Aunque es algo fastidioso, suele pasar, que algún individuo entran en el sistema y no sabemos cómo ni quién ni cuando. Ante todo, calma, si tenemos nuestros datos en copias de seguridad no tenemos porque temer demasiado, pero debemos saber qué ha pasado, para evitar otro futuro hackeo .
Todo lo que hagamos a partir de ahora determinará en gran medida lo que podamos averigüar del visitante no deseado. Nos disponemos a hacer el analísis forense de la máquina que ha sido comprometida.
Hay que tener los pasos bien marcados ya que cualquier cosa que hagamos puede borrar las pistas o las huellas que el visitante ha dejado.
Lo mejor es no apagar la computadora, ya que muchos atacantes suelen entrar y montan un disco RAM para trabajar sobre él, por lo tanto si apagamos el ordenador estaremos borrando los rastros del ataque.
Ahora debemos usar la copia de seguridad para usar asegurarnos de lo que vamos a usar está libre de troyanos «ls, cp, tar etcetera...» o libre de bombas lógicas . En algunos casos el atacante puede dejar una bomba lógica en el sistema, de tal modo que cuando usemos alguna utilidad, dicha «bomba» se active y borre logs, o apague el ordenador, borrar el disco duro y cosas por el estilo.
Las bombas lógicas se suelen usar en ordenadores con pocas conexiones ya que si una máquina tiene continuas conexiones el atacante no podría trabajar tranquilamente».
Una vez hemos instalado las utilidades «limpias» procedemos a realizar el análisis forense de los datos que luego se estudiarán para ver de dónde y cómo se hizo el ataque.
Lo primero es mirar nuestro reloj y ver que desfase tenemos con respecto al reloj de nuestro sistema, para luego no tener confusiones a la hora de ver logs.
Ejecutamos la orden:
date
Ahora hacemos una copia de la memoria:
dd bs=1024 count=tamaño_memoria if=/dev/mem of=/tmp/copia_memoria
El tamaño de la memoria será en kbytes Ahora nos hacemos una copia del lista de procesos que se están ejecutando en el sistema:
ps -axu > /tmp/procesos_sistema
Ahora debemos guardar los tiempos en los que fueron modificados los ficheros:
ls -a –full-time –time=mtime -R / >/tmp/mtime
Debemos guardar cuándo se accedió por última vez a los ficheros:
ls -a –full-time –time=atime -R / >/tmp/atime
Ahora queremos saber qué sistemas tenemos montados en el sistema, si hubiese un disco virtual lo veríamos:
mount -v
Ahora nos grabamos en un fichero la salida del mount -v:
mount -v > /tmp/sistemas_montados
Imaginemos que vemos que el visitante ha montado un disco en /visita, pues nos hacemos una copia del disco, para luego estudiarlo.
tar -czf /tmp/discoram.tgz /visita
También es conveniente hacer copia del /proc, del /etc/ y del /var, lo hacemos:
tar -czf /tmp/proc.tgz /proc
tar -czf /tmp/etc.tgz /etc
tar -czf /tmp/var.tgz /var
Por último debemos guardar el estado actual de nuestras conexiones de red:
netscat -na > /tmp/estado_red
Con todos estos datos estamos ya capacitados para estudiar el ataque, ver qué ha hecho y qué ha dejado de hacer el atacante.
Hay que tener en cuenta que si hay instalado un rootkit, estos datos no serán fiables, ya que puede estar todo trucado.
La mejor forma para asegurarnos de que hemos limpiado correctamente un equipo, es, por lástima, el formatearlo y reinstalarlo.
Cabe decir que hay geniales herramientas de seguridad para realizar un análisis forense, como puede ser el Coroners Toolkit .
Hay que recordar que si queremos que todos estos datos sean prueba en un juicio, deberemos grabarlos en algún lugar seguro, como un CD o un DVD.
Es dificil que en un juicio consigamos algo, ya que la policía tendría que haber sellado nuestra máquina para saber cómo estaba antes del ataque y cómo está después.
Podríamos poner un honeypot, que es básicamente un señuelo, sellado por la policia, con el que atraemos al atacante, que verá alguna vulnerabilidad de entrada, dejada a conciencia por nosotros, para que entre y luego poder estudiar sus datos cojuntamente con la policía.
En Linux tenemos grandes herramientas para crear Honeypots virtuales sin poner el peligro nuestro servidor «verdadero«, se puede ver la información en Single HoneyPot .
Este «señuelo» estará colocado detrás del firewall para que el intruso no vea que está en la DMZ y pueda sospechar.
Es conveniente que tenga herramientas de monitorización del sistema para que podamos sacar cuando más datos mejor.
Mini how-to escrito por Manuel Aróstegui Ramirez , miembro del Staff de Todo-Linux .
KoalaSoft - ::BLog:: 