Removendo rastros de uma invasão

Um micro pode armazenar muitos tipos de pistas, e tipos de ataques, então, como entrar em um micro e sair sem deixar pistas?
Existem muitos tipos de ferramentas como backdoors, sniffers, logs e outros serviços. Existem algumas coisa a serem consideradas, como criar um usuário e saber se o user tem privilégios suficientes, e saber como deletar esse user...
Muitos são  limitados apenas a destruir o access_log do apache, a webshell, o backdoor e a raiz do exploit.
Existem muitas ferramentas que prometem remover todos os vestígios, mas isso não e verdade. Isso e não para ser um guia perfeito e sim da um ênfase a essa etapa, um orientação de para um serviço perfeito.
Vou deixar os credito ao overload, vamos a uma visão geral dos mais usados:

1° Destruição do sistema
* Quando perceber que não ha mais alternativas.
Desative o login, isso causa estragos de tal forma que pode causa uma destruição total ou parcial, aqui estão alguns comandos mais usados:

rm /etc/passwd
rm /etc/shadow
rm /bin/login
rm /bin/rm
rm /etc/inetd.conf
killall login

2° Captura e remoção do log de acesso do Apache.
* Isso somente seria viável se o ataque fosse apenas no site usando uma webshell. Ele pode ser removido ou editado, tome cuidado para não deixar nada errado.
Diretórios mais comuns que armazenam os dados:

apache/logs/error.log
apache/logs/access.log
apache/logs/error.log
apache/logs/access.log
apache/logs/error.log
apache/logs/access.log
etc/httpd/logs/acces_log
etc/httpd/logs/acces.log
etc/httpd/logs/error_log
etc/httpd/logs/error.log
var/www/logs/access_log
var/www/logs/access.log
usr/local/apache/logs/access_log
usr/local/apache/logs/access.log
var/log/apache/access_log
var/log/apache2/access_log
var/log/apache/access.log
var/log/apache2/access.log
var/log/access_log
var/log/access.log
var/www/logs/error_log
var/www/logs/error.log
usr/local/apache/logs/error_log
usr/local/apache/logs/error.log
var/log/apache/error_log
var/log/apache2/error_log
var/log/apache/error.log
var/log/apache2/error.log
var/log/error_log
var/log/error.log
var/log/access_log
var/log/access_log

3° Eliminar o Bash history.
* Muitos se esquecem dele.
* E muitos simples edita-lo ou elimina-lo, o arquivo e .bash_history ou .sh_history
* Isso somente e para ser feito antes de sair.

4° Removendo os rastros de exploits, sniffers, webshells e etc...
* E sempre bom ter um root explit em mãos...

5° Tenha cuidados com as mudanças no sistema.
* Essa e uma parte importantes, se você fez alterações no sistema e for pego, a pena e mais grave dependendo do pais que foi feito a invasão do website.

6° Cuidado com os backdoors.
* Em um curto espaço de tempo, ele pode passar despercebido, mas pode se encontrado. 

7° Remove todas as contas criados, principalmente se você for ROOT.
* Não e suficiente para remover permissões de shell (/sh/false)

8° Você deve ter atenção, para não ter alguém conectado no sistema.
* Ter alguém conectado pode ser muito perigoso, você pode ser rastreado e capturado facilmente.

9° Desconfie de tudo, a melhor solução e sigilo absoluto.
* Não e o que acontece com a maioria, eles gostam de se gabar do feito, sem leve em conta que isso poderia leva alguém a espiona-lo.
* Lembre-se que não existe proxy 100% seguro.

10° Tome cuidado com o syslog.
* As vezes pode ser mais complexo do que o normal se livrar das alterações feita nele.

11° Alguns comandos interessantes.
* Who - Lista usuários ativos.
* last - Login do ultimo usuário.
* ps - Lista os processos ativos
* lastcom/hostory - Mostra os comandos digitados por um determinado usuário.

12° Arquivos perigosos.
* utmp - Grava um registro(log) dos usuários que estão usando o sistema enquanto estiverem conectados a ele. ele se encontra no diretório /var/adm/utmp e /etc/utmp
* wtmp - Grava um registro de cada vez que um usuário entra no sistema, ou sair do sistema.
* lastlog - Grava um registro exato de quando o usuário entrou pela ultima vez.
* acct ou pacct - Registra todos os comandos executados por cada usuário(mas não grava os argumentos para estes comandos executados).

Guerra Cibernética "Cyberwar"

Leia abaixo, na íntegra, Artigo de MARCELO BEZERRA sobre Guerra Cibernética (Cyberwar), retirado do Blog Segurança Digital.

"Há muito se fala do uso da Internet como ferramenta de ação política ou militar, no que nos acostumamos a chamar de cyberwar, ciberguerra ou gerra cibernética. Apesar de ainda fazer parte do imaginário e dos temas de filmes de Hollywood, alguns fatos esse ano mostraram que a realidade pode estar mais perto do que parece.

Na semana de 4 de Julho, diversos sites da Coreia do Sul e dos Estados Unidos sofreram ataques denial of service, e culparam a inimiga histórica – Coreia do Norte. Um dos resultados foi o anuncio de uma nova unidade militar na Coreia do Sul especializada em defesa digital. Em 25 de Junho o site do Telegraph do Reino Unido (http://www.telegraph.co.uk) publicou notícia sobre a acusação, por parte de um alto funcionário do governo daquele país, de que a China, Russia e a Al-Qaeda estavam promovendo ataques contra a infraestrutura digital do país, e que o governo britânico estava lançando uma nova estratégia para defesa digital, incluindo ataques terroristas que poderiam ser lançados no futuro. Coincidência ou não, o governo dos Estados Unidos anunciou há algumas semanas um novo plano de defesa contra ataques e uma nova estrutura organizacional, com pesados investimentos e um claro aviso de que pode revidar ataques cibernéticos militarmente, com forças convencionais, para deixar bem claro. De qualquer forma, os países anunciaram que o contra-ataque faz parte da estratégia.

Não considero que chegamos ao ponto, como alguns já falam, de uma nova guerra fria, cibernética e virtual; mas o fato é que os ataques contra a Coreia do Sul e a Estônia em 2007 mostraram que é possível atingir e causar danos sérios a um país via ataques coordenados. Para quem não se lembra do caso da Estonia, em 2007 uma ataque praticamente tirou o pequeno país do ar, incluindo sites governamentais e privados. Houve acusações contra a Russia, porém nada foi provado. Em alguns países totalitários, como China e Irã, já há uma “guerra cibernética” em curso, entre o governo que tenta bloquear o acesso livre à Internet e grupos de dissidentes com suas ferramentas para burlar os sistemas de controle. É uma situação diferente, porém o motivo da censura é político. Uma preocupação dos países ocidentais é impedir que a Internet seja usada para coordenar e sincronizar ações terroristas “físicas”. Porém aqui já entramos em outra discussão: como prevenir o mau uso sem atingir a privacidade.

Mas o que é fantasia e o que é realidade? O que realmente pode ser feito contra um país a partir da Internet? O ataque à Estonia mostrou uma das possibilidades: um ataque denial of service, retirando serviços essenciais do ar. Um ataque DoS bem sucedido pode não comprometer a infraestrutura física de um país, mas certamente causa danos e prejuizos, além do efeito psicológico. Realizar esse ataque não é hoje algo especialmente complicado, dado às redes bot com milhares e milhares de computadores ao redor do mundo. Por outro lado, redes do mundo todo estão mais preparadas para lidar com esse tipo de ameaça. Outro evento possível, e o que mais reclamam países como Estados Unidos e Reino Unido, é o de espionagem. Técnicas existem, assim como farto conhecimento de como explorar vulnerabilidades para invadir redes de computador. É certo que muitos casos de vazamento são simplesmente erros crassos de usuários ou administradores de sistemas, mas enfim essas são vulnerabilidades exploráveis, como qualquer outra. Outros ataques, que derrubariam redes de energia elétrica, telecomunicações ou até aviões ainda continuam no espaço da ficção, e pelo que parece os governos estão tentando fazer com que lá permaneçam.

É notável que os Estados Unidos, onde há bem mais de dez anos diferentes agências governamentais como CIA, FBI e NSA (agência de segurança nacional) atuam ativamente na área de segurança cibernética, ainda esteja procurando a estratégia ideal. Tive a oportunidade de conhecer alguns profissionais que antes de trabalharem no setor privado atuaram em unidades especializadas. Um deles trabalhou no Exército americano e tinha como função investigar ataques à rede da instituição em qualquer lugar do mundo, com o complicador que muitas vezes o patrocinador do ataque era o governo de outro país. É seguro dizer que segredos militares foram muitas vezes roubados.

O Governo Brasileiro felizmente também está se organizando, com o Departamento de Segurança da Informação e Comunicações (DSIC), que faz parte do Gabinete de Segurança Institucional da Presidência da República, o que é bom sinal, já que está subordinado diretamente ao Presidente. Uma estrutura centralizada de coordenação e planejamento é mesmo essencial. De acordo com o site Convergência Digital, do portal Terra, a administração pública federal possui 320 redes informatizadas e, em apenas uma delas, os ataques de hackers chegaram a três milhões em 2008.

Em comparação aos seus similares na América do Norte e na Grã Bretanha, o DSIC possui hoje desafios mais prosaicos, porém não menos complexos: disseminar os conceitos de segurança de informação aos quase um milhão de servidores públicos. Isso não quer dizer que seja menos importante. Vulnerabilidades causados por erro humano são as mais fáceis de explorar e as mais dificeis de prevenir e detectar. Geralmente é tarde demais e o arquivo sigiloso já foi perdido ou vendido. Não adianta investir em hardware e software se os dados continuarem a passear sem controle, ou protegidos por senhas fracas e conhecidas, ou sem senha alguma. Por outro lado o governo brasileiro possui alguns dos melhores e mais bem preparados grupos de resposta a ataques do país, em empresas como o Banco do Brasil, Petrobras e Serpro. Aos poucos esse conhecimento será disseminado para governos estaduais e municipais, além de empresas privadas.

Não precisamos chegar ao ponto do Paquistão, que proclamou em 2008 uma lei que pune com a pena de morte os autores de ciberterrorismo, mas é essencial que a infraestrutura e os serviços digitais, assim como dados sigilosos e importantes para o país estejam protegidos."

Leia esse slide feito pelo Anchises M. G. de Paula
http://www.slideshare.net/SegInfo-Workshop-Blog/a-guerra-ciberntica-e-o-novo-hacktivismo-por-anchises-m-g-de-paula

Eu estou pronto e você?