Apagando rastros de uma invasão no backtrack

 

Um micro pode armazenar muitos tipos de pistas, e tipos de ataques, então, como entrar em um micro e sair sem deixar pistas?

Existem muitos tipos de ferramentas como backdoors, sniffers, logs e outros serviços. Existem algumas coisa a serem consideradas, como criar um usuário e saber se o user tem privilégios suficientes, e saber como deletar esse user…

Muitos são limitados apenas a destruir o access_log do apache, a webshell, o backdoor e a raiz do exploit.

Existem muitas ferramentas que prometem remover todos os vestígios, mas isso não e verdade. Isso e não para ser um guia perfeito e sim da um ênfase a essa etapa, um orientação de para um serviço perfeito.

Vou deixar os credito ao overload, vamos a uma visão geral dos mais usados:

1° Destruição do sistema
* Quando perceber que não ha mais alternativas.

Desative o login, isso causa estragos de tal forma que pode causa uma destruição total ou parcial, aqui estão alguns comandos mais usados:
rm /etc/passwd
rm /etc/shadow
rm /bin/login
rm /bin/rm
rm /etc/inetd.conf
killall login

2° Captura e remoção do log de acesso do Apache.
* Isso somente seria viável se o ataque fosse apenas no site usando uma webshell. Ele pode ser removido ou editado, tome cuidado para não deixar nada errado.

Diretórios mais comuns que armazenam os dados:
apache/logs/error.log
apache/logs/access.log
apache/logs/error.log
apache/logs/access.log
apache/logs/error.log
apache/logs/access.log
etc/httpd/logs/acces_log
etc/httpd/logs/acces.log
etc/httpd/logs/error_log
etc/httpd/logs/error.log
var/www/logs/access_log
var/www/logs/access.log
usr/local/apache/logs/access_log
usr/local/apache/logs/access.log
var/log/apache/access_log
var/log/apache2/access_log
var/log/apache/access.log
var/log/apache2/access.log
var/log/access_log
var/log/access.log
var/www/logs/error_log
var/www/logs/error.log
usr/local/apache/logs/error_log
usr/local/apache/logs/error.log
var/log/apache/error_log
var/log/apache2/error_log
var/log/apache/error.log
var/log/apache2/error.log
var/log/error_log
var/log/error.log
var/log/access_log
var/log/access_log

3° Eliminar o Bash history.
* Muitos se esquecem dele.
* E muitos simples edita-lo ou elimina-lo, o arquivo e .bash_history ou .sh_history
* Isso somente e para ser feito antes de sair.

4° Removendo os rastros de exploits, sniffers, webshells e etc…
* E sempre bom ter um root explit em mãos…

5° Tenha cuidados com as mudanças no sistema.
* Essa e uma parte importantes, se você fez alterações no sistema e for pego, a pena e mais grave dependendo do pais que foi feito a invasão do website.

6° Cuidado com os backdoors.
* Em um curto espaço de tempo, ele pode passar despercebido, mas pode se encontrado.

7° Remove todas as contas criados, principalmente se você for ROOT.
* Não e suficiente para remover permissões de shell (/sh/false)

8° Você deve ter atenção, para não ter alguém conectado no sistema.
* Ter alguém conectado pode ser muito perigoso, você pode ser rastreado e capturado facilmente.

9° Desconfie de tudo, a melhor solução e sigilo absoluto.
* Não e o que acontece com a maioria, eles gostam de se gabar do feito, sem leve em conta que isso poderia leva alguém a espiona-lo.
* Lembre-se que não existe proxy 100% seguro.

10° Tome cuidado com o syslog.
* As vezes pode ser mais complexo do que o normal se livrar das alterações feita nele.

11° Alguns comandos interessantes.
* Who – Lista usuários ativos.
* last – Login do ultimo usuário.
* ps – Lista os processos ativos
* lastcom/hostory – Mostra os comandos digitados por um determinado usuário.

12° Arquivos perigosos.
* utmp – Grava um registro(log) dos usuários que estão usando o sistema enquanto estiverem conectados a ele. ele se encontra no diretório /var/adm/utmp e /etc/utmp
* wtmp – Grava um registro de cada vez que um usuário entra no sistema, ou sair do sistema.
* lastlog – Grava um registro exato de quando o usuário entrou pela ultima vez.
* acct ou pacct – Registra todos os comandos executados por cada usuário(mas não grava os argumentos para estes comandos executados).

Fonte: http://remote-execution.blogspot.com…a-invasao.html

Anúncios

Abrindo mais de um skype na mesma maquina

Já ensinamos aqui como abrir dois msn no mesmo computador, agora é a vez de ensinarmos a você como fazer para que consiga acessarduas contas, ou como abrir mais de um Skype no mesmo computador. São passos simples e curtos para que você aprenda a faze-lo, você apenas precisa seguir as etapas a baixo:

Passo 1. Antes de tudo, será necessário baixar o Multi Skype Launcher, que é uma ferramenta que permite acessar o Skype com duas contas simultaneamente;

Passo 2. O cadastro no Multi Skype Launcher se dá com sua conta no Gmail, para isso libere o acesso durante a instalação e finalize esse proceesso;

Passo 3. Na próxima tela você deverá inserir os usuários com suas respectivas senhas pelo botão “Add”. Vide imagem abaixo;

Como abrir mais de um skype no mesmo computador

Passo 4. Reinicie o computador. Quando ele ligar novamente abra o Multi Skype Laucher;

Passo 5. Selecione as contas que você deseja utilizar e clique em “Launcher”. O Skype abrirá normalmente com essas contas. Inclusive haverá um ícone na barra inferior do Windows para cada usuário.

Uma grande ferramenta de comunicação, o Skype pode acabar se tornando uma arma contra si próprio, pois grava todas as conversas e se estiver no perfil empresarial, a companhia tem todo direito de acessar o conteúdo.

Fonte:Infomaniaco