Autor
|
Tema: ¿Como puedo saber si un sistema Linux ha sido comprometido? (TEXTO) (Leído 64,460 veces)
|
pepel
Desconectado
Mensajes: 1.099
Uno más
|
toda está información está muy bien(relamente bien). pero... cuantos administradores realmente se preocupan de mantener sus sistemas seguros?
No hay sistema 100% fiable, y mucho menos un adm 100% fiable! de hecho solo hay que ver los logs de los servidores web para ver que aun ser reciben ataques del codered(vale que es windows...)
Sobre los LKM, puede ser que todas las tecnicas esten muy estudiadas... pero si el insmod/modprobe está permitido en un sistema, un LKM puede llegar a ser indetectable(el tripwire p.e. hace uso de las llamadas del sistema, y por lo tanto, confia en la información que le da el kernel).
saludos,
pepel
|
|
|
En línea
|
Para algunos, la vida es galopar un camino empedrado de horas, minutos y segundos. Yo, más humilde soy, y sólo quiero que la ola que surge del último suspiro de un segundo, me transporte mecido hasta el siguiente.
|
|
|
Rojodos
|
chkrootkit no hace uso de las syscalls del sistema, asi que si que detectaria (y detecta) cualquier rootkit publico.
Lo que no puede detectar chkrootkit ni creo que tripwire, son modificaciones en el source del kernel y una recompilacion. Creo que hay ya chkrootkit no puede hacer nada, abria que meter otro kernel.
Salu2
|
|
|
En línea
|
|
|
|
pepel
Desconectado
Mensajes: 1.099
Uno más
|
el problema de meter otro kernel es que hay que reiniciar el sistema (o esperar pacientemente que el admin lo tenga que reiniciar... considerando que yo he administrador servidor que han estado encendidos + de un año... la espera puede ser largaaaaaaaaaaaa)
Básicamente si el admin es bueno te pilla siempre
saludos,
|
|
|
En línea
|
Para algunos, la vida es galopar un camino empedrado de horas, minutos y segundos. Yo, más humilde soy, y sólo quiero que la ola que surge del último suspiro de un segundo, me transporte mecido hasta el siguiente.
|
|
|
Rojodos
|
Siempre puedes provocar un reinicio (si eres root), tanto por comandos como provocando kernel panics (por ahi lei un texto al respecto, lo buscare...)
Un LKM, por muy bueno que sea, se puede detectar con chkrootkit o similares, pero una recompilacion del kernel no, no hay admin que detecte eso (salvo inspeccion del source, y vea las modificaciones, o con diff, o que tripwire haya realizado checksums de los fuentes).
Pero vamos, tiene que ser un admin MUY paranoico, para que se ponga a inspeccionar las fuentes del source (si estan claro, el "hacker" puede descargar los sources, modificarlos, recompilar, y borrarlos, con lo que virtualmente, no se podria detectar).
No hay muchos "hackers" que hagan eso en una intrusion, tampoco hay muchos admins tan paranoicos.
Si te modifican el kernel, solo tienes la opcion de formatear/recompilar un kernel nuevo, en el 99% de los casos.
salu2
|
|
|
En línea
|
|
|
|
Mr Burnin
Desconectado
Mensajes: 30
Lo q no hace el hombre, lo hace el hambre
|
Veamos...sé q esto q voy a decir va a levantar bastantes ampollas, pero alguno q otro me dará la razón. En fin, creo q debo decirlo. Algunos asiduos al foro (y fauna parecida) creeis q sabiendo 4 comandos y medio en nc, algo de injeccion Mysql (todo por haber leido alguna web del tema) , el uso de algún q otro exploit (sin entender el código siquiera) y el manejo de 3 rootkits ya soys ...no lo digo,noo...bueno si, pero no lo q pensais, jojoojo,sois una MIERDAAAA. Me parece q con esa aptitud poco lejos se llega...en fin,sólo pa vacilar con tus compis mientras te tomas unos cubatas. Creo q bien os valdría dedicarle unos dias/semanas/meses a leeros unos cuantos manuales q ,si bien rojodos afirma q están un poco desfasados (y es cierto en parte), ayudarán mucho a tener una idea más precisa de lo q va este tema (bte más diría yo). http://www.linux.org.ni/LuCAS/LuCAS/htmls/manuales.html Guía de Administración de Redes,Introducción a la administración de redes tcp-ip, Introducción a la administración de redes tcp-ip, Guía de Seguridad del Administrador de Linux...sólo para empezar...apuesto a q os enterais de muchas cosas q ignorabais. Dudo mucho q la mayoría de uds tenga una idea certera de cómo funciona la comunicación en redes, protocolos y sus carencias. Pero claro, pa eso hace falta dedicarle tiempo y esfuerzo...cosa q no creo q la mayoría de uds esté dispuesto a hacer puesto q es más fácil seguir las indicaciones de alguien y actuar como autómatas. Bien, después de este ataque un tanto agresivo ,aunq mucho de lo q digo lo reconozcan para sí, espero q hagan una reflexión personal, humilde y serena.Dicho queda. Conste q no me dirijo a TODOSSSS, así q no te des por ofendido, pero me gustaría q esto le sirviera a alguno para ser consciente de lo q maneja entre manos y q lo importante no es tener logros efectivos a corto/medio plazo sino aprender y después de eso, aprender más. Saludos a todos.
|
|
|
En línea
|
|
|
|
alcatel
Desconectado
Mensajes: 341
|
No deberias haber generalizado, no a todos los que visitan este foro les interesa el hacking o cracking o como quieras llamarlo.
|
|
|
En línea
|
Sin rebote no hay jugada.
|
|
|
Mr Burnin
Desconectado
Mensajes: 30
Lo q no hace el hombre, lo hace el hambre
|
Y no lo hice, perdona si ,quizás, me expresé mal . Ad+...me da igual q te guste ,o no, el cracking, el hacking o David Bisbal, hay gente pa to. Sólo quise hacer una apelación en voz alta al conocimiento. Q conste q yo, sobre todo en en tema de Linux, estoy aprendiendo también (en otros me defiendo algo más), alguno q otro habrá visto algún post mío en la sección Linux y se habrá tirado de los pelos por mi ignorancia. No pretendía ser ofensivo para la mayoría, sólo darle una pequeña reprimenda a esos hackers de manual en 5 lecciones...ya sabes a q me refiero. Saludos a todos
|
|
|
En línea
|
|
|
|
JorgeEMX
|
hay gente pa to.
No entiendo tu postura, como os has dicho hay gente para todo y por lo mismo no hay que preocuparse.. Ahora tu mismo lo has dicho leer manuales XD, la curiosidad viene de algún lado (texto, articulo, manual, libro, etc, etc)... Eso de creerse super L33T es cierto, pero insultar, no viene al caso.. Un saludo.
|
|
|
En línea
|
|
|
|
h3n20
Desconectado
Mensajes: 2
|
Pues antes que todo, saludos a toda la gente que esta por aca, ahora si, interesante esto de saber como funciona la seguridad de un sistema gnu\linux, soy usuario de linux y de windows, veran, soy como se dice por ahi un "newbie", me interesa mucho esto de las intrusiones, los troyanos, los passwords, y todas esas cosas... me gustaria aprender tantaas cosas, para entender como es que funcionan estos asuntos de la seguridad, aprender a defenderme de ataques, y saber atacar en caso de tener que hacerlo. Tengo tantas preguntas, asi que empezare:
1.- ¿es verdad que si alguien ataca a un sistema linux desde windows no tiene posibilidad de exito?, esto no me lo dijo nadie, yo lo pienso dado que las aplicaciones para windows no corren en linux.
2.- ¿se podria enviar un server a un sistema windows, y ejecutar el cliente desde linux?, si la respuesta a la pregunta 1 es no, entonces esta queda por de mas respondida
Esta de mas agradecer que existan espacios como estos, donde podemos aprender bastante. Saludos a tod@s
|
|
|
En línea
|
|
|
|
icisneros
GNU/Linux
Ex-Staff
Desconectado
Mensajes: 1.296
|
1.- ¿es verdad que si alguien ataca a un sistema linux desde windows no tiene posibilidad de exito?, esto no me lo dijo nadie, yo lo pienso dado que las aplicaciones para windows no corren en linux.
No, no es cierto... Simplemente podrías conectarte con un cliente ssh al servidor y sería igual que estar corriendo un linux... 2.- ¿se podria enviar un server a un sistema windows, y ejecutar el cliente desde linux?, si la respuesta a la pregunta 1 es no, entonces esta queda por de mas respondida
Sí, sí se puede. Por ejemplo con netcat, el más conocido/usado. Saludos!!
|
|
|
En línea
|
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Servidor Linux comprometido
Seguridad
|
Cronck
|
5
|
6,514
|
11 Septiembre 2013, 20:42 pm
por Cronck
|
|
|
Cómo activar el pegado de texto en los campos donde ha sido bloqueado
Noticias
|
wolfbcn
|
0
|
1,412
|
28 Abril 2016, 19:00 pm
por wolfbcn
|
|
|
MEGA habría sido comprometido por un grupo de hackers
Noticias
|
wolfbcn
|
1
|
2,998
|
18 Noviembre 2016, 21:27 pm
por MCKSys Argentina
|
|
|
OneDrive for Business ha sido comprometido, y se empieza a usar para infectar...
Noticias
|
wolfbcn
|
0
|
2,390
|
25 Noviembre 2016, 14:25 pm
por wolfbcn
|
|
|
Esta app para Windows 10 verifica si tu email ha sido comprometido en fugas ...
Noticias
|
wolfbcn
|
0
|
2,935
|
18 Mayo 2017, 18:32 pm
por wolfbcn
|
|