Gervasio
Técnico
Registrado: 27 Dic 2007
Miembro Nº: 8587
Mensajes: 730
Ubicación: España |
Borra tus huellas
En la mayoria de los sistemas existen 3 archivos de registro importantes:
WTMP - Todas las entradas/salidas mas tty y host.
UTMP - Quien esta en linea en el momento.
LASTLOG - De donde vinieron los logins.
Existen otros, pero esos seran discutidos en la seccion avanzada. Todos los logins via telnet, ftp, rlogin y en algunos otros sistemas rsh son escritos a estos logs. Es MUY importante que te borres de estos archivos si estas hackeando por que de otra manera:
a) pueden ver desde donde hiciste el hacking
b) desde que host llegaste
c) sabran cuanto tiempo estuviste en linea y calcularan el impacto
#NUNCA BORRES LOS LOGS! Es la forma mas facil de mostrar a el administrador que un hacker estuvo en la maquina. Obten un buen programa para modificarlos.
ZAP -RareGaZz #3- (o ZAP2) es mencionado como el mejor - pero no lo es. Lo unico que hace es sobre escribir la informacion de la ultima persona que entro con ceros. CERT ya saco un simple programa que checa por esos ceros en los logs asi que esa es una forma facil de revelar la presencia de un hacker tambien. De nada sirve hackear R00T si cuando se de cuenta el admin todo tu trabajo no servira de nada!
Otra cosa importante de ZAP es que no funciona si no encuentra los archivos con los registros; asi que #checa los paths antes de compilar!
Obten un programa que CAMBIE la informacion (CLOAK2) o uno bueno que BORRE la entrada (CLEAR).
Normalmente uno debe ser r00t para modificar los registros. Pero si no lograste hackear el r00t ¨que puedes hacer? No mucho:
Has un rlogin a la computadora en la que estes, para añadir un nuevo y no sospechoso LASTLOG que sera mostrado al administrador cuando entre la proxima vez.
Asi el no se pondra nervioso cuando vea "localhost".
Muchas distribuciones de UNIX tienen un Bug con el comando Login. Cuando lo ejecutas sobre escribe el campo login en UTMP (#El que muestra el host de donde vienes!) con tu tty. Los registros por default estan localizados en estos directorios:
UTMP : /etc o /var/adm o /usr/adm o /usr/var/adm o /var/log
WTMP : /etc o /var/adm o /usr/adm o /usr/var/adm o /var/log
LASTLOG : /usr/var/adm o /usr/adm o /var/adm o /var/log
* NO DEJES HUELLA *
Varios hackers se borran de los logs pero se olvidan de borrar otras cosas como archivos en /tmp y $HOME
Shells
Algunas shells dejan un archivo de registro(dependiendo de la configuracion) con todos los comandos que el usuario usa. Eso es muy malo para un hacker.
La mejor alternativa es empezar un nuevo shell como tu primer comando despues de entrar y checar cada vez por un archivo de historia en tu $HOME.
Archivos de historia de comandos:
Shell - Archivo
sh : .sh_history
csh : .history <--- Cincos, Telnor, Microsol, Compunet, orca.etc..
ksh : .sh_history
bash: .bash_history
zsh : .history
En otras palabras: ejecuta "ls -altr" antes de irte!
Aqui hay 4 comandos csh que borraran el archivo .history cuando salgas del sistema para no dejar huella.
mv .logout save.1
echo rm .history>.logout
echo rm .logout>>.logout
echo mv save.1 .logout>>.logout
--------------------------------------------------------------------------------
Es importante que encuentres todos los archivos de registro - hasta los escondidos. Para encontrar todos los tipos de registros existen dos faciles posibilidades.
1) Encuentra todos los archivos abiertos.
Como todos los archivos de registro deben ser escritos en algun lado, obten el programa
LSOF - LiSt Open Files - para verlos ... checalos ...
y si es necesario corrigelos.
2) Busca todos los archivos modificados despues de que entraste. Despues de que entres a un sistema usa el comando
"touch /tmp/check" despues trabaja.
Luego usa el comando "find / -newer /tmp/check -print" y revisa si alguno de esos archivos son de auditoria. observa>revisa>corrige.
Nota que no todos los sistemas y versiones soportan la opcion -newer
Tu tambien puedes hacer un
"find / -ctime 0 -print" o
"find / -cmin 0 -print" para encontrar los registros.
Revisa todos los registros que encuentres. Normalmente los registros estaran en
/usr/adm, /var/adm o /var/log.
Si cosas se registran a @loghost entonces estas en problemas. Tu necesitas hackear la maquina loghost para modificar los logs.
Para manipular los logs puedes hacer "grep -v", o un conteo de lineas con wc, y luego cortar las 10 ultimas con "head -LineNumbersMinus10" o usar
un editor etc.
Si los archivos de registro/auditoria no son archivos de texto sino de datos identifica el software que escribe los registros. Despues consigue el codigo
fuente. Despues encuentra el encabezado que defina la estructura del archivo.
Obten zap, clear, cloak etc. y re-programa los codigos con los encabezados del archivo a usar con este tipo especial de archivos de registro (y despues
pasalo a la comunidad del hacking).
Si un programa de auditoria esta instalado necesitaras el acct-cleaner de zhart, funciona muy bien!
Un pequeño truco para modificar wtmp es necesario si no puedes compilar ningun codigo fuente, perl, etc. Funciona en sistemas Sun pero no en Linux:
Has uuencode de wtmp. Ejecuta vi, ve al final del archivo y borra las ultimas 4 lineas que comienzen con "M" ... despues salvalo y sal., uudecode y las ultimas 5 entradas al wtmp estaran borradas
Si el sistema usa wtmpx y utmpx entonces estas en problemas ... Hasta ahora no conozco ningun programa que pueda modificarlos.
--------------------------------------------------------------------------------
* Revisa los programas de seguridad instalados *
En los sitios conscientes de seguridad, existen algunos chequeadores de seguridad que son ejecutados por cron. El directorio normal para los crontabs son
/var/spool/cron/contabs
Revisa todas las entradas, especialmente las de el archivo "root" y examina los archivos que ejecuta. Para una investigacion rapida de los crontabs del root escribe
"crontab -l root".
Algunas de estas herramientas de seguridad son instaladas por las cuentas administrativas. Algunas de ellas (pequeñas utilidades para revisar wtmp, y si un sniffer esta instalado) estan en ~/bin.
Lee abajo para identificar estos admins y revisar sus directorios.
El software de chequeo interno puede ser tiger, cops, spi, tripwire, l5, binaudit, hobgoblin, s3 etc.
Debes examinar lo que reportan y si ellos reportan algo eso seria un signo de alerta de tus hacks.
Si ese software reporta acciones sospechosas puedes:
- Actualizar los archivos de datos del programa (modo aprendizaje) para que no reporte ese tipo de ataques.
- Reprogramar/modificar el software para que no reporten las acciones sospechosas.
--------------------------------------------------------------------------------
Esta es una pequeña lista de los programas que deberas obtener y usar.
No preguntes donde puedes conseguirlos, necesitas encontrarlos.
Primero un pequeño Glosario:
Cambiar - Cambiar campos del archivo de registro por lo que quieras.
Borrar - Elimina las entradas que desees.
Editar - Un editor para el archivo de registro.
Sobre-Escribir - Sobre-escribe las entradas con valores de zero bytes.
Modificadores de Registro:
ah-1_0b.tar Cambia las entradas de los programas de auditoria.
clear.c Borra las entradas en utmp, wtmp, lastlog y wtmpx
cloak2.c Cambia las entradas en utmp, wtmp y lastlog
invisible.c Sobre-escribe utmp, wtmp y lastlog con valores predefinidos,
asi que es mejor que zap.
marryv11.c Edita utmp, wtmp, lastlog e informacion de auditoria -Mejor!
wzap.c Borra las entradas en wtmp
wtmped.c Borra las entradas en wtmp
zap.c Sobre-escribe utmp, wtmp, lastlog - Puede ser detectado!
|
Ich liebe es... TO!
