta, en el seguro repararla, en el tercero, deshacerse de las ganzuas. Esto no implica que no queden otros rastros. This is the hidden content, please Sign In or Sign Up Existen muchos tipos de herramientas, backdoors, sniffers para capturar datos, logs de acceso de Apache u otros servicios (daemons)... Muchos "Hackers" se limitan a eliminar los access_logs del apache, destruir webshells y backdoors, y root exploit's (Lo cual olvidé en mi último relato, por lo que supieron de la actividad, aunque no conocen su autor), y la cosa no es así. Si creamos un usuario, no bastaría con eliminar la cuenta... ¿Cómo creaste el usuario? ¿Mediante comandos? El fin de esta guía no es realizar el ataque perfecto, sino más bien una orientación. Existen multitud de herramientas, tales como Zappers que afirman eliminar todo rastro... Cuando esto no es así. Daremos un repaso por los medios más utilizados. A) Destrucción del sistema A-1) Esto ocurre cuando la evidencia es tal, que no queda otro remedio. La forma más común, almenos en mi caso, seria inhabilitar el login, y causar un tal destrozo que el único medio sea la destrucción total o parcial. He aquí algunos comandos de interés: rm /etc/passwd rm /etc/shadow rm /bin/login rm /bin/rm rm /etc/inetd.conf killall login B) Capturando y eliminando los access log de Apache. B-1) Esta opción solo es viable si únicamente realizaste un ataque a nivel Web, por ejemplo, una Webshell Los directorios más comunes son: apache/logs/error.log apache/logs/access.log apache/logs/error.log apache/logs/access.log apache/logs/error.log apache/logs/access.log etc/httpd/logs/acces_log etc/httpd/logs/acces.log etc/httpd/logs/error_log etc/httpd/logs/error.log var/www/logs/access_log var/www/logs/access.log usr/local/apache/logs/access_log usr/local/apache/logs/access.log var/log/apache/access_log var/log/apache2/access_log var/log/apache/access.log var/log/apache2/access.log var/log/access_log var/log/access.log var/www/logs/error_log var/www/logs/error.log usr/local/apache/logs/error_log usr/local/apache/logs/error.log var/log/apache/error_log var/log/apache2/error_log var/log/apache/error.log var/log/apache2/error.log var/log/error_log var/log/error.log var/log/access_log var/log/access_log Se puede eliminar con RM, o editar, pero para asegurarse de no dejar nada mal, hacer uso de Tee. C) Eliminar el Bash History C-1) Si, es algo lógico, que mucha gente olvida... C-2) Es tan sencillo como editar y/o eliminar el .bash_history o .sh_history C-3) Recordar: Esto se hace JUSTO ANTES de salir. D) Eliminar todo rastro de exploits, webshells, sniffers, ... D-1) Como comenté, me descubrieron por dejar un Root Exploit. No saben quien fué, pero ahí supongo que seguirá. E) Tener cuidado con los cambios en el sistema E-1) Este paso es vital. Si hiciste un cambio y te agarran, será peor que si solo realizaste la intrusión, dependiendo del pais en el que residas. F) Cuidado con los Backdoors F-1) Durante un corto tiempo puede pasar inadvertido, durante más, puede ser descubierto... Más vale prevenir que curar. G) Eliminar toda cuenta realizada, sobre todo si tiene permisos de Root G-1) No basta con eliminar los permisos de shell (/sh/false) H) Cuidado: Si hay alguien más logeado al sistema, puede ser muy peligroso. H-1) Pueden capturarte fácilmente, además de rastrearte sin el más minimo problema. I) Desconfia de todos. El anonimato implica el silencio absoluto, discreción, y seguridad. Jamás digas "Ataqué X servidor", si hay necesidad, "Ataqué un servidor". Fuera del sistema, si eres buscado, no dudes que te espiarán. I-1) No existe proxy seguro, solo muy faciles, faciles, complejos, y extremadamente complejos. Pero no seguros. J) Cuidado con el syslog. J-1) En ocasiones puede ser más complejo de lo habitual deshacerse de cambios realizados en el. K) Comandos de interés: -Who: Lista usuarios activos. -last: Ultimo inicio de sesión de usuario. -ps: Procesos activos. -lastcom / hostory: Comandos realizados. Véase apartado C. L) Ficheros peligrosos: -utmp: Guarda un registro (log) de los usuarios que están utilizando el sistema mientras estan conectados al sistema. Directorios: /var/adm/utmp y /etc/utmp -wtmp: Guarda un log cada vez que un usuario se introduce en el sistema o sale del sistema. -lastlog: Guarda un log del momento exacto en que un usuario entro por ultima vez. -acct o pacct: Registra todos los comandos ejecutados por cada usuario (aunque no registra los argumentos con que dichos comandos fueron ejecutados). Creditos:Yo-Mismo Link to comment Share on other sites More sharing options...
baron.power Posted August 15, 2012 Share Posted August 15, 2012 Re: Destruccion de huellas sabes de algun rootkit que mecanice la mayoria de estas funciones? gracias Link to comment Share on other sites More sharing options...
Recommended Posts