eko1:(eko01-05.txt):01/01/2001 << Back To eko1


< ---------------------------- [ EKO Magazine ] ---------------------------- > < - [ Manteniendo nuestra seguridad "segura" ] ----------------------------- > < - [ by polos ] ------------------------------------------------ (EKO 01) - > Manteniendo nuestra seguridad "segura". by polos. thebigsnake@usa.net Este texto va a tratar sobre temas de proteccion y seguridad para no ser detectados cuando ingresamos a un host. Uno de los metodos mas utilizados para ser "indetectable", es la utilizacion de wingates-proxys, los cuales pueden conseguir una lista de ellos en sitios cono cyberamy.com , www.astalavista.com, etc. O escaneando maquinas. Estos wingates se encuentran en el puerto 23 y cuando telneteamos aparece lo siguiente: welcome to xXxxx WinGaTe> En vez de wingates "desconcocidos" es mejor utilizar hosts donde tengamos accesso de administrador, para poder borrar nuestras huellas en cada host haciendo la busqueda extremadamente dificil. Peo para esto necesitamos tener en nuestro poder alguna maquinas y en este ejemplo no tenemos ninguna :XX. A partir de ahi podemos telnetear a otras maquinas con la ip del wingate. Imaginense este ejemplo: telnet wingate.es Welcome to XxxXxxx Wingate> wingate.au 23 ... Welcome to XxxxXaAAxx Wingate> wingate.tw 23 Welcome to Xxxxsad# Wingate> objetivo 23 o otro puerto. Como podemos observar telneteamos a un wingate de espana, luego a uno de Australia, despues a uno de taiwan y por ultimo al objetivo. Imaginense que nos detectan en el objetivo, el Administrador tendria que comunicarse con el host de taiwan para averiguar de quien es esa ip, como esa ip viene del host de australia, el admin deberia comunicarse con ellos, luego con el host de espa~a, etc. Lo que seria muy dificil realmente, pero no imposible por supuesto. Quizas les parezca maravilloso utilizar 3 wingates de paises distintos, pero el problema radica en la TARDANZA para que llege la informacion o ejecutar un comando en la maquina remota, lo que hace que generalmente se utilize UN solo wingate o host. Si estamos seguros de nosotros mismos o tenemos experiencia podemos arriesgarnos y entrar al objetivo directamente, pero debemos tener mucho cuidado y borrar hasta el minimo rastro . Una vez que entramos al host, suponiendo que posee un OS Linux, generalmente los logs se encuentran en /var/log. [root@polos log]# ls boot.log htmlaccess.log messages savacct spooler cron lastlog netconf.log secure squid/ wtmp dmesg logon pacct security/ urpmi.log xferlog maillog samba/ security.log usracct Vamos a describir los mas importantes y que podemos editar a mano, que poseen formato texto. MESSAGES: Guarda mensajes sobre mensajes de la maquina, comandos como ppp, mensajes de alguna acciones de los usuarios como intentos fallidos de login, la utilizacion de su (esto puede estar en otro archivo) tambien suele aparecer nuestra ip o nombre de usuario con el que entramos. un ejemplo pequeno: Dec 14 11:11:25 polos PAM_pwdb[515]: authentication failure; LOGIN(uid=0) -> ro$Dec 14 11:11:26 polos login[515]: FAILED LOGIN 1 FROM (null) FOR root, Authenti $Dec 14 11:11:30 polos login[515]: FAILED LOGIN 2 FROM (null) FOR root, Authenti $Dec 14 11:11:36 polos login[515]: TOO MANY LOGIN TRIES (3) FROM (null) FOR root $Dec 14 11:11:36 polos PAM_pwdb[515]: 2 more authentication failures; LOGIN(uid=$ Dec 14 11:38:09 polos PAM_pwdb[656]: authenticationDec 14 11:38:09 polos PAM_pwdb[656]: authentication failure; polos(uid=501) -> root for su service Aca observamos como quisimos loguearnos como root y fallamos tres veces, y por ultimo el uso del comando su que tambien fallo para querer entrar como root Secure: Este archivo es uno de los mas importantes, ya que guarda todas las ip que rechazo o acepto la maquina para algun servicio, asi tambien quien se logueo en cada tty. por ejemplo: Dec 11 12:10:42 polos login: ROOT LOGIN ON tty6 Dec 11 12:11:08 polos login: LOGIN ON tty5 BY polos Dec 11 14:13:21 polos imapd[15710]: connect from 200.13.223.xx Dec 14 11:35:33 polos in.telnetd[632]: connect from 219.23.1.xx Dec 14 11:35:33 polos in.telnetd[632]: refused connect from 192.168.1.23 Las primeras dos lineas son referidas a los usuarios que le loguearon en cada tty. La segunda y la tercera muestran conexiones al servicio de imapd e telnet desde distintas ips. La ultima muestra una conexion rechaza dentro de la misma red por telnet. Xferlog: Este archivo muestra las conexiones mediante ftp, asique si entramos por ftp y nos bajamos algun archivo debemos borrar nuestra presencia de aqui tambien. Maillog: Este archivo guarda logs de mails y servicios relacionados a este. Si telnetamos al puerto 25 o al servicio de imap o algun otro relacionado apreceremos en el log. Ejemplo: Dec 11 14:21:17 polos postfix/smtpd[16335]: connect from unknown[192.168.1.29] Dec 11 14:21:47 polos postfix/smtpd[16335]: lost connection after VRFY from unk$Dec 11 14:21:47 polos postfix/smtpd[16335]: disconnect from unknown[192.168.1.29] Dec 11 14:19:02 polos imapd[16221]: imap service init from 230.219.23.xx Dec 11 14:19:04 polos imapd[16221]: Connection reset by peer, while reading line $Dec 11 14:20:24 polos imapd[16276]: imap service init from 230.219.23.xx La ip 192.168.1.29 se conecto al puerto 25, y luego de ejecutar el comando VRFY se perdio la conexion. Luego la ip 230.219.23.xx se conecto al servicio de imap. Todos estos son logs "editables", ya que estan en formato de texto. Para borrarlos manualmente, podemos editarlos y borrar una por una nuestras huellas o hacer uso del querido comando grep: grep -v IPoNombredeUsuario archivodelog > X cp X archivo de log Esta de mas aclarar que necesitamos permisos de root para modificar los logs, salvo exepciones muys estupidas de permisos, etc. Hay otros logs, como por ejemplo wtmp, o utmp (/var/run), lastlog, acct, etc que son archivos binarios y no pueden ser editadios a simple vista. Igualmente hay programas especiales, llamados clean logers, que se encargan de borrar nuestras huellas de todos estos archivos de log, o por lo menos de la mayoria automaticamente. Algunos de ellos son: Cloak, Zap, displant, y muchos tambien. Tambien hay un sencillo clean loger para los archivos en formato texto creado por mi que trae conjuntamente el wipe, que es un exelente clean loger de utmp, wtmp y lastlog, que pueden bajar de nuestra web. Si en vez de wingate, utilizamos "nuestros" hosts, borren sus huellas tambien. Otro archivo que generalmente es olvidado, es el .bash_history que se encuentra en el home de cada usuario y guarda los comandos ejecutados en la shell por el usuario no se olviden de modificarlo, o borrarlo. *EOF*