Sunday, August 30, 2009

Como detectar si somos victimas de un hacking.

Voy a profundizar ( esta palabra no tiene nada que ver con la imagen de inicio del post ) un tema que parece intereso a mucha gente, el cual se referia al procedimiento a seguir en caso de sufrir un defacement.



Un defacement puede evidenciarse de muchas maneras, desde la mojada de oreja que significa el cambio de la pagina de inicio de nuestro sitio, hasta el maquiavélico hacker que nos instala un troyano o nos modifica campos en una base de datos.

El momento critico de enterarnos que fuimos víctimas de un ataque en cualquiera de sus modalidades , puede llegar de diferentes maneras, dependiendo del contexto.

En caso de un sitio Web el modo mas cruel es abrir el diario del dia y enterarnos que el server que administramos sufrio un defacement.

También es complicado visitar un sitio donde se publican defacement y ver nuestro dominio expuesto.

Algun conocido nos puede enviar un mail o un twitter con la novedad.

Por ultimo, podemos ser nosotros quienes veamos el hecho consumado.


Cuando las cosas no son tan evidentes, como podemos saber si estamos siendo víctimas de un incidente de seguridad ?

En caso de sospecha, no tenemos que perder la calma y evitar modificar el sistema con acciones que impliquen muchos cambios. Por ejemplo instalar software.

  • Tomar un cuaderno de notas

Tenemos que verificar los archivos de sistemas y logs que se encuentran en los siguientes directorios :

/etc
/var/log
/var/adm
/var/spool

Prestemos atención a los usuarios creados y aquellos que deberían encontrarse deshabilitados.

/etc/password

También es importante chequear el archivo que contiene los DNS.

/etc/resolv.conf

Luego procederemos a verificar el estado de los servicios de red y procesos en ejecución, tratando de observar anomalías en servicios que se encuentren en estado de listening.

  • Utilizar herramientas simples :
last ( Muestra información de los últimos usuarios logueados )
ls -lart / ( Muestra los archivos ordenados por fecha )
netstat -na ( Muestra los servicios que estan conectados y esperando conexion )
ps -aux ( Muestra los procesos en ejecución )
lsof ( Muestra los archivos abiertos, en Unix casi todo es un archivo asi que tenemos que filtrar )
arp -a ( Lista la tabla de direcciones mac, util para ver si estamos siendo redireccionados a otro default gateway )
lsof | grep IPv ( Muestra las conexiones IP )
lsof | grep LIST
lsof | grep ESTAB
chckconfig --list ( Lista servicios que se inician con el sistema )

Verificar el archivo bash_history, donde se puede encontrar los últimos comandos ingresados.

  • Verificar los paquetes instalados
rpm ( para distribuciones basadas en Red Hatt )
dpkg (para distribuciones basadas en Debian )

find / ­ctime ­2 ­print ( Nos muestra los archivos modificados en los últimos dos dias, verificar que no sean modificados por el SO )

  • Data obfuscation
Buscar archivos y directorios sospechosos, por ejemplo un directorio nombrado ...

Lugares comunes donde se pueden ocultar la información

/dev/
/lib/
/var/tmp/


  • Verificar el trafico que genera la máquina

tcpdump -eth0 -w foo.dump ( generara un archivo con el trafico capturado en la placa eth0 )

  • Rootkits
Se dan pautas sobre poco actuar en caso de tener un rootkit.
  • Herramientas útiles
Rootkit Hunter (http://www.rootkit.nl/projects/rootkit_hunter.html)
Samhain (http://la-samhna.de/samhain/)
Tripwire (http://www.tripwire.org/ - opensource versión)
Chkrootkit (http://www.chkrootkit.org/)
Knoppix (http://www.knoppix.org/)


Por supuesto que si detectamos una anomalía, tenemos que seguir los pasos que recomendamos en el post de como reaccionar a un defacement.

Un documento completo con los pasos que vimos anteriormente se encuentra en : http://www.ucl.ac.uk/cert/nix_intrusion.pdf

3 comments:

Anonymous said...

que tal..podrias comentar algo sobre google hacking, en muchos lados no es complicado ni hay que poner operadores ni busquedas un tanto mas tecnicas...en algunos sitios basta con poner el correo empresarial de una persona y voala documentos un tanto privados.....podrias hablar como detener eso?
Saludos.

Anonymous said...

Guten Tag! Susan Dunn . payday loans

Anonymous said...

toronto payday loans This website is optimum I loved it so much
AAA Toronto Payday Loans 1172 Bay St #101, Toronto, ON M5S 2B4 (416) 477-2817