Nao
se preocupe... Sera muito facil encontrar rastros deixados por um
lamer. Primeiro porque lamers só sabem fazer o que as receitas
mostram,
eles nao se preocupam em variar as t‚cnicas usadas. Então
o que voce vai
encontrar vai ser exatamente como esta nos textos.
Vamos ver...
1 - Lammer
A backdoor mais lamah possivel voce pode encontrar no /etc/passwd.
[root@localhost /etc]# grep ":0:0:" /etc/passwd
root:x:0:0:root:/root:/bin/bash
lamah::0:0::/:/bin/sh
Ok... achamos nosso lamer...
Vamos ver se ele não deixou outras backdoors aki...
Outras 2 backdoors comums são suidshell e inetdaemon. Para acha-las...
[root@localhost /etc]# grep "sh" /etc/inetd.conf
courier stream tcp nowait root /bin/sh sh -i
Uma variação desta pode ser...
[root@localhost /etc]# grep "\-i" /etc/inetd.conf
swat stream tcp nowait root /usr/sbin/swat swat -i
Veja que o servi‡o est chamando o /usr/sbin/swat com os mesmos
atributos
do /bin/sh. Vamos conferir para ver c swat == sh.
[root@localhost /etc]# ls /bin/*sh
/bin/ash /bin/bsh /bin/ksh /bin/tcsh
/bin/bash /bin/csh /bin/sh /bin/zsh
[root@localhost /etc]# cmp -c /bin/ash /usr/sbin/swat
/bin/ash /usr/sbin/swat differ: char 25, line 1 is 20 ^P 220 M-^P
[root@localhost /etc]# cmp -c /bin/bash /usr/sbin/swat
[root@localhost /etc]#
Aha!!!
So para quem nao sabe... cmp serve para comparar arquivos.
Comente a linha no inetd.conf e reinicie o inetd.
Para achar suidshells use:
[root@localhost /]# find / -type f \( -perm -04000 -o -perm -02000 \) -user root
Vai ser exibido uma lista com todos os arquivos suids com owner root.
Cabe a voce saber o que eh programa do linux e o que foi criado pelos
usuarios.
Uma dica... ‚ comum deixar as suidshells no mesmo diretorio onde
eles
deixam seus programas tais como xploits, sniffers e clearlogs.
Outra coisa... os diretorios usados sao na maioria das vezes os com
permissão de all+rwx como /tmp e /var/tmp ou nos homedirs. Tamb‚m
h a
posibilidade deles criarem os dir por isso voce pode procurar por estes
com o comando:
[root@localhost /etc]# find / -type d -perm 0777
Outro detalhe... Esses lamahs vão provavelmente rodar um portscan
qualquer no seu host por isso voce pode acha-lo no log do syslogd
(/var/logs/messages) caso ele nÆo tenha sido modificado.
Procure tambem nos ~/.history's e nos wtmp, utmp e lastlog. Lamers
nunca dao muita importancia aos logs.
2 - Hacker Beginner
Este vai se parecido com o lamer quanto ao fato dos diretorios... Ele
precisa de um lugar para por seus arquivos. Ache o diretorio e voce acha
o
hacker. Mas neste caso isto pode se tornar mais dificil.
Caso o diretorio criado seja rwxr-xr-x como acha-lo???
Procure por sources de programas e se nao encontra-los tente usar:
[root@localhost nix]# strings a.out |grep /bin/sh
/bin/sh
Isso serve para encontrar xploits ja que todos xploits tem esta string
pois eh o que eles executam. Procure-os nos homedirs e tmps tamb‚m.
Arquivos ocultos sao muito usados.
Um hacker não lamer no minimo iria colocar uma binder no seu sistema.
Para acha-lo use:
[root@localhost /root]# lsof -i
Com isso sera listada todas as portas que estao sendo usadas. Procure
por algo suspeito como...
a.out 3454 root 3u inet 84061 TCP *:31337 (LISTEN)
3 - Hacker elite
Esquece. Se o hacker que ownou voce for mesmo elite torna-se praticamente
impossivel de voce encontra-lo. Mas existe certas prevencoes que voce
pode
fazer para detectar a presenca dele.
Uma das coisas ‚ fazer backup dos logs toda a vez que alguem se logar.
Crie uma particao somente para os logs.
Coloque no /etc/.bash_profile:
#mude aqui de acordo com a particÆo...
mount /dev/hda2 /mnt
d=`date --date "\`date |cut --bytes=5-10\`" +%j`
cp -f /var/run/utmp /mnt/utmp.$d
cp -f /var/log/lastlog /mnt/lastlog.$d
cp -f /var/log/wtmp /mnt/wtmp.$d
cp -f /var/log/messages /mnt/messages.$d
cp -f ~/.bash_history /mnt/history.$USER.$d
umount /mnt
Pronto. Toda a vez que voce logar os arquivos de logs serão copiados
para
a partição indicada. Ser criado um arquivo diferente
para cada dia,
para que voce possa comparar os dados e encontrar alguma alteracao feita.