Achando Rastros de Uma Invasão
Nao se preocupe… sera muito facil encontrar rastros
deixados por um lammer. primeiro porque lammers soh sabem fazer o que as
receitas mostram, eles nao se preocupam em variar as tecnicas usadas. entao o
que voce vai encontrar vai ser exatamente como esta nos txts. vamos ver…
a backdoor mais lamah possivel voce pode encontrar no /etc/passwd.
[root@localhost /etc]# grep “:0:0:” /etc/passwd
root:x:0:0:root:/root:/bin/bash
lamah::0:0::/:/bin/sh
ok… achamos nosso lammer… vamos ver c ele nao deixou outras backdoors aki…outras 2 backdoors comums sao suidshell e inetdaemon. para acha-las…
[root@localhost /etc]# grep “sh” /etc/inetd.conf
courier stream tcp nowait root /bin/sh sh -i
uma variacao desta pode ser…
[root@localhost /etc]# grep “\-i” /etc/inetd.conf
swat stream tcp nowait root /usr/sbin/swat swat -i
veja q o servico esta chamando o /usr/sbin/swat com os mesmos atributos do /bin/sh. vamos conferir para ver c swat == sh.
[root@localhost /etc]# ls /bin/*sh
/bin/ash /bin/bsh /bin/ksh /bin/tcsh
/bin/bash /bin/csh /bin/sh /bin/zsh
[root@localhost /etc]# cmp -c /bin/ash /usr/sbin/swat
/bin/ash /usr/sbin/swat differ: char 25, line 1 is 20 ^p 220 m-^p
[root@localhost /etc]# cmp -c /bin/bash /usr/sbin/swat
[root@localhost /etc]#
aha!!! soh pra quem nao sabe… cmp serve para comparar arquivos. comente a linha no inetd.conf e reinicie o inetd. para achar suidshells use:
[root@localhost /]# find / -type f \( -perm -04000 -o -perm -02000 \) -user root
a backdoor mais lamah possivel voce pode encontrar no /etc/passwd.
[root@localhost /etc]# grep “:0:0:” /etc/passwd
root:x:0:0:root:/root:/bin/bash
lamah::0:0::/:/bin/sh
ok… achamos nosso lammer… vamos ver c ele nao deixou outras backdoors aki…outras 2 backdoors comums sao suidshell e inetdaemon. para acha-las…
[root@localhost /etc]# grep “sh” /etc/inetd.conf
courier stream tcp nowait root /bin/sh sh -i
uma variacao desta pode ser…
[root@localhost /etc]# grep “\-i” /etc/inetd.conf
swat stream tcp nowait root /usr/sbin/swat swat -i
veja q o servico esta chamando o /usr/sbin/swat com os mesmos atributos do /bin/sh. vamos conferir para ver c swat == sh.
[root@localhost /etc]# ls /bin/*sh
/bin/ash /bin/bsh /bin/ksh /bin/tcsh
/bin/bash /bin/csh /bin/sh /bin/zsh
[root@localhost /etc]# cmp -c /bin/ash /usr/sbin/swat
/bin/ash /usr/sbin/swat differ: char 25, line 1 is 20 ^p 220 m-^p
[root@localhost /etc]# cmp -c /bin/bash /usr/sbin/swat
[root@localhost /etc]#
aha!!! soh pra quem nao sabe… cmp serve para comparar arquivos. comente a linha no inetd.conf e reinicie o inetd. para achar suidshells use:
[root@localhost /]# find / -type f \( -perm -04000 -o -perm -02000 \) -user root
vai ser
exibido uma lista com todos os arquivos suids com owner root. cabe a voce saber
o que eh programa do linux e o que foi criado pelos usuarios. uma dica… eh
comum deixar as suidshells no mesmo diretorio onde eles deixam seus programas
tais como xploits, sniffers e clearlogs. outra coisa… os diretorios usados sao
na maioria das vezes os com permissao de all+rwx como /tmp e /var/tmp ou nos
homedirs. tambem ha a posibilidade deles criarem os dir por issu voce pode
procurar por estes com o comando:
[root@localhost /etc]# find / -type d -perm 0777
outro detalhe… esses lammers vao provavelmente rodar um portscan qualquer no seu host por issu voce pode acha-lo no log do syslogd (/var/logs/messages) caso ele nao tenha sido modificado. procure tambem nos ~/.history’s e nos wtmp, utmp e lastlog. lammers nunca dao muita importancia aos logs.
2. hacker beginner.
este vai se parecido com o lammer quanto ao fato dos diretorios… ele precisa de um lugar para por seus arquivos. ache o diretorio e voce acha o hacker. mas neste caso isto pode se tornar mais dificiu. caso o diretorio criado seja rwxr-xr-x como acha-lo??? procure por sources de programas e se nao encontra-los tente usar:
[root@localhost nix]# strings a.out |grep /bin/sh
/bin/sh
issu serve para encontrar xploits ja que todos xploits tem esta string pois eh o que eles executam. procure-os nos homedirs e tmps tambem. arquivos ocultos sao muito usados. existem programas q fazem busca de sniffers por devices. rode-o e veja se nao encontra nada suspeito. rode tambem programas que procuram por logs apagados pelo zap. issu eh salvo caso o hacker tenha usado a minha versão do zap alterado. =)
um hacker nao lamer no minimo iria colocar uma binder no seu sistema. para acha-lo use:
[root@localhost /root]#
lsof -i[root@localhost /etc]# find / -type d -perm 0777
outro detalhe… esses lammers vao provavelmente rodar um portscan qualquer no seu host por issu voce pode acha-lo no log do syslogd (/var/logs/messages) caso ele nao tenha sido modificado. procure tambem nos ~/.history’s e nos wtmp, utmp e lastlog. lammers nunca dao muita importancia aos logs.
2. hacker beginner.
este vai se parecido com o lammer quanto ao fato dos diretorios… ele precisa de um lugar para por seus arquivos. ache o diretorio e voce acha o hacker. mas neste caso isto pode se tornar mais dificiu. caso o diretorio criado seja rwxr-xr-x como acha-lo??? procure por sources de programas e se nao encontra-los tente usar:
[root@localhost nix]# strings a.out |grep /bin/sh
/bin/sh
issu serve para encontrar xploits ja que todos xploits tem esta string pois eh o que eles executam. procure-os nos homedirs e tmps tambem. arquivos ocultos sao muito usados. existem programas q fazem busca de sniffers por devices. rode-o e veja se nao encontra nada suspeito. rode tambem programas que procuram por logs apagados pelo zap. issu eh salvo caso o hacker tenha usado a minha versão do zap alterado. =)
um hacker nao lamer no minimo iria colocar uma binder no seu sistema. para acha-lo use:
com isso sera listada todas as portas que estao sendo usadas. procure por algo suspeito como…
a.out 3454 root 3u inet 84061 tcp *:31337 (listen)
3. hacker eleet.
esquece. se o hacker q ow nou vc for mesmo eleet torna-se praticamente impossivel de voce encontra-lo. mas existe certas prevencoes que vc pode fazer para detectar a presenca dele. uma das coisas eh fazer backup dos logs toda a vez que alguem se logar. crie uma particao somente para os logs.
coloque no /etc/.bash_profile:
#mude aki de acordo com a particao…
mount /dev/hda2 /mnt
d=`date –date “\`date |cut –bytes=5-10\`” +%j`
cp -f /var/run/utmp /mnt/utmp.$d
cp -f /var/log/lastlog /mnt/lastlog.$d
cp -f /var/log/wtmp /mnt/wtmp.$d
cp -f /var/log/messages /mnt/messages.$d
cp -f ~/.bash_history /mnt/history.$user.$d
umount /mnt
pronto. toda a vez q vc logar os arquivos de logs serao copiados para a particao indicada. sera criado um arquivo diferente para cada dia, para que voce possa comparar os dados e encontrar alguma alteracao feita.
Nenhum comentário:
Postar um comentário