¿Como puedo saber si un sistema Linux ha sido comprometido? (TEXTO)

Iniciado por Rojodos, 27 Julio 2004, 07:15 AM

0 Miembros y 2 Visitantes están viendo este tema.

pepel

toda está información está muy bien(relamente bien). pero... cuantos administradores realmente se preocupan de mantener sus sistemas seguros?

No hay sistema 100% fiable, y mucho menos un adm 100% fiable! de hecho solo hay que ver los logs de los servidores web para ver que aun ser reciben ataques del codered(vale que es windows...)

Sobre los LKM, puede ser que todas las tecnicas esten muy estudiadas... pero si el insmod/modprobe está permitido en un sistema, un LKM puede llegar a ser indetectable(el tripwire p.e. hace uso de las llamadas del sistema, y por lo tanto, confia en la información que le da el kernel).

   saludos,

          pepel
Para algunos, la vida es galopar un camino empedrado de horas, minutos y segundos.
Yo, más humilde soy, y sólo quiero que la ola que surge del último suspiro de un segundo, me transporte mecido hasta el siguiente.

Rojodos

chkrootkit no hace uso de las syscalls del sistema, asi que si que detectaria (y detecta) cualquier rootkit publico.

Lo que no puede detectar chkrootkit ni creo que tripwire, son modificaciones en el source del kernel y una recompilacion. Creo que hay ya chkrootkit no puede hacer nada, abria que meter otro kernel.

Salu2

pepel

el problema de meter otro kernel es que hay que reiniciar el sistema (o esperar pacientemente que el admin lo tenga que reiniciar... considerando que yo he administrador servidor que han estado encendidos + de un año... la espera puede ser largaaaaaaaaaaaa)

Básicamente si el admin es bueno te pilla siempre

    saludos,
Para algunos, la vida es galopar un camino empedrado de horas, minutos y segundos.
Yo, más humilde soy, y sólo quiero que la ola que surge del último suspiro de un segundo, me transporte mecido hasta el siguiente.

Rojodos

Siempre puedes provocar un reinicio (si eres root), tanto por comandos como provocando kernel panics (por ahi lei un texto al respecto, lo buscare...)

Un LKM, por muy bueno que sea,  se puede detectar con chkrootkit o similares, pero una recompilacion del kernel no, no hay admin que detecte eso (salvo inspeccion del source, y vea las modificaciones, o con diff, o que tripwire haya realizado checksums de los fuentes).

Pero vamos, tiene que ser un admin MUY paranoico, para que se ponga a inspeccionar las fuentes del source (si estan claro, el "hacker" puede descargar los sources, modificarlos, recompilar, y borrarlos, con lo que virtualmente, no se podria detectar).

No hay muchos "hackers" que hagan eso en una intrusion, tampoco hay muchos admins tan paranoicos.

Si te modifican el kernel, solo tienes la opcion de formatear/recompilar un kernel nuevo, en el 99% de los casos.

salu2

Mr Burnin

Veamos...sé q esto q voy a decir va a levantar bastantes ampollas, pero alguno q otro me dará la razón. En fin, creo q debo decirlo.
Algunos asiduos al foro (y fauna parecida) creeis q sabiendo 4 comandos y medio en nc, algo de injeccion Mysql (todo por haber leido alguna web del tema) , el uso de algún q otro exploit (sin entender el código siquiera) y el manejo de 3 rootkits ya soys :-X...no lo digo,noo...bueno si, pero no lo q pensais, jojoojo,sois una MIERDAAAA. Me parece q con esa aptitud poco lejos se llega...en fin,sólo pa vacilar con tus compis mientras te tomas unos cubatas.
Creo q bien os valdría dedicarle unos dias/semanas/meses a leeros unos cuantos manuales q ,si bien rojodos afirma q están un poco desfasados (y es cierto en parte), ayudarán mucho a tener una idea más precisa de lo q va este tema (bte más diría yo).
http://www.linux.org.ni/LuCAS/LuCAS/htmls/manuales.html
Guía de Administración de Redes,Introducción a la administración de redes tcp-ip, Introducción a la administración de redes tcp-ip, Guía de Seguridad del Administrador de Linux...sólo para empezar...apuesto a q os enterais de muchas cosas q ignorabais.

Dudo mucho q la mayoría de uds tenga una idea certera de cómo funciona la comunicación en redes, protocolos y sus carencias.
Pero claro, pa eso hace falta dedicarle tiempo y esfuerzo...cosa q no creo q la mayoría de uds esté dispuesto a hacer puesto q es más fácil seguir las indicaciones de alguien y actuar como autómatas.
Bien, después de este ataque un tanto agresivo ,aunq mucho de  lo q digo lo reconozcan para sí, espero q hagan una reflexión personal, humilde y serena.Dicho queda.
Conste q no me dirijo a TODOSSSS, así q no te des por ofendido, pero me gustaría q esto le sirviera a alguno para ser consciente de lo q maneja entre manos y q lo importante no es tener logros efectivos a corto/medio plazo sino aprender y después de eso, aprender más.

Saludos a todos.



alcatel

No deberias haber generalizado, no a todos los que visitan este foro les interesa el hacking o  cracking o como quieras llamarlo.
Sin rebote no hay jugada.

Mr Burnin

Y no lo hice, perdona si ,quizás, me expresé mal :(.
Ad+...me da igual q te guste ,o no, el cracking, el hacking o David Bisbal, hay gente pa to. Sólo quise hacer una apelación en voz alta al conocimiento. Q conste q yo, sobre todo en en tema de Linux, estoy aprendiendo también (en otros me defiendo algo más), alguno q otro habrá visto algún post mío en la sección Linux y se habrá tirado de los pelos por mi ignorancia.
No pretendía ser ofensivo para la mayoría, sólo darle una pequeña reprimenda a esos hackers de manual en 5 lecciones...ya sabes a q me refiero.

Saludos a todos ;D

JorgeEMX

Cita de: Mr Burnin en 27 Marzo 2005, 04:06 AM
hay gente pa to.

No entiendo tu postura, como os has dicho hay gente para todo y por lo mismo no hay que preocuparse.. Ahora tu mismo lo has dicho leer manuales XD, la curiosidad viene de algún lado (texto, articulo, manual, libro, etc, etc)... Eso de creerse super L33T es cierto, pero insultar, no viene al caso..

Un saludo.

h3n20

Pues antes que todo, saludos a toda la gente que esta por aca, ahora si, interesante esto de saber como funciona la seguridad de un sistema gnu\linux, soy usuario de linux y de windows, veran, soy como se dice por ahi un "newbie", me interesa mucho esto de las intrusiones, los troyanos, los passwords, y todas esas cosas... me gustaria aprender tantaas cosas, para entender como es que funcionan estos asuntos de la seguridad, aprender a defenderme de ataques, y saber atacar en caso de tener que hacerlo. Tengo tantas preguntas, asi que empezare:

1.- ¿es verdad que si alguien ataca a un sistema linux desde windows no tiene posibilidad de exito?, esto no me lo dijo nadie, yo lo pienso dado que las aplicaciones para windows no corren en linux.

2.- ¿se podria enviar un server a un sistema windows, y ejecutar el cliente desde linux?, si la respuesta a la pregunta 1 es no, entonces esta queda por de mas respondida

Esta de mas agradecer que existan espacios como estos, donde podemos aprender bastante.
Saludos a tod@s

icisneros

Cita de: h3n20 en  4 Junio 2006, 02:22 AM
1.- ¿es verdad que si alguien ataca a un sistema linux desde windows no tiene posibilidad de exito?, esto no me lo dijo nadie, yo lo pienso dado que las aplicaciones para windows no corren en linux.

No, no es cierto...

Simplemente podrías conectarte con un cliente ssh al servidor y sería igual que estar corriendo un linux...


Cita de: h3n20 en  4 Junio 2006, 02:22 AM
2.- ¿se podria enviar un server a un sistema windows, y ejecutar el cliente desde linux?, si la respuesta a la pregunta 1 es no, entonces esta queda por de mas respondida

Sí, sí se puede.

Por ejemplo con netcat, el más conocido/usado.

Saludos!!