Direto da League of Shadows [*] Removendo Rastros de Uma Invasão Um micro pode armazenar muitos tipos de pistas, e tipos de ataques, então, como entrar em um micro e sair sem deixar pistas ? Existem muitos tipos de ferramentas como backdoors, sniffers, logs e outros serviços. Existem algumas coisa a serem consideradas, como criar um usuário e saber se o user tem privilégios suficientes, e saber como deletar esse user… Muitos são limitados apenas a destruir o access_log do apache, a webshell, o backdoor e a raiz do exploit. Existem muitas ferramentas que prometem remover todos os vestígios, mas isso não e verdade. Isso e não para ser um guia perfeito e sim da um ênfase a essa etapa, um orientação de para um serviço perfeito. Vou deixar os credito ao overload, vamos a uma visão geral dos mais usados: 1° Destruição do sistema * Quando perceber que não ha mais alternativas. Desative o login, isso causa estragos de tal forma que pode causa uma destruição total ou parcial, aqui estão alguns comandos mais usados: rm /etc/passwd rm /etc/shadow rm /bin/login rm /bin/rm rm /etc/inetd.conf killall login 2° Captura e remoção do log de acesso do Apache. * Isso somente seria viável se o ataque fosse apenas no site usando uma webshell. Ele pode ser removido ou editado, tome cuidado para não deixar nada errado. Diretórios mais comuns que armazenam os dados: apache/logs/error.log apache/logs/access.log apache/logs/error.log apache/logs/access.log apache/logs/error.log apache/logs/access.log etc/httpd/logs/acces_log etc/httpd/logs/acces.log etc/httpd/logs/error_log etc/httpd/logs/error.log var/www/logs/access_log var/www/logs/access.log usr/local/apache/logs/access_log usr/local/apache/logs/access.log var/log/apache/access_log var/log/apache2/access_log var/log/apache/access.log var/log/apache2/access.log var/log/access_log var/log/access.log var/www/logs/error_log var/www/logs/error.log usr/local/apache/logs/error_log usr/local/apache/logs/error.log var/log/apache/error_log var/log/apache2/error_log var/log/apache/error.log var/log/apache2/error.log var/log/error_log var/log/error.log var/log/access_log var/log/access_log 3° Eliminar o Bash history. * Muitos se esquecem dele. * E muitos simples edita-lo ou elimina-lo, o arquivo e .bash_history ou .sh_history * Isso somente e para ser feito antes de sair. 4° Removendo os rastros de exploits, sniffers, webshells e etc… * E sempre bom ter um root exploit em mãos… 5° Tenha cuidados com as mudanças no sistema. * Essa e uma parte importantes, se você fez alterações no sistema e for pego, a pena e mais grave dependendo do pais que foi feito a invasão do website. 6° Cuidado com os backdoors. * Em um curto espaço de tempo, ele pode passar despercebido, mas pode se encontrado. 7° Remove todas as contas criados, principalmente se você for ROOT. * Não e suficiente para remover permissões de shell (/sh/false) 8° Você deve ter atenção, para não ter alguém conectado no sistema. * Ter alguém conectado pode ser muito perigoso, você pode ser rastreado e capturado facilmente. 9° Desconfie de tudo, a melhor solução e sigilo absoluto. * Não e o que acontece com a maioria, eles gostam de se gabar do feito, sem leve em conta que isso poderia leva alguém a espiona-lo. * Lembre-se que não existe proxy 100% seguro. 10° Tome cuidado com o syslog. * As vezes pode ser mais complexo do que o normal se livrar das alterações feita nele. 11° Alguns comandos interessantes. * Who – Lista usuários ativos. * last – Login do ultimo usuário. * ps – Lista os processos ativos * lastcom/hostory – Mostra os comandos digitados por um determinado usuário. 12° Arquivos perigosos. * utmp – Grava um registro(log) dos usuários que estão usando o sistema enquanto estiverem conectados a ele. ele se encontra no diretório /var/adm/utmp e / etc/utmp * wtmp – Grava um registro de cada vez que um usuário entra no sistema, ou sair do sistema. * lastlog – Grava um registro exato de quando o usuário entrou pela ultima vez. * acct ou pacct – Registra todos os comandos executados por cada usuário (mas não grava os argumentos para estes comandos executados). #RedSkull
Posted on: Wed, 18 Sep 2013 18:07:37 +0000
Trending Topics
Recently Viewed Topics
© 2015