_ ______ _______ ______

| | | __ | | _____| | ____|

| | | | | | | | ___ | |____

| | | | | | | | |_ | |____ |

| |_____ | |__| | | |___| | ____| |

|_______| |______| |_______| |______|

Mas informacion en http://hg.hypermart.net

_ _ _ _

|_| /_\ |/ |_ |> /_ |> | | \ /

| | | | |\ |_ |\ \_| |\ |_| \/\/

© Copyright HaKeR GRoW. La distribucion es gratuita pero hay que dejar la URL.

Ni el autor ni el grupo de este texto se hacen kargo por lo ke hagas kon esta informacion. EL fin

de esta guia es de edukacion.

El paso de borrar nuestras huellas es importante, ya ke de na da nos habra servido habernos

introducido en el sistema y haber conseguido el nivel de root si al dia siguiente nos han cortado

el acceso debido a ke hemos dejado huellas por todas partes.

El sistema operativo Unix guarda varios registros (logs) de las conexiones de los usuarios al

sistema. Existen varios ficheros y comandos ke ayudan al adminsitrador a conocer todos los

detalles acerca de las conexiones de los usuarios. Aparte de estos ficheros y comandos, existen

diversas facilidades y aplicaciones ke realizan un registro continuado y exhaustivo acerca de las

actividades del usuario dentro del sistema.

FICHEROS:

utmp

Guarda un registro (log) de los usuarios ke estan utilizando el sistema mientras estan

conectados a el.

Directorios: /var/adm/utmp o /etc/utmp

wtmp

Guarda un registro de cada vez ke usuario entre y sale del sistema.

Direcetorios: /var/adm/wtmp o /etc/wtmp

lastlog

Guarda un log del momento exacto en ke un usuario entro por ultima vez al sistema

Directorios: /var/adm/lastlog

acct

Registra todos los comandos ejecutados por kada usuario.

Directorios: /var/adm/acct

COMANDOS:

who

Permite saber kien esta conektado al sistema en el momento en ke el comando es ejecutado

finger

Lo mismo ke el komando who, con el añadido de ke se puede aplicar a otras makinas. Es

decir, podemos saber ke usuarios estan conectados a una determinada makina en el momento en ke

ejecutamos el komando.

users

Igual ke el who

rusers

Igual ke el finger, pero la makina remota debe utilizar el sistema operativo Unix

Los komandos who, finger, users y rusers toman la informacion del fichero utmp.

last

Permite saber cuando fue la ultima vez ke se desconecto un usuario.

Este comando toma la informacion del fichero wtmp.

ps

Permite saber ke procesos estan siendo ejecutados por el sistema y ke usuarios lo ejecutan.

El comando ps ofrece una informacion mucho mas completa de kien esta utilizando el sistema

puesto ke un usuario ke no aparezca en los ficheros utmp o wtmp puede tener procesos ejecutandose,

por lo ke el comando ps ofrecera la informacion de kien esta ejecutando dichos procesos. En

contrapartida, la informacion ke ofrece este comando es + complicada de interpretar ke la

informacion ofrecida por el resto de los comandos.

accton

Activa un proceso llamado accounting, ke es el ke proporciona informacion al fichero acct.

lastcomm

Permite saber ke comandos han ejecutado los usuarios.

acctom

Igual ke lastcomm pero exclusivamente para Unix del tipo System V.

Los komandos lastcomm y acctcom toman la informacion del fichero acct (pacct en algunos

sistemas)

------------------------------------

Por lo tanto, si keremos borrar nuestras huellas del sistema, bastara con borrar kualkier log

relativo a nuestro usuario de los ficheros utmp, wtmp y acct. Esto se puede hacer de dos formas:

Ficheros utmp y wtmp:

1.- No borramos los ficheros, pero los dejamos con 0 bytes. Solo se utiliza como ultimo

recurso para suscitar muchas sospechas por parte de los administradores. Hay hackers ke opinan

ke esto es inclusive peor ke no borrar los logs.

2.- Los ficheros utmp y wtmp no son ficheros de texto, es decir, no se pueden editar con

un editor de textos. Sin embargo, existen programas llamados zappers ke pueden borrar los datos

relativos a un usuario

en particular de estos ficheros dejando el resto de los datos relativo a los demas usuarios.

Fichero acct:

Cuando el accounting esta activado es bastante complicado borrar nuestras huellas, de hecho no

se pueden borrar del todo, aunke si se pueden reducir al minimo.

1.- Lo primero ke hacemos antes ke nada al entrar al sistema es copiar el fichero acct

a otro fichero y lo ultimo ke hacemos antes de abandonar el sistema es copiar dicho fichero de

nuevo al acct, de modo ke los comandos ke hemos ejecutado durante la sesion no aparecen en el

fichero acct.

Problema: Nuestra entrada en el sistema keda registrada, asi komo las dos copias.

2.- Dejamos el fichero acct a 0 bytes. Como antes, esto es bastante sospechoso para el

administrador, ademas, algunos sistemas reaccionan mal y paran el proceso de accounting, para

no levantar sospechas habria ke reactivarlo con el comando

accton.

Problema: Bastante sospechoso. El propio comando accton kedaria registrado como ejecutado por

nuestro usuario.

3.- Hacerse un editor para el fichero acct ke borrara los datos correspondientes a nuestro

usuario y dejara intactos los datos relativos al resto de los usuarios. Existen unos pocos

porogramas ke hacen esto.

Problema: La ejecucion del programa editor ke borra nuestras huellas kedaria registrado como

ejecutado por nuestro usuario.

Afortunadamente, no hay muchos sistemas ke tengan activado el accounting debido a la cantidad

de capacidad ke es necesaria para guardar los comandos ejecutados por todos los usuarios.

Aparte de los ficheros utmp, wtmp, acct y lastlog, hay ke tener en kuenta otras facilidades y

aplicaciones ke posee Unix ke permiten al administrador vigilar ciertos aspectos criticos

relativos a la seguridad y al mantenimiento del sistema.

~°~°~°~°~°~°~°~°~°~°~°~°~°~°~°~°~°~°~°~°~°~°~°~°~°~°~°~°~°~°~°~°~°~°~°~°~°~°~°~°~°~°~°~°~°~°~°~°

KERES SER UN VERDADERO HAKER Y UNIRTE AL MEJOR GRUPO DE HACKEO DE ARGENTINA????

VISITA NUESTRA PAGINA EN HTTP://HG.HYPERMART.NET