Dudas sobre huellas al escanear vulnerabilidades.

Iniciado por Hibagon, 22 Septiembre 2011, 03:30 AM

0 Miembros y 1 Visitante están viendo este tema.

Hibagon

Hola que tal a todos, primero que nada, espero que sea el foro correcto para este post. En fin empiezo.

Hace 3 semanas en mi clase de seguridad de redes, el profe nos dejo una especie de "reto" de el que descubriera cierto archivo en su computadora personal y le dijera el contenido del mismo le subiría puntos a la calificación final, como pista nos dijo que buscáramos en su pagina personal montada en su servidor .

En fin, me dispuse a encontrar ese archivo, por lo que inicie un escaneo de vulnerabilidades con el nmap (utilizo el backtrack en una maquina virtual para esto)en la pagina para ver si tenia una y así explotarlas. Por lo que después de un arduo trabajo, la localice y logre entrar, pero al día siguiente el profe, comento que ya abian logrado entrar etc etc, pero que dejo ciertas pistas el atacante, por lo que el mismo debia de pulir la manera en la cual entrar.

Asi que se me ocurrieron un par de cosas para ver si hasi se pueden tratar de ocultar las huellas lo mas que se pueda, primero, la primer pregunta es, al utilizar el nmap deje huellas? o fue después al explotar la vulnerabilidad?

Si fue la primera,utilizo una VPN sobre el sistema anfitrión (en este caso ubuntu 11.04) y trato de "torisar" la red (es decir tratar de hacer que el trafico de la red  pase atravez de tor) , cubrire un tanto las huellas? o al realizar el escaneo no deja huellas? y Si fue la segunda como puedo cubrirlas o uso el metodo que se me ocurrio?.

Espero su ayuda. Gracias. ;-)

el-brujo

si el profesor tiene instalado un IDS en su servidor puede detectar los escaneos de dónde proceden y le saltan las alertas, con la ip y un reporte.

Utilizar nmap no deja muchas huellas, a no ser que que tenga un IDS y monitorice todo ese tráfico, pero no es lo más habitual, en este caso si podría ser.

Fastolfe

Aunque tenga un ids, una vez dentro de su ordenador puedes intentar averiguar cual es y borrar los registros, si tu profesor esta delante de la pantalla en ese momento se enterará de todas formas, así que prueba a hacerlo por la noche.

PD: ¿dónde estudias? porque yo quiero un profesor así!! XD

Hibagon

Vale, muchas gracias por su ayuda, eso me a dado algunas ideas y en cuanto a en donde estudio XD no lo dire es secreto  ;D

adastra

Puede que tenga un IDS como Snort instalado en su maquina, pues bien, puedes utilizar en primer termino NMAP con las opciones que tiene este para evadir IDS, en concreto puedes utilizar medidas de tiempo (parámetro -T<Número>) para que los paquetes se envien con una menor frecuencia y de esa forma hacer creer al IDS que se trata de una peticion legitima. LO anterior en el caso de que se trate de un proceso de "pre-explotación" si ya tienes acceso a la maquina remota, es necesario que comiences un proceso de "pre-explotación" que incluye muchisimas activadades, entre las que se incluyen establecimiento de rootkits, troyanos, backdoors y evidentemente, limpieza de logs y eliminación de trazas, puede que el atacante tenga un IDS, pero si el sistema remoto ya esta comprometido, el atacante puede eliminar las trazas muy fácilmente...

Un Saludo.

adastra

Perdón, en lo ultimo me referia a proceso de "post-explotación"

:D :D :D :D :D

Un Saludo.