borrar logs de acceso por ssh

Todo lo que tengas que decir sobre Gnu/Linux y SSOO alternativos.

Moderador: Moderadores

borrar logs de acceso por ssh

Notapor Lord_Byron » Mar Dic 04, 2007 5:15 pm

Hola.
Me he conectado desde un cliente ssh en Windows a una máquina linux como root.
Quisiera saber cómo borrar todas las huellas que han quedado en la máquina destino para que no haya rastros de conexión remota.

Me interesan básicamente la ip de la red local y la dirección MAC de la máquina origen como datos a borrar.

En la red existe un servidor con Squid pero a las máquinas origen y destino se les cambió la puerta de enlace predeterminada a la del router directamente, para que (supongo yo), pasando por el router directamente en vez de por el servidor, que es el que suele hacer de router, no logeara la conexión ssh entre las dos máquinas; antes de hacer la conexión ssh.
Quisiera saber:

a) Si squid logea conexiones ssh entre equipos o si no es necesario cambiar las puertas de enlace porque no logeará ese tipo de conexiones

b) Borrar las huellas de conxeión en el equipo destino.

Saludos.
Lord_Byron
:-)
:-)
 
Mensajes: 4
Registrado: Mar Dic 04, 2007 5:09 pm

borrado de huellas

Notapor wearth » Mar Dic 04, 2007 5:30 pm

Hola:

Lo primero que deberías de hacer, es revisar el archivo /etc/syslog.conf


y de paso, echaría un ojo a este enlace..

http://docente.ucol.mx/al028846/public_ ... gina23.htm

salud
wearth
<|:-)
<|:-)
 
Mensajes: 358
Registrado: Sab Dic 01, 2007 10:52 am

Notapor Sor_Zitroën » Mar Dic 04, 2007 7:25 pm

Primero de todo, no sé hasta qué punto tu conexión con esa máquina es legal..... así que plantéatelo.


La MAC (que yo sepa) no se loguea. Así que pega un vistazo a /etc/ssh/sshd_config, y revisa la facility que utiliza. Una vez la tengas, mira en /etc/syslog.conf donde guarda logs para esa facility. Si es un fichero lo tienes más fácil, si es una máquina remota lo tienes más crudo y si es una terminal lo tienes tirando a imposible :) (amén de otras posibilidades que existen)


Tú mismo.
[Padre] ¿Crees en el fracaso?
[Hijo] Sí
[Padre] Entonces lo experimentarás
Avatar de Usuario
Sor_Zitroën
-<|:·þ
-<|:·þ
 
Mensajes: 2064
Registrado: Vie Nov 25, 2005 2:01 am

Notapor Lord_Byron » Mié Dic 05, 2007 1:26 am

Hola.

Sor_Zitroën escribió:Primero de todo, no sé hasta qué punto tu conexión con esa máquina es legal..... así que plantéatelo.


Digamos que no debería, pero tampoco es que sea ilegal. Es haber enredado en algo que no debería, y tendría que dar alguna excusa convincente. Pero no llega a ilegal.
Tengo la contraseña de root porque el único que está autorizado para ser administrador me la facilitó. No la obtuve pues, de forma ilegal. Es como poner la miel en los labios, y claro, no resistí la tentación. Simplemente quería practicar ssh. Lo único que conocía hasta ahora de administración remota era vnc, radmin... pero con ssh puede haber usuarios trabajando en la máquina y no los molestas mientras tú trabajas también. Es lo que me gusta de ssh. Simplemente, quería probarlo. También instalé algún driver, pero borré el historial con


Código: Seleccionar todo
history -c

Espero que fuera suficiente para no dejar huella sobre la actividad realizada de forma remota; pero todavía no me he leído el enlace anterior.

Gracias por vuestra ayuda.
Lord_Byron
:-)
:-)
 
Mensajes: 4
Registrado: Mar Dic 04, 2007 5:09 pm

Notapor Ramms+ein » Mié Dic 05, 2007 11:50 am

Buenas,

Lord_Byron escribió:Espero que fuera suficiente para no dejar huella sobre la actividad realizada de forma remota; pero todavía no me he leído el enlace anterior.


Hombre no creo que borrando el history sea suficiente. Además puede ser un poco cantón desde mi punto de vista.

El post de Sor_Zitroën ha resumido perfectamente los pasos. Por defecto el sshd utiliza la facility.priority auth.info por lo que suele estar en /var/log/auth.log. Como ejemplo, mi log de ayer:


Código: Seleccionar todo
Dec  5 09:50:23 localhost sshd[6036]: Accepted password for Ramms+ein from 192.168.1.10 port 1376 ssh2
Dec  5 09:50:23 localhost sshd[6038]: (pam_unix) session opened for user Ramms+ein by (uid=0)


Sin embargo, se suelen hacer rotaciones de log, por lo que quiza estén en auth.log.1.gz, auth.log.2.gz etc etc. Lo mejor es primero buscar donde está logueada tu IP o usuario (en tu caso será IP, ya que el admin supongo que suele utilizar también el root):

Código: Seleccionar todo
grep 192.168.1.10 *


Y luego borrar en cada fichero todas las trazas que puedan asociarte:

Código: Seleccionar todo
grep -v 192.168.1.10 auth.log >> auth.log.falso
mv auth.log.falso auth.log


Espero sea útil. En cuanto al tema ético, todo lo posteado tiene como fin último el conocimiento, cada uno es responsable de sus actos :P

Saludos
<--! Mit diessem herz hab ich die macht -->
Avatar de Usuario
Ramms+ein
:-D
:-D
 
Mensajes: 56
Registrado: Mié Abr 19, 2006 12:52 am
Ubicación: - No Mundo -

Notapor Sor_Zitroën » Mié Dic 05, 2007 7:31 pm

Espero que fuera suficiente para no dejar huella sobre la actividad realizada de forma remota


Puedes pobar con unset HISTFILE para que directamente no sepa el fichero sobre el que loguear, y te quitas el problema de raíz (a no ser que exporten la variable como sólo lectura). Pero lo más eficaz para no dejar huellas en equipos ajenos, lo que realmente nunca falla, es hacer pruebas en un ordenador de tu casa ;)


Y supongo que eres consciente de que una cosa es que no consten los comandos ejecutados, y otra muy distinta es la autenticación. Porque eso sigue constando en algún log.
[Padre] ¿Crees en el fracaso?
[Hijo] Sí
[Padre] Entonces lo experimentarás
Avatar de Usuario
Sor_Zitroën
-<|:·þ
-<|:·þ
 
Mensajes: 2064
Registrado: Vie Nov 25, 2005 2:01 am

Notapor Kyrie » Mié Dic 05, 2007 8:27 pm

Agregando a lo que dice el dueño del culo friki, si quieres limitar LA CANTIDAD DE COMANDOS que se guardan en .bash_hitory, puedes setear la variable HISTFILESIZE a el ńumero que quieras, en $HOME/.bashrc

Para aplicar los cambios, pones:

Código: Seleccionar todo
source $HOME/.bashrc
ImagenImagen
ImagenImagen
ImagenImagen
Avatar de Usuario
Kyrie
<|:-)
<|:-)
 
Mensajes: 552
Registrado: Mar Jun 19, 2007 3:34 pm
Ubicación: Indierock

Notapor Lord_Byron » Jue Dic 06, 2007 2:49 am

Hola. Gracias a todos.
Todavía tengo que asimilar la información que me habéis indo posteando. En especial aquel link de wearth; así que hasta que no lea y pruebe no creo que me surjan nuevas dudas.
Aunque tengo esta:
Puedes pobar con unset HISTFILE para que directamente no sepa el fichero sobre el que loguear, y te quitas el problema de raíz


No entiendo esa frase. ¿HISTFILE es una variable (creo recordar que variable de entorno era el nombre)?

¿Tendría que ejecutar unset HISTFILE en cada sesión que inicie?

El post de Sor_Zitroën ha resumido perfectamente los pasos. Por defecto el sshd utiliza la facility.priority auth.info por lo que suele estar en /var/log/auth.log. Como ejemplo, mi log de ayer:


Precisamente he visto un log de mi conexión en auth.info. Lo que no he visto es si en los .gz

el comando grep se me ocurrió utilizarlo justo como me indica Ramms+ein, pero no conseguía interpretar los resultados. Editando el archivo auth.log con un editor de entorno gráfico es cuando sí que ví mi logueo.

Para la próxima se me ha ocurrido no usar mi ip, que es fija, y como la conexión la realicé desde windows, puedo fácilmente cambiar los parámetros de conexión. Una manera de despistar sobre qué ip se ha conectado no siendo la mía, es pedir una automática al servidor dhcp, pero sé que también funciona squid y que quedan logueadas, no sé si a través del propio squid las MAC a las que se le asignan las distintas ips que se reparten; quedando identificado mi pc si elijo una ip al azar otorgada por el servidor. Supongo que la opción a la próxima es elegir una ip no asignada a ningún ordenador previamente de manera que no use para esa conexión la ip que debo tener según el Administrador me ha asignado.

No creo que tanta historia de conexión remota de pc a pc sea realmente un problema en la red en la que lo hago; no creo que esté expresamente prohibido. Tengo permiso para usar físicamente el pc al que me conecto; podría justificar que lo uso remotamente para no moverme de mi sitio y a la vez poder usar un linux desde mi Windows. El problema es que hacer cosas raras como conectarme remotamente a un pc desde otro y cualquier otra cosa que se salga de lo que es sentarse físicamente delante de un pc linux y dar unos cuántos clics de ratón para navegar y poco más, desequilibra la habitual tranquilidad del administrador que, en caso de ponerse a husmear en los logs del pc destino de la conexión; supongo que se comería la cabeza tratando de averiguar el por qué de esa conexión remota, cuando el entorno está lleno de usuarios de ordenadores inexpertos que no saben qué es ssh y por tanto nunca lo necesitarán.

Aunque por otro lado mi curiosidad por la informática es algo conocida; de ahí que no quiera dejar rastro de movimientos extraños, no necesariamente prohibidos, pero que harán que el administrador se mosqué innecesariamente.

Pasando desapercibido en mis prácticas de aprendizaje evito que nadie se ponga en estado de alerta por algo que al fin y al cabo creo inofensivo.


Por otra parte, creo que esto es estar metiéndose en un tema que veo muy interesante: la intrusión en una máquina linux sin dejar rastro.

Supongo que es crucial para cualquier interesado en hacking/seguridad informática.

Y desde luego una buena oportunidad (por necesidad) de aprender el asunto del logeo en Linux.

Saludos.
Lord_Byron
:-)
:-)
 
Mensajes: 4
Registrado: Mar Dic 04, 2007 5:09 pm

Notapor Kyrie » Jue Dic 06, 2007 3:12 am

A ver.

Lord_Byron escribió:
Puedes pobar con unset HISTFILE para que directamente no sepa el fichero sobre el que loguear, y te quitas el problema de raíz


No entiendo esa frase. ¿HISTFILE es una variable (creo recordar que variable de entorno era el nombre)?

¿Tendría que ejecutar unset HISTFILE en cada sesión que inicie?


Es una variable de ambiente. No necesariamente, podes poner 'unset HISTFILE' en el archivos .bashrc de tu user, y la próxima vez que inicies sesion (o si pones
Código: Seleccionar todo
source ~/.bashrc
funciona) va a funcionar.


Lord_Byron escribió:
El post de Sor_Zitroën ha resumido perfectamente los pasos. Por defecto el sshd utiliza la facility.priority auth.info por lo que suele estar en /var/log/auth.log. Como ejemplo, mi log de ayer:


Precisamente he visto un log de mi conexión en auth.info. Lo que no he visto es si en los .gz


Los comandos zcat, zmore, zless y zgrep te van a ayudar[/quote]

Saludos.
ImagenImagen
ImagenImagen
ImagenImagen
Avatar de Usuario
Kyrie
<|:-)
<|:-)
 
Mensajes: 552
Registrado: Mar Jun 19, 2007 3:34 pm
Ubicación: Indierock

Notapor Sor_Zitroën » Jue Dic 06, 2007 6:11 pm

Precisamente he visto un log de mi conexión en auth.info. Lo que no he visto es si en los .gz


Los ficheros comprimidos son los más antiguos. Comprueba la fecha de los mismos y lo verás.


Por otra parte, creo que esto es estar metiéndose en un tema que veo muy interesante: la intrusión en una máquina linux sin dejar rastro.

Supongo que es crucial para cualquier interesado en hacking/seguridad informática.


Yo no supongo lo mismo. Es crucial tener conocimientos profundos de los protocolos de red; la intrusión no la veo (para nada) crucial. Dicho esto... tú mismo.


Los comandos zcat, zmore, zless y zgrep te van a ayudar


Con Vim directamente puedes editar ficheros comprimidos.


Suerte con tus cosas.




****
EDIT
****

Agregando a lo que dice el dueño del culo friki


Ese culo no es mío, que más quisiera yo :p
Digamos que es un culo.... pseudo-aleatorio
[Padre] ¿Crees en el fracaso?
[Hijo] Sí
[Padre] Entonces lo experimentarás
Avatar de Usuario
Sor_Zitroën
-<|:·þ
-<|:·þ
 
Mensajes: 2064
Registrado: Vie Nov 25, 2005 2:01 am

Notapor Lord_Byron » Mié Dic 12, 2007 2:13 am

Cita:

Por otra parte, creo que esto es estar metiéndose en un tema que veo muy interesante: la intrusión en una máquina linux sin dejar rastro.

Supongo que es crucial para cualquier interesado en hacking/seguridad informática.


Yo no supongo lo mismo. Es crucial tener conocimientos profundos de los protocolos de red; la intrusión no la veo (para nada) crucial. Dicho esto... tú mismo.

No me refería a que fuera crucial saber introducirse en sistemas. Lo que decía que me parecía crucial era saber borrar las huellas si te habías colado en alguno.
Desde luego que lo mejor es estarse quietecito. De todas formas, si algún día tengo yo la suerte de ser administrador de un sistema linux, sabré mucho mejor que antes que el sistema logea, que lo hace con una configuración inicial que, si se me da bien ahora se puede burlar. Y si eso es así, sabré con más exactitud cómo de protegido está mi sistema en ese aspecto. Aunque reconozco que preferiría haber hecho las pruebas con gaseosa y en mi casa.

Pero es que no poseo una red local en casa, salvo el programa vmware que puede imitar una a cambio de trabajar con la lentitud de una máquina virtual o más en funcionamiento.

;)
Lord_Byron
:-)
:-)
 
Mensajes: 4
Registrado: Mar Dic 04, 2007 5:09 pm


Volver a Gnu/Linux y SSOO alternativos

¿Quién está conectado?

Usuarios navegando por este Foro: Bing [Bot] y 1 invitado

cron