Como puedo saber si un sistema Linux ha sido comprometido?

(TEXTO) en: 27 Julio 2004, 07:15 Bueno, haciendo "limpieza" en mi PC, pues me encontrado unos 70 textos xD, de diversa indole. Uno de los que mas me gusto, y que he vuelto a leer es este. Creo que a los que traten de "asaltar" un sistema Linux les vendra muy bien, asi como a los que traten de hacer auditorias de seguridad post ataque. Creo que lo saque en su tiempo de www.infohackers.org, pero no estoy seguro. Si alguien sabe de donde salio este texto, por favor, me lo comunique y sera aadido. Que lo disfruteis ----------------------------------------------------------------------------------------------------------------------------------------Cmo puedo saber si un sistema Linux ha sido comprometido? Examina los ficheros de log buscando conexiones desde lugares inusuales o cualquier actividad fuera de lo normal. Por ejemplo, mira el ultimo log, "process accounting", todos los logs creados por syslog, y otros logs de seguridad. Si tu firewall o tu router escriben logs en lugares distintos de donde los escribe el sistema estudiado, recuerda chequear tambin esos logs. Esta no es una garanta completa a no ser que "los logs se escriban en un append-only media"; muchos intrusos editan los ficheros de log para intentar ocultar su actividad. Busca los ficheros con los bits setid y setgid activados (especialmente los setuid de root) en todo el sistema. Los intrusos suelen dejar copias de programas como /bin/sh o /bin/time con el bit "setuid" activado para permitirles acceso a root mas tarde. Se puede usar el programa de UNIX find(1) para encontrar ficheros con setuid y/o setgid activados. Comprueba los binarios del sistema para asegurarte de que no han sido alterados. Hay intrusos que cambian programas en sistemas UNIX tales como login, su, telnet, netstat, ifconfig, ls, find, du, df, libc, sync, cualquier binario referenciado en /etc/inetd.conf, y otros programas de red y del sistema crticos, as como libreras de objetos compartidas. Ten cuidado a la hora de confiar en los backups; tus backups pueden contener a su vez caballos de Troya. Comprueba que en tu sistema no existan programas no autorizados de monitorizacin de red, comnmente llamados sniffer "packet sniffer". Un intruso puede usar un sniffer para capturar informacin de la cuenta y password de un usuario. Examina todos los ficheros que son ejecutados por cron y at. Hay intrusos que dejan puertas traseras en ficheros ejecutados por cron o enviados a at, pues permiten al intruso volver al sistema. Tambin, verifica que todos los ficheros/programas referenciados por los jobs de cron y at, y los ficheros del job en s mismos, no tienen permisos de escritura para todo el mundo.

Comprueba que no haya servicios no autorizados. Inspecciona el /etc/inetd.conf buscando cambios no autorizados. Busca entradas que ejecuten un programa shell, y verifica todos los programas especificados en /etc/inetd.conf para comprobar que son correctos y que no han sido reemplazados por un caballo de Troya. Tambin chequea servicios legtimos que hayas comentado en el /etc/inetd.conf. Algn intruso puede haber habilitado un servicio que previamente habas deshabilitado o sustituir el programa inetd por un caballo de Troya. Examina el fichero /etc/passwd y comprueba las modificaciones de dicho fichero. Verifica que no haya nuevas cuentas creadas sin autorizacin, cuentas sin password, o cambios en el UID (especialmente UID 0). Comprueba que no existan entradas no autorizadas en los ficheros de configuracin de red y del sistema. En particular, busca entradas con '+' y nombres de hosts externos no apropiados en el fichero /etc/hosts.equiv, /etc/hosts.lpd, y en todos los ficheros .rhosts. Estos ficheros no deben tener permisos de escritura para todo el mundo. Adems, confirma que estos ficheros existan previamente a ninguna intrusin y que no han sido creados por el intruso. Busca por todo el sistema ficheros raros u ocultos, pues estos ficheros pueden usarse para ocultar herramientas e informacin. Examina todas las maquinas de la red local cuando busques seales de una intrusin. Si la seguridad de un host se ha visto comprometida, la seguridad de otros en la red tambin. CUOTAS Las cuotas permiten especificar limites en dos aspectos del almacenamiento en disco: El numero de inodos que puede poseer un usuario o un grupo; y el nmero de bloques de disco que puede ocupar un usuario o un grupo. La idea que se esconde detrs de las cuotas es que se obliga a los usuarios a mantenerse debajo de su limite de consumo de disco, quitndoles su habilidad de consumir espacio ilimitado de disco en un sistema. Las cuotas se manejan en base al usuario y al sistema de ficheros. Si el usuario espera crear ficheros en mas de un sistema de ficheros, las cuotas deben activarse en cada sistema de ficheros por separado. DETECCION DE INTRUSOS MEDIANTE ANALISIS DE HUELLAS Ficheros que guardan registros: utmp: Guarda un registro (log) de los usuarios que estn utilizando el sistema mientras estan conectados al sistema. Directorios: /var/adm/utmp y /etc/utmp wtmp: Guarda un log cada vez que un usuario se introduce en el sistema o sale del

sistema. Directorios: /var/adm/wtmp y /etc/wtmp lastlog: Guarda un log del momento exacto en que un usuario entro por ultima vez. Directorio: /var/adm/lastlog acct o pacct: Registra todos los comandos ejecutados por cada usuario (aunque no registra los argumentos con que dichos comandos fueron ejecutados). Directorio: /var/adm/acct Comandos que permiten ver el estado del sistema: who y users: Permite saber quin esta conectado al sistema en el momento en que ejecutamos el comando. finger: Lo mismo que el comando who, con el aadido de que podemos saber qu usuarios estn conectados a una determinada mquina en el momento en que ejecutamos el comando. last: Muestra la ltima vez que se conecto un usuario. Last toma la informacin que saca en pantalla del fichero wtmp. ps: Permite saber qu procesos estan siendo ejecutados por el sistema y qu usuarios los ejecutan. accton: Activa un proceso llamado accounting, que es el que proporciona informacion al fichero acct. lastcomm: Permite saber qu comandos han ejecutado los usuarios. Lastcomm toma la informacin que saca por pantalla del fichero acct. Por lo tanto, si queremos borrar nuestras huellas del sistema, bastar con borrar cualquier log relativo a nuestro usuario de los ficheros utmp, wtmp y acct. Esto se puede hacer de dos formas: No borramos los ficheros pero los dejamos con cero bytes. Editar los ficheros con un zapper que pueden borrar los datos relativos a un usuario; en particular de estos ficheros dejando el resto de los datos intacto. Eliminar huellas de acct Es bastante complicado borrar nuestras huellas de este fichero; de hecho no se pueden borrar del todo, aunque se puede reducir a una mnima parte nuestra presencia en el sistema. Ms sistemas de log: Syslog: Mediante el syslog se puede configurar de tal forma que determinados programas, procesos o aplicaciones, generen mensajes que son enviados a determinados ficheros donde quedan registrados dichos mensajes. Este fichero s puede ser editado en

modo texto y puede ser analizado para ver dnde hemos ido dejando rastros y posteriormente borrar esas huellas. Aunque por supuesto, necesitaremos ser root para poder hacerlo. TCP-Wrapper: Se trata de una aplicacion que proporciona una serie de mecanismos para el registro y filtro de aquellos servicios invocados o llamados a travs del inetd (internet daemon). Con esta herramienta el administrador posee un control absoluto de las conexiones hacia y desde su mquina y es informado en todo momento de las conexiones que se han hecho desde su maquina y hacia su mquina.