Borrado de huellas

Existen tantos tipos de huellas que es imposible ver cada uno ya que no terminaríamos nunca, esto debido a que existen muchos tipos de ataques.

.

Lo primero que hay que tener en cuenta, es ¿qué hicimos? y ¿Cómo nos pueden atrapar?.

Cuando entran a robar a una casa, puede tirar la puerta, utilizar una palanca (Fuerza Bruta), ganzúas, etc.

Esto no implica que no queden otros rastros.


Si creamos un usuario, no bastaría con eliminar la cuenta,

Tienes que preguntarte ¿Cómo creaste el usuario? ¿Mediante comando?

Existen multitud de herramientas que afirman eliminar todo rastro, cuando esto no es así.

Daremos un repaso por los medios más utilizados.


A) Destrucción del sistema A-1) Esto ocurre cuando la evidencia es tal, que no queda otro remedio.

La forma más común, al menos en mi caso, seria inhabilitar el login, y causar un tal destrozo que el único medio sea la destrucción total o parcial. He aquí algunos comandos de interés:

  • rm /etc/passwd

  • rm /etc/shadow

  • rm /bin/login

  • rm /bin/rm

  • rm /etc/inetd.conf

  • killall login


B) Capturando y eliminando los access log de Apache. B-1) Esta opción solo es viable si únicamente realizaste un ataque a nivel Web, por ejemplo, una Webshell

Los directorios más comunes son:

  • apache/logs/error.log

  • apache/logs/access.log

  • apache/logs/error.log

  • apache/logs/access.log

  • apache/logs/error.log

  • apache/logs/access.log

  • etc/httpd/logs/acces_log

  • etc/httpd/logs/acces.log

  • etc/httpd/logs/error_log

  • etc/httpd/logs/error.log

  • var/www/logs/access_log

  • var/www/logs/access.log

  • usr/local/apache/logs/access_log

  • usr/local/apache/logs/access.log

  • var/log/apache/access_log

  • var/log/apache2/access_log

  • var/log/apache/access.log

  • var/log/apache2/access.log

  • var/log/access_log

  • var/log/access.log

  • var/www/logs/error_log

  • var/www/logs/error.log

  • usr/local/apache/logs/error_log

  • usr/local/apache/logs/error.log

  • var/log/apache/error_log

  • var/log/apache2/error_log

  • var/log/apache/error.log

  • var/log/apache2/error.log

  • var/log/error_log

  • var/log/error.log

  • var/log/access_log

  • var/log/access_log


Se puede eliminar con RM, o editar, pero para asegurarse de no dejar nada mal, hacer uso de Tee.


C) Eliminar el Bash History C-1) Si, es algo lógico, que mucha gente olvida. C-2) Es tan sencillo como editar y/o eliminar el .bash_history o .sh_history C-3) Recordar: Esto se hace JUSTO ANTES de salir.


D) Eliminar todo rastro de exploits, webshells, sniffers.


E) Tener cuidado con los cambios en el sistema


F) Cuidado con los Backdoors F-1) Durante un corto tiempo puede pasar inadvertido, pero como pase el tiempo podría ser detectada


G) Eliminar toda cuenta realizada, sobre todo si tiene permisos de Root G-1) No basta con eliminar los permisos de shell (/sh/false)


H) Cuidado: Si hay alguien más logeado al sistema, puede ser muy peligroso. H-1) Pueden capturarte fácilmente, además de rastrearte sin el más minimo problema.


I) Cuidado con el syslog. I-1) En ocasiones puede ser más complejo de lo habitual deshacerse de cambios realizados en el.


J) Ficheros peligrosos: -utmp: Guarda un registro (log) de los usuarios que están utilizando el sistema mientras están conectados al sistema. Directorios: /var/adm/utmp y /etc/utmp -wtmp: Guarda un log cada vez que un usuario se introduce en el sistema o sale del sistema. -lastlog: Guarda un log del momento exacto en que un usuario entro por ultima vez. -acct o pacct: Registra todos los comandos ejecutados por cada usuario

Depende de que es lo que hagas, pero lo mencionado en el Post es lo más común.


Happy Hacking!

475 vistas

HUB

HUB es un grupo líder en el ramo de capacitación y consultoría con mas de 100 colaboradores directos e indirectos a lo largo de la República Mexicana y America Latina

  • Facebook
  • Twitter

CDMX | TORRE REFORMA

 Paseo de la Reforma 483, Piso 14
Col. Cuauhtémoc

GUADALAJARA |  CENTRAL PARK

Diagonal  San Jorge 100,
Col. Vallarta San Jorge

MONTERREY | PABELLON M

 Juárez #1102 Pte, Piso 4 y 5
Col. Centro,

CDMX - QRO - GDL - MTY

Tel: 55 50150510

©2020 por Certification Hub. Es una empresa de Hub México