Este texto se va a estructurar en dos partes, usa de ellas estara orientada a usuarios que hayan conseguido el privilegio de root y la otra orientada a los que no:
En el caso de no conseguimos ser root las medidas de seguridad que se habrian de tomar cuando hacemos login en una maquina ajena tras hackear una cuenta son las siguientes:
--El primer paso es cambiar de shell, intentando evitar acabar en el .history, esto es si cuando entras tienes el shell CSH, entonces te cambia al shell SH y al reves.
--Para evitar que te detecten al hacer un who ejecuta login con el mismo nombre de usuario y password, esto hara que tu direccion de origen sea modificada, es decir, es algo mosqueante si tu desde España te conectas a una maquina de Nueva Guinea, el administrador hace un who y ve un pepito.descuidado.es, haciendo login como os he dicho se consigue que la direccion de origen sea algo como tty05 , esto es debido a un bug de las recientes versiones de UNIX.
--Si cuando entras en la maquina ajena te encuentras con algo como "Last successful login from xxx.xxx.xxx", cuando el usuario se vuelva a conectar sabra desde donde se accedio por ultima vez a su cuenta, para evitar esto sin ser root, lo que has de hacer es un rlogin a la misma maquina donde estas, utilizando el mismo nombre de usuario y contrase¤a, despues escribes exit para volver, asi cuando el usuario se conecte tendra localhost como el sitio desde donde se conecto por ultima vez a su cuenta.
--Si vas a ejecutar programas con nombres sospechosos acuerdate de cambiarles el nombre.
--Si usas telnet desde la cuenta hackeada recuerda, primero escribes telnet y luego open <host>
--Creo que ni siquiera se deberia recordar que si ejecutas algun xploit o varios de ellos despues debes meterlos todos en un mismo directorio y borrar el directorio. Como ya he dicho tambien existe la posiblidad de que consigamos el privilegio de root, en ese caso deberemos seguir la siguientes recomendaciones: Vale, si consiguiesemos privilegios de administrador recomiendo los siguientes pasos para borrar tu rastro:
--Modificar o borrar los logs mas importantes, es decir, utmp, wtmp, lastlog y acct. UTMP: Guarda un log de los usuarios que estan utilizando el sistema.
-Directorios: /var/adm/utmp /etc/utmp WTMP: Registra las entradas y salidas de los usuarios al sistema.
-Directorios: /var/adm/wtmp
/etc/wtmp
LASTLOG: Dice cuando entro por ultima vez un usuario.
-Directorio: /var/adm/lastlog ACCT: Registra los comandos utilizados por los usuarios.
-Directorio: /var/adm/acct
Para afrontar los archivos lastlog, utmp y wtmp deberemos usar algunos programas como ZAP, CLOACK o CLEAR (aunque mi consejo es usar los editores de Guybrush, o bien su programa que los borra, van de pu** madre) otra forma de hacerlo es dejarlos a 0 bytes, pero eso levantaria muchas sospechas.
Bien, el acct, primero os dire que el accounting no siempre esta activado, en realidad lo usual es que no este activado, pero si lo esta lo mejor, para mi gusto es conseguir un editor para borrar nuestros datos, pero ten en cuenta que si quedara registrado que hemos usado el editor, asi que otra opcion es cargarselo (demasiado sospechoso).
--SYSLOG: Bien, el syslog genera mensajes de error que quedan registrados cuando llevamos a cabo determinadas acciones, para "saltarnoslo", nos vamos al archivo de configuracion /etc/syslog.conf y vemos donde se guardan los registros, ahora solo queda editarlos, borrar nuestras entradas, asi como modificar la fecha de los ficheros con registros, para ello se utiliza el comando touch:
touch [-acfm] [-r reference-file] [-t MMDDhhmm[[CC]YY][.ss]] [-d time] [-time={atime,access,use,mtime,modify}] [--date=time][--file=reference-file]
Tema: Sin dejar Huella 
Sáb Jun 28, 2008 6:56 pm
