Removendo rastros de uma invasão

Posted: 25 setembro 2011 by Bhior in Marcadores: , ,
4


Um micro pode armazenar muitos tipos de pistas, e tipos de ataques, então, como entrar em um micro e sair sem deixar pistas?
Existem muitos tipos de ferramentas como backdoors, sniffers, logs e outros serviços. Existem algumas coisa a serem consideradas, como criar um usuário e saber se o user tem privilégios suficientes, e saber como deletar esse user...
Muitos são  limitados apenas a destruir o access_log do apache, a webshell, o backdoor e a raiz do exploit.
Existem muitas ferramentas que prometem remover todos os vestígios, mas isso não e verdade. Isso e não para ser um guia perfeito e sim da um ênfase a essa etapa, um orientação de para um serviço perfeito.
Vou deixar os credito ao overload, vamos a uma visão geral dos mais usados:

1° Destruição do sistema
* Quando perceber que não ha mais alternativas.
Desative o login, isso causa estragos de tal forma que pode causa uma destruição total ou parcial, aqui estão alguns comandos mais usados:

rm /etc/passwd
rm /etc/shadow
rm /bin/login
rm /bin/rm
rm /etc/inetd.conf
killall login


2° Captura e remoção do log de acesso do Apache.
* Isso somente seria viável se o ataque fosse apenas no site usando uma webshell. Ele pode ser removido ou editado, tome cuidado para não deixar nada errado.
Diretórios mais comuns que armazenam os dados:

apache/logs/error.log
apache/logs/access.log
apache/logs/error.log
apache/logs/access.log
apache/logs/error.log
apache/logs/access.log
etc/httpd/logs/acces_log
etc/httpd/logs/acces.log
etc/httpd/logs/error_log
etc/httpd/logs/error.log
var/www/logs/access_log
var/www/logs/access.log
usr/local/apache/logs/access_log
usr/local/apache/logs/access.log
var/log/apache/access_log
var/log/apache2/access_log
var/log/apache/access.log
var/log/apache2/access.log
var/log/access_log
var/log/access.log
var/www/logs/error_log
var/www/logs/error.log
usr/local/apache/logs/error_log
usr/local/apache/logs/error.log
var/log/apache/error_log
var/log/apache2/error_log
var/log/apache/error.log
var/log/apache2/error.log
var/log/error_log
var/log/error.log
var/log/access_log
var/log/access_log


3° Eliminar o Bash history.
* Muitos se esquecem dele.
* E muitos simples edita-lo ou elimina-lo, o arquivo e .bash_history ou .sh_history
* Isso somente e para ser feito antes de sair.

4° Removendo os rastros de exploits, sniffers, webshells e etc...
* E sempre bom ter um root explit em mãos...

5° Tenha cuidados com as mudanças no sistema.
* Essa e uma parte importantes, se você fez alterações no sistema e for pego, a pena e mais grave dependendo do pais que foi feito a invasão do website.

6° Cuidado com os backdoors.
* Em um curto espaço de tempo, ele pode passar despercebido, mas pode se encontrado. 

7° Remove todas as contas criados, principalmente se você for ROOT.
* Não e suficiente para remover permissões de shell (/sh/false)

8° Você deve ter atenção, para não ter alguém conectado no sistema.

* Ter alguém conectado pode ser muito perigoso, você pode ser rastreado e capturado facilmente.

9° Desconfie de tudo, a melhor solução e sigilo absoluto.
* Não e o que acontece com a maioria, eles gostam de se gabar do feito, sem leve em conta que isso poderia leva alguém a espiona-lo.
* Lembre-se que não existe proxy 100% seguro.

10° Tome cuidado com o syslog.
* As vezes pode ser mais complexo do que o normal se livrar das alterações feita nele.

11° Alguns comandos interessantes.
* Who - Lista usuários ativos.
* last - Login do ultimo usuário.
* ps - Lista os processos ativos
* lastcom/hostory - Mostra os comandos digitados por um determinado usuário.

12° Arquivos perigosos.
* utmp - Grava um registro(log) dos usuários que estão usando o sistema enquanto estiverem conectados a ele. ele se encontra no diretório /var/adm/utmp e /etc/utmp
* wtmp - Grava um registro de cada vez que um usuário entra no sistema, ou sair do sistema.
* lastlog - Grava um registro exato de quando o usuário entrou pela ultima vez.
* acct ou pacct - Registra todos os comandos executados por cada usuário(mas não grava os argumentos para estes comandos executados).

4 comentários:

  1. s0nic says:

    fico bom o artigo... o//

  1. Anônimo says:

    Cara vc percebeu que bloqueou a busca no site , impedindo o marcar texto?
    que se burla salvando o cod fonte e alterando para true o onlselectstart?
    e abrindo offiline? Tira isso e o site fica mais interessante!!!

  1. Bhior says:

    Anônimo,

    Fiz isso com um sentido, e para mim e mais interessante do jeito que esta.

    Eu mais do que qualquer outro sei formas de burla esse bloqueio simples feito no html.

    []'s

  1. Break says:

    Tô enganado ou é melhor dar um sudo su e rm -rf * na pasta dos logs e etc ?!