|
_ ______ _______ ______
| | | __ | | _____| | ____|
| | | | | | | | ___ | |____
| | | | | | | | |_ | |____ |
| |_____ | |__| | | |___| | ____| |
|_______| |______| |_______| |______|
Mas informacion en http://hg.hypermart.net
_ _ _ _
|_| /_\ |/ |_ |> /_ |> | | \ /
| | | | |\ |_ |\ \_| |\ |_| \/\/
� Copyright HaKeR GRoW. La distribucion es gratuita pero hay que dejar la URL.
Ni el autor ni el grupo de este texto se hacen kargo por lo ke hagas kon esta informacion. EL fin
de esta guia es de edukacion.
El paso de borrar nuestras huellas es importante, ya ke de na da nos habra servido habernos
introducido en el sistema y haber conseguido el nivel de root si al dia siguiente nos han cortado
el acceso debido a ke hemos dejado huellas por todas partes.
El sistema operativo Unix guarda varios registros (logs) de las conexiones de los usuarios al
sistema. Existen varios ficheros y comandos ke ayudan al adminsitrador a conocer todos los
detalles acerca de las conexiones de los usuarios. Aparte de estos ficheros y comandos, existen
diversas facilidades y aplicaciones ke realizan un registro continuado y exhaustivo acerca de las
actividades del usuario dentro del sistema.
FICHEROS:
utmp
Guarda un registro (log) de los usuarios ke estan utilizando el sistema mientras estan
conectados a el.
Directorios: /var/adm/utmp o /etc/utmp
wtmp
Guarda un registro de cada vez ke usuario entre y sale del sistema.
Direcetorios: /var/adm/wtmp o /etc/wtmp
lastlog
Guarda un log del momento exacto en ke un usuario entro por ultima vez al sistema
Directorios: /var/adm/lastlog
acct
Registra todos los comandos ejecutados por kada usuario.
Directorios: /var/adm/acct
COMANDOS:
who
Permite saber kien esta conektado al sistema en el momento en ke el comando es ejecutado
finger
Lo mismo ke el komando who, con el añadido de ke se puede aplicar a otras makinas. Es
decir, podemos saber ke usuarios estan conectados a una determinada makina en el momento en ke
ejecutamos el komando.
users
Igual ke el who
rusers
Igual ke el finger, pero la makina remota debe utilizar el sistema operativo Unix
Los komandos who, finger, users y rusers toman la informacion del fichero utmp.
last
Permite saber cuando fue la ultima vez ke se desconecto un usuario.
Este comando toma la informacion del fichero wtmp.
ps
Permite saber ke procesos estan siendo ejecutados por el sistema y ke usuarios lo ejecutan.
El comando ps ofrece una informacion mucho mas completa de kien esta utilizando el sistema
puesto ke un usuario ke no aparezca en los ficheros utmp o wtmp puede tener procesos ejecutandose,
por lo ke el comando ps ofrecera la informacion de kien esta ejecutando dichos procesos. En
contrapartida, la informacion ke ofrece este comando es + complicada de interpretar ke la
informacion ofrecida por el resto de los comandos.
accton
Activa un proceso llamado accounting, ke es el ke proporciona informacion al fichero acct.
lastcomm
Permite saber ke comandos han ejecutado los usuarios.
acctom
Igual ke lastcomm pero exclusivamente para Unix del tipo System V.
Los komandos lastcomm y acctcom toman la informacion del fichero acct (pacct en algunos
sistemas)
------------------------------------
Por lo tanto, si keremos borrar nuestras huellas del sistema, bastara con borrar kualkier log
relativo a nuestro usuario de los ficheros utmp, wtmp y acct. Esto se puede hacer de dos formas:
Ficheros utmp y wtmp:
1.- No borramos los ficheros, pero los dejamos con 0 bytes. Solo se utiliza como ultimo
recurso para suscitar muchas sospechas por parte de los administradores. Hay hackers ke opinan
ke esto es inclusive peor ke no borrar los logs.
2.- Los ficheros utmp y wtmp no son ficheros de texto, es decir, no se pueden editar con
un editor de textos. Sin embargo, existen programas llamados zappers ke pueden borrar los datos
relativos a un usuario
en particular de estos ficheros dejando el resto de los datos relativo a los demas usuarios.
Fichero acct:
Cuando el accounting esta activado es bastante complicado borrar nuestras huellas, de hecho no
se pueden borrar del todo, aunke si se pueden reducir al minimo.
1.- Lo primero ke hacemos antes ke nada al entrar al sistema es copiar el fichero acct
a otro fichero y lo ultimo ke hacemos antes de abandonar el sistema es copiar dicho fichero de
nuevo al acct, de modo ke los comandos ke hemos ejecutado durante la sesion no aparecen en el
fichero acct.
Problema: Nuestra entrada en el sistema keda registrada, asi komo las dos copias.
2.- Dejamos el fichero acct a 0 bytes. Como antes, esto es bastante sospechoso para el
administrador, ademas, algunos sistemas reaccionan mal y paran el proceso de accounting, para
no levantar sospechas habria ke reactivarlo con el comando
accton.
Problema: Bastante sospechoso. El propio comando accton kedaria registrado como ejecutado por
nuestro usuario.
3.- Hacerse un editor para el fichero acct ke borrara los datos correspondientes a nuestro
usuario y dejara intactos los datos relativos al resto de los usuarios. Existen unos pocos
porogramas ke hacen esto.
Problema: La ejecucion del programa editor ke borra nuestras huellas kedaria registrado como
ejecutado por nuestro usuario.
Afortunadamente, no hay muchos sistemas ke tengan activado el accounting debido a la cantidad
de capacidad ke es necesaria para guardar los comandos ejecutados por todos los usuarios.
Aparte de los ficheros utmp, wtmp, acct y lastlog, hay ke tener en kuenta otras facilidades y
aplicaciones ke posee Unix ke permiten al administrador vigilar ciertos aspectos criticos
relativos a la seguridad y al mantenimiento del sistema.
~�~�~�~�~�~�~�~�~�~�~�~�~�~�~�~�~�~�~�~�~�~�~�~�~�~�~�~�~�~�~�~�~�~�~�~�~�~�~�~�~�~�~�~�~�~�~�~�
KERES SER UN VERDADERO HAKER Y UNIRTE AL MEJOR GRUPO DE HACKEO DE ARGENTINA????
VISITA NUESTRA PAGINA EN HTTP://HG.HYPERMART.NET
Monografias, Exámenes, Universidades, Terciarios, Carreras, Cursos, Donde Estudiar, Que Estudiar y más: Desde 1999 brindamos a los estudiantes y docentes un lugar para publicar contenido educativo y nutrirse del conocimiento.
Contacto »