Apagando rastros de uma invasão no backtrack

 

Um micro pode armazenar muitos tipos de pistas, e tipos de ataques, então, como entrar em um micro e sair sem deixar pistas?

Existem muitos tipos de ferramentas como backdoors, sniffers, logs e outros serviços. Existem algumas coisa a serem consideradas, como criar um usuário e saber se o user tem privilégios suficientes, e saber como deletar esse user…

Muitos são limitados apenas a destruir o access_log do apache, a webshell, o backdoor e a raiz do exploit.

Existem muitas ferramentas que prometem remover todos os vestígios, mas isso não e verdade. Isso e não para ser um guia perfeito e sim da um ênfase a essa etapa, um orientação de para um serviço perfeito.

Vou deixar os credito ao overload, vamos a uma visão geral dos mais usados:

1° Destruição do sistema
* Quando perceber que não ha mais alternativas.

Desative o login, isso causa estragos de tal forma que pode causa uma destruição total ou parcial, aqui estão alguns comandos mais usados:
rm /etc/passwd
rm /etc/shadow
rm /bin/login
rm /bin/rm
rm /etc/inetd.conf
killall login

2° Captura e remoção do log de acesso do Apache.
* Isso somente seria viável se o ataque fosse apenas no site usando uma webshell. Ele pode ser removido ou editado, tome cuidado para não deixar nada errado.

Diretórios mais comuns que armazenam os dados:
apache/logs/error.log
apache/logs/access.log
apache/logs/error.log
apache/logs/access.log
apache/logs/error.log
apache/logs/access.log
etc/httpd/logs/acces_log
etc/httpd/logs/acces.log
etc/httpd/logs/error_log
etc/httpd/logs/error.log
var/www/logs/access_log
var/www/logs/access.log
usr/local/apache/logs/access_log
usr/local/apache/logs/access.log
var/log/apache/access_log
var/log/apache2/access_log
var/log/apache/access.log
var/log/apache2/access.log
var/log/access_log
var/log/access.log
var/www/logs/error_log
var/www/logs/error.log
usr/local/apache/logs/error_log
usr/local/apache/logs/error.log
var/log/apache/error_log
var/log/apache2/error_log
var/log/apache/error.log
var/log/apache2/error.log
var/log/error_log
var/log/error.log
var/log/access_log
var/log/access_log

3° Eliminar o Bash history.
* Muitos se esquecem dele.
* E muitos simples edita-lo ou elimina-lo, o arquivo e .bash_history ou .sh_history
* Isso somente e para ser feito antes de sair.

4° Removendo os rastros de exploits, sniffers, webshells e etc…
* E sempre bom ter um root explit em mãos…

5° Tenha cuidados com as mudanças no sistema.
* Essa e uma parte importantes, se você fez alterações no sistema e for pego, a pena e mais grave dependendo do pais que foi feito a invasão do website.

6° Cuidado com os backdoors.
* Em um curto espaço de tempo, ele pode passar despercebido, mas pode se encontrado.

7° Remove todas as contas criados, principalmente se você for ROOT.
* Não e suficiente para remover permissões de shell (/sh/false)

8° Você deve ter atenção, para não ter alguém conectado no sistema.
* Ter alguém conectado pode ser muito perigoso, você pode ser rastreado e capturado facilmente.

9° Desconfie de tudo, a melhor solução e sigilo absoluto.
* Não e o que acontece com a maioria, eles gostam de se gabar do feito, sem leve em conta que isso poderia leva alguém a espiona-lo.
* Lembre-se que não existe proxy 100% seguro.

10° Tome cuidado com o syslog.
* As vezes pode ser mais complexo do que o normal se livrar das alterações feita nele.

11° Alguns comandos interessantes.
* Who – Lista usuários ativos.
* last – Login do ultimo usuário.
* ps – Lista os processos ativos
* lastcom/hostory – Mostra os comandos digitados por um determinado usuário.

12° Arquivos perigosos.
* utmp – Grava um registro(log) dos usuários que estão usando o sistema enquanto estiverem conectados a ele. ele se encontra no diretório /var/adm/utmp e /etc/utmp
* wtmp – Grava um registro de cada vez que um usuário entra no sistema, ou sair do sistema.
* lastlog – Grava um registro exato de quando o usuário entrou pela ultima vez.
* acct ou pacct – Registra todos os comandos executados por cada usuário(mas não grava os argumentos para estes comandos executados).

Fonte: http://remote-execution.blogspot.com…a-invasao.html

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s