Hola, hice este post porque les quiero compartir algo que aprendí ,Es corto pero les puede sacar de apuros en momentos que te encuentras en medio de un ataque o de un posible ataque y dices, ¿ ahora que puedo hacer? ¿como se que me están atacando ?.
Pues como dice el titulo es para un sistema linux ya que para windows hay distintos antivirus que te pueden sacar de esos apuros yo lo eh probado en BACK-TRACK ..
En el transcurso de este tutorial mi objetivo es que puedan darse cuenta si algún hacker malicioso entro a su sistema, ya que el hacker que entro lo que mayormente ara es copiar archivos o modificarlos.
Antes de empezar recalcar que ustedes deben cuidar sus archivos de configuración de cualquier sistema sea linux, windows ya que sabemos que ahi se puede guardar por ejemplo el hash del password ya que todo esto nos puede servir para explotarlo para "hacer el decoding"
-En el punto de vista de protección debemos tener en cuenta que es lo que nos puede afectar
Por ejemplo en el sistema linux sabemos que todos los archivos de configuración
Está en la carpeta llamada " /etc/ “
Pues ahí cualquier servicio que corramos en linux sea apache , Mysql , php, python. En la carpeta "etc" por defecto se guardan ahí los archivos de configuración, alómenos que el usuario customise para que estos archivos vayan a parar a otro lado (a un lugar seguro)
“Y es que ah mayor arquitectura, gastara mucho mas recursos.”
Lo que podemos hacer que todos los archivos de configuración estén montados en otra partición en otro disco duro dentro del mismo sistema. y tenerlos bien espejeados, por si nos llega a pasar algún conflicto, a todos estos le podemos sacar un SHA1 o algún algoritmo que nos parezca robusto, para tener en cuenta cuando este cambie, para ver si este fue afectado por un atacante externo o si fue modificado por un atacante interno
Si ah todo esto le añadimos el chequeo de .logs el estar monitoreando constantemente la red, podemos tener un resulta bueno.
-En el caso de “WINDOWS”
“Cuidar los archivos .conf cuidar también los archibos .ini”
Ahora cuando tenemos una intrusión en un sistema Windows se vuelve un poco mas
Complejo. ¿?¿porque ¿?
Porque el atacante puede levantar una clave de registro en cualquier parte de
nuestro Windows y como todos sabemos que el registro es el corazón de windows
y va hacer muy muy difícil monitorear todo el registro.
Generalmente se mete en HKEY LOCAL MACHINE, y puede correr en un servicio oculto
y puede generar que por ejemplo :
"cada ves que tu reinicies la pc se conecte con el NETcat por cierto puerto"
y hacer cosas que tu no lo pediste.
Pues es importante tener en cuenta esto cuando somos atacados por algún MALWARE
tener en cuenta que malware fue ,ver en varios antivirus online ver si este malware es conocido o no conocido , y que tipo de desastre nos ocasiono.
AHORA, cuando un ataque es DIRECTO y un hacker entro ah nuestro servidor no hay nada como volver a empezar desde 0 "huevito" ¿ porque ?
Porque no puedes saber que es lo que iso que librerías afecto, si ah creado una puerta trasera ,asta donde afecto y si no sabes el nivel de ataqué déjame decirte amigo que estas "frito pescadito"
Ahora el estar poniendo parches.. Resulta a veces muy conflictoso porque ¿?
Porque simplemente te puedes quedar con una falsa sensación de seguridad, Tuviste un ataque y parchaste el servidor y lo vuelves a tener online con todos los servicios funcionando puede que el atacante tenga una backdoor una puerta trasera a tu servidor y tu ¡ni cuenta! porque en el servidor te va aparecer que todo esta bien.
------------------.......------------------
Bueno asta ahí quedo la parte aburrida! Que deben de sabe, ahora viene la parte interesante!
Os voy ah enseñar como saber si alguien a modificado tu sistema "Linux--BACKTRACK"
Utilizaremos el "rkhunter" el cual sirve para cualquier sistema basado en linux
Paso 1.
-Abrimos el terminal y tecleamos
Citar
“rkhunter”
Nos saldrá varias opciones hay opciones para mirar la información, para mirar los hash pero hay 2 opciones las cual es mi objetivó el día de hoy enseñarle a usted.
Paso 2
La primero opción es:
"--update "
La ejecutaremos así, escribimos en nuestra terminal:
Citar
rkhunter -–ubdate
Lo que ara es actualizase como un antivirus normal dejamos terminar que se actualice deben recordar tener la ultima versión.
Paso 3
La segunda opción que teclearemos y utilizaremos es:
Citar
rkhunter -–check
Y va a empezar ah chequear todo el sistema..
EXPLICACION:
1 opción que esta chequeando los binarios y archivos de configuración:
Lo que va hacer el rkhunter es buscar modificaciones en librerías, intenta chequiar que todos lo binarios mas sensibles estén correctos que no estén modificados
Y de repente nos detecta "warning", nos detecte porque posiblemente no detecto bien la firma, que puede pasar puede que sea un posible ataqué lo que mas se recomienda es chequearlo oh que simple mente yo allá echo alguna modificación de estos voluntariamente o que lo allá actualizado.
2 opción que esta chequeando lo que nosotros no sencillamente podamos ver
Ya empieza ah chequear lo que son rootkit malware mas específicamente el comportamiento de ellos,
Si se dan cuenta la búsqueda es relativamente rápida
ya que lo que se buscas son distintos comportamientos.
3 Opción ya el rkhunter va a chekiar algunos rootkit adicionales:
pd: lo que hace el rkhunter bueno es encontrar los rootkit mas comunes en interned ya que lo primero que ara un atacante será que el primer rootkit que encuentre en interned ese lo usara, por eso cabe recalcar que lo tienen que :
“actualizar las firmas” , chequea rootkit , malware por si alguien no ah ya inyectado chequea
si hay directorios sospechosos.
4- opción chequea el network , puertos esta chequeando interfaces , el sistema de
Arranque los grupos
5 opción esta chequeando el php el openssl
Una ves que termina, da el resultado
RESULTADO:
Ami me lanzo como resultado me dice :
-Que chequeo 133 archivos y encontró 4 sospechosos.
-Que en total chequeo por 245 rootkits 0 sospechosos.
-Y también chequeó mis aplicaciones.
Al final dice que al sistema le tomo chequear todo 2 minutos y 15 segundos
Nos dice en donde dejo el .log es para que en cualquier momento lo puedas revisas así
Que ponemos en la terminal:
Citar
cat /var/log/rkhunter.log
y nos tira toda la información que no se vio cuando estuvo pasando revisión ahí por ejemplo nos dice de una forma mas detallada como por ejemplo se ve en la imagen que puerto checo.
AUTOR DE ESTE TUTORIAL : REC
0 comentarios :
Publicar un comentario