Achando rastros de um ataque

Voce pode tar pensando... bah! Outro texto sobre security que o kra vai
falar as mesmas coisas que os outros ja falaram. Bem... talvez voce esteja
certo, mas sempre c encontra algo novo nestes como este e como este texto
foi escrito somente com a experiencia q eu tenho, e nao baseado em nenhum
outro. Eh capaz de voce aprender o suficiente para um texto.
Okay... com base de experiencia propria e de outros ataques vou mostrar
aos admins como encontrar rastros (progs, backdoors, etc) que um hacker
pode ter deixado apos 0wnar seu sistema.
Vamos estudar os rastros atraves do nivel de conhecimento que o
invasor possui...

1. Lamer.
Nao se preocupe... Sera muito facil encontrar rastros deixados por um
lamer. Primeiro porque lamers soh sabem fazer o que as receitas mostram,
eles nao se preocupam em variar as tecnicas usadas. Entao o que voce vai
encontrar vai ser exatamente como esta nos txts.
Vamos ver...
A backdoor mais lamah possivel voce pode encontrar no /etc/passwd.

[root@localhost /etc]# grep ":0:0:" /etc/passwd
root:x:0:0:root:/root:/bin/bash
lamah::0:0::/:/bin/sh

Ok... achamos nosso lamer...
Vamos ver c ele nao deixou outras backdoors aki...
Outras 2 backdoors comums sao suidshell e inetdaemon. Para acha-las...

[root@localhost /etc]# grep "sh" /etc/inetd.conf
courier stream tcp nowait root /bin/sh sh -i

Uma variacao desta pode ser...

[root@localhost /etc]# grep "\-i" /etc/inetd.conf
swat stream tcp nowait root /usr/sbin/swat swat -i

Veja q o servico esta chamando o /usr/sbin/swat com os mesmos atributos
do /bin/sh. Vamos conferir para ver c swat == sh.

[root@localhost /etc]# ls /bin/*sh
/bin/ash /bin/bsh /bin/ksh /bin/tcsh
/bin/bash /bin/csh /bin/sh /bin/zsh
[root@localhost /etc]# cmp -c /bin/ash /usr/sbin/swat
/bin/ash /usr/sbin/swat differ: char 25, line 1 is 20 ^P 220 M-^P
[root@localhost /etc]# cmp -c /bin/bash /usr/sbin/swat
[root@localhost /etc]#

Aha!!!
Soh pra quem nao sabe... cmp serve para comparar arquivos.
Comente a linha no inetd.conf e reinicie o inetd.
Para achar suidshells use:

[root@localhost /]# find / -type f \( -perm -04000 -o -perm -02000 \) -user root

Vai ser exibido uma lista com todos os arquivos suids com owner root.
Cabe a voce saber o que eh programa do linux e o que foi criado pelos
usuarios.
Uma dica... eh comum deixar as suidshells no mesmo diretorio onde eles
deixam seus programas tais como xploits, sniffers e clearlogs.
Outra coisa... os diretorios usados sao na maioria das vezes os com
permissao de all+rwx como /tmp e /var/tmp ou nos homedirs. Tambem ha a
posibilidade deles criarem os dir por issu voce pode procurar por estes
com o comando:

[root@localhost /etc]# find / -type d -perm 0777

Outro detalhe... Esses lamahs vao provavelmente rodar um portscan
qualquer no seu host por issu voce pode acha-lo no log do syslogd
(/var/logs/messages) caso ele nao tenha sido modificado.
Procure tambem nos ~/.history's e nos wtmp, utmp e lastlog. Lamers
nunca dao muita importancia aos logs.

2. Hacker Beginner.
Este vai se parecido com o lamer qto ao fato dos diretorios... Ele
precisa de um lugar para por seus arquivos. Ache o diretorio e voce acha o
hacker. Mas neste caso isto pode se tornar mais dificiu.
Caso o diretorio criado seja rwxr-xr-x como acha-lo???
Procure por sources de programas e se nao encontra-los tente usar:

[root@localhost nix]# strings a.out |grep /bin/sh
/bin/sh

Issu serve para encontrar xploits ja que todos xploits tem esta string
pois eh o que eles executam. Procure-os nos homedirs e tmps tambem.
Arquivos ocultos sao muito usados.
Existem programas q fazem busca de sniffers por devices. Rode-o e veja
se nao encontra nada suspeito. Rode tambem programas que procuram por logs
apagados pelo zap. Issu eh salvo caso o hacker tenha usado a minha versao
do zap alterado. =)
Um hacker nao lamer no minimo iria colocar uma binder no seu sistema.
Para acha-lo use:

[root@localhost /root]# lsof -i

Com isso sera listada todas as portas que estao sendo usadas. Procure
por algo suspeito como...

a.out 3454 root 3u inet 84061 TCP *:31337 (LISTEN)

3. Hacker eleet.
Esquece. Se o hacker q ownou vc for mesmo eleet torna-se praticamente
impossivel de voce encontra-lo. Mas existe certas prevencoes que vc pode
fazer para detectar a presenca dele.
Uma das coisas eh fazer backup dos logs toda a vez que alguem se logar.
Crie uma particao somente para os logs.
Coloque no /etc/.bash_profile:

#mude aki de acordo com a particao...
mount /dev/hda2 /mnt
d=`date --date "\`date |cut --bytes=5-10\`" +%j`
cp -f /var/run/utmp /mnt/utmp.$d
cp -f /var/log/lastlog /mnt/lastlog.$d
cp -f /var/log/wtmp /mnt/wtmp.$d
cp -f /var/log/messages /mnt/messages.$d
cp -f ~/.bash_history /mnt/history.$USER.$d
umount /mnt

Pronto. Toda a vez q vc logar os arquivos de logs serao copiados para
a particao indicada. Sera criado um arquivo diferente para cada dia,
para que voce possa comparar os dados e encontrar alguma alteracao feita.

Bah! Chega! Nao aguento mais escrever. Ainda mais um texto todo
desestruturado como esse entao por hj eh soh.

Hosted by www.Geocities.ws

Copyright © Cyber Nine/Crack's S.A todos direitos reservados
Hosted by www.Geocities.ws

Hosted by www.Geocities.ws

Hosted by www.Geocities.ws

1