Free Web Hosting Provider - Web Hosting - E-commerce - High Speed Internet - Free Web Page
Search the Web

Welcome!

Close

Would you like to make this site your homepage? It's fast and easy...

Yes, Please make this my home page!

No Thanks

  Don't show this to me again.

Close

Manteniendo nuestra seguridad "segura" 

Este texto va a tratar sobre temas de proteccion y seguridad para no ser
detectados cuando ingresamos a un host. 

Uno de los metodos mas utilizados para ser "indetectable", es la
utilizacion
de wingates-proxys, los cuales pueden conseguir una lista de
ellos en sitios
cono cyberamy.com , www.astalavista.com, etc. O escaneando
maquinas.
Estos wingates se encuentran en el puerto 23 y cuando telneteamos aparece
lo
siguiente:

welcome to xXxxx
WinGaTe> 

En vez de wingates "desconcocidos" es mejor utilizar hosts donde tengamos
accesso de administrador, para poder borrar nuestras huellas en cada host
haciendo la busqueda extremadamente dificil. Peo para esto necesitamos
tener
en nuestro poder alguna maquinas y en este ejemplo no tenemos
ninguna :XX.

A partir de ahi podemos telnetear a otras maquinas con la ip del
wingate.
Imaginense este ejemplo:

telnet wingate.es
Welcome to XxxXxxx
Wingate> wingate.au 23
...
Welcome to XxxxXaAAxx
Wingate> wingate.tw 23

Welcome to Xxxxsad#
Wingate> objetivo 23 o otro puerto.

Como podemos observar telneteamos a un wingate de espana, luego a uno de
Australia, despues a uno de taiwan y por ultimo al objetivo.
Imaginense que nos detectan en el objetivo, el Administrador tendria que
comunicarse con el host de taiwan para averiguar de quien es esa ip, como
esa
ip viene del host de australia, el admin deberia comunicarse con
ellos, luego
con el host de espa~a, etc. Lo que seria muy dificil
realmente, pero no
imposible por supuesto.
Quizas les parezca maravilloso utilizar 3 wingates de paises distintos,
pero
el problema radica en la TARDANZA para que llege la informacion o
ejecutar un
comando en la maquina remota, lo que hace que generalmente se
utilize UN solo
wingate o host.

Si estamos seguros de nosotros mismos o tenemos experiencia podemos
arriesgarnos y entrar al objetivo directamente, pero debemos tener mucho
cuidado y borrar hasta el minimo rastro
.

Una vez que entramos al host, suponiendo que posee un OS Linux,
generalmente
los logs se encuentran en /var/log.

[root@letal log]# ls
boot.log htmlaccess.log messages savacct spooler
cron lastlog netconf.log secure squid/ wtmp
dmesg logon pacct security/ urpmi.log
xferlog maillog samba/ security.log usracct


Vamos a describir los mas importantes y que podemos editar a mano, que
poseen
formato texto.

MESSAGES:
Guarda mensajes sobre mensajes de la maquina, comandos como ppp,
mensajes de alguna acciones de los usuarios como intentos fallidos de
login,
la utilizacion de su (esto puede estar en otro archivo) tambien
suele aparecer
nuestra ip o nombre de usuario con el que entramos.

un ejemplo pequeno:

Dec 14 11:11:25 letal PAM_pwdb[515]: authentication failure; 
LOGIN(uid=0) -> ro$Dec 14 11:11:26 letal login[515]: FAILED LOGIN
1 FROM (null) FOR root, Authenti 
$Dec 14 11:11:30 letal login[515]: FAILED
LOGIN 2 FROM (null) FOR root, Authenti
$Dec 14 11:11:36 letal login[515]: TOO MANY LOGIN TRIES (3) FROM (null) FOR
root
$Dec 14 11:11:36 letal PAM_pwdb[515]: 2 more authentication failures;
LOGIN(uid=$
Dec 14 11:38:09 letal
PAM_pwdb[656]: authenticationDec 14 11:38:09
letal PAM_pwdb[656]: authentication failure; letal(uid=501) -> root for su
service

Aca observamos como quisimos loguearnos como root y fallamos tres
veces, y por ultimo el uso del comando su que tambien fallo para querer
entrar
como root


Secure: 
Este archivo es uno de los mas importantes, ya que guarda todas
las ip
que rechazo o acepto la maquina para algun servicio, asi tambien 
quien se
logueo en cada tty.
por ejemplo:

Dec 11 12:10:42 letal login: ROOT LOGIN ON tty6
Dec 11 12:11:08 letal login: LOGIN ON tty5 BY letal
Dec 11 14:13:21 letal imapd[15710]: connect from 200.13.223.xx
Dec 14 11:35:33 letal in.telnetd[632]: connect from 219.23.1.xx
Dec 14 11:35:33 letal in.telnetd[632]: refused connect from 192.168.1.23

Las primeras dos lineas son referidas a los usuarios que le loguearon en
cada
tty.
La segunda y la tercera muestran conexiones al servicio de imapd e telnet
desde distintas ips. La ultima muestra una conexion rechaza dentro de la
misma
red por telnet.

Xferlog:
Este archivo muestra las conexiones mediante ftp, asique si
entramos
por ftp y nos bajamos algun archivo debemos borrar nuestra
presencia de aqui
tambien.


Maillog:
Este archivo guarda logs de mails y servicios relacionados a
este. Si
telnetamos al puerto 25 o al servicio de imap o algun otro
relacionado
apreceremos en el log.

Ejemplo:

Dec 11 14:21:17 letal postfix/smtpd[16335]: connect from unknown[192.168.1.29]
Dec 11 14:21:47 letal postfix/smtpd[16335]: lost connection after VRFY
from unk$Dec 11 14:21:47 letal postfix/smtpd[16335]: disconnect from 
unknown[192.168.1.29]
Dec 11 14:19:02 letal imapd[16221]: imap service init from 230.219.23.xx
Dec 11 14:19:04 letal imapd[16221]: Connection reset by peer, while 
reading line
$Dec 11 14:20:24 letal imapd[16276]: imap service init from 230.219.23.xx

La ip 192.168.1.29 se conecto al puerto 25, y luego de ejecutar el
comando
VRFY se perdio la conexion. 
Luego la ip 230.219.23.xx se conecto al servicio de imap.


Todos estos son logs "editables", ya que estan en formato de texto. Para
borrarlos manualmente, podemos editarlos y borrar una por una nuestras
huellas
o hacer uso del querido comando grep:

grep -v IPoNombredeUsuario archivodelog > X
cp X archivo de log

Esta de mas aclarar que necesitamos permisos de root para modificar los
logs,
salvo exepciones muys estupidas de permisos, etc.

Hay otros logs, como por ejemplo wtmp, o utmp (/var/run), lastlog, acct,
etc
que son archivos binarios y no pueden ser editadios a simple vista.

Igualmente hay programas especiales, llamados clean logers, que se
encargan de
borrar nuestras huellas de todos estos archivos de log, o por
lo menos de la
mayoria automaticamente.

Algunos de ellos son: Cloak, Zap, displant, y muchos tambien. Tambien hay
un
sencillo clean loger para los archivos en formato texto creado por mi
que trae
conjuntamente el wipe, que es un exelente clean loger de utmp,
wtmp y lastlog,
que pueden bajar de nuestra web.


Si en vez de wingate, utilizamos "nuestros" hosts, borren sus huellas
tambien.

Otro archivo que generalmente es olvidado, es el .bash_history que se
encuentra en el home de cada usuario y guarda los comandos ejecutados en
la
shell por el usuario no se olviden de modificarlo, o borrarlo.