Prevenção e rastreamento de um ataque
Esse artigo é uma cartilha de segurança que deve ser seguida pelos administradores de sistemas. Nele abordaremos desde a concepção de um ataque, sua prevenção, detecção e rastreamento de um invasor, além de aprendermos também como recuperar arquivos excluídos do sistema.
[ Hits: 62.271 ]
Por: Perfil removido em 08/01/2004
Recuperando arquivos excluídos
Todos os arquivos no sistema UNIX são armazenados em locais físicos do disco, denominadas ' inodes '. Lá se encontram todas as informações sobre um arquivo no sistema, como última alteração e execução.
Outro ponto importante dos inodes é que lá constam o tamanho do arquivo e uma lista de blocos de dados. Quando um arquivo é excluído no sistema, o tamanho do arquivo e sua lista de blocos de dados são definidos para zero, mas os dados nos inodes não são excluídos.
Portanto, para recuperar um arquivo excluído, você precisará das informações contidas no inode para reconstruir a estrutura do arquivo. Para encontrar o inode de um arquivo utilize o comando ls:
# ls -i /etc/arquivo
55485 /etc/arquivo
55485 é o inode do arquivo. Para visualizar este arquivo você poderá utilizar um editor simples, como pico ou vi:
# vi /etc/arquivo
Agora é possível visualizar o arquivo pelo seu numero de inode, mesmo se ele for excluído. Uma ferramenta para executar esse procedimento é o icat, disponível no pacote TCT: Para executar o icat e visualizar um arquivo pelo inode, utilize o comando abaixo:
# icat /dev/hda1 55485
Você simplesmente visualizará o arquivo /etc/arquivo, mesmo se ele tiver sido excluído! :)
2. Rastreando um ataque
3. Descobrindo como o invasor entrou no seu sistema
4. Recuperando arquivos excluídos
5. Rastreando o provedor do invasor
Conexão do Vindula com o Active Directory Server 2008 R2
Linux + Rails + Ruby + Mongrel + PostgreSQL + NetBeans 6 Preview
XL - Ferramenta de gerenciamento Xen - Parte II
Relato I Fórum da Revista Espírito Livre
Snort + MySQL + Guardian - Instalação e configuração
É o hora do churrasco de... exploits! Quê?!? Não! Para churrasco e exploits, use Beef
Nmap - Escaneando sua Rede e Mantendo-a Segura
Escrevendo em discos sem sistemas de arquivos
Instalando e configurando o SpamAssassin
ae xpapas, muito legal seu artigo! primeiro de vários né? ;-)
mas.. melhor que teu artigo tá essa foto heim? hehehe
falowz
JuNiOx
hehehe, fiquei bem na foto ne' ?
faze o que quem mandou eu ser lindo huauhahua
Valeu, que bom que gostou do artigo, espero que este seja o primeiro de vários :)
Muito bom esse arquivo. Mais tenho um critica a fazer.
Vc fala de olhar os logs de sistemas pra indentificar se houve invasão ou para saber o que foi alterado (no caso da invasao).. Nao acho que isso seja possivel. Se eu fosse um hacker a primeira coisa que eu faria. seria limpar meus rastros. (logs).. E acho que a marioria deles fazem isso.
Valeu.. ate +
hehe com certeza
como dizem " os verdadeiros hacker nunca são pegos"
pq sabem ocultar seus rastros, mas o que mais temos hoje em dia são Kids/defacers que o que sabem fazer é apenas copilar um exploit ( de terceiros) e executar, e nao se lembram ou talvez nem saibam como apagar os logs :)
Mas valeu pela critica, acima de critica que vamos nos aperfeicoando e acertando cada dia mais
Thanks :)
"Entrar em contato com as autoridades locais de seu estado. Sim, literalmente, chame a polícia informando o sobre o caso e orientando - se sobre como você poderá proceder; Se o invasor for pego, ele poderá responder a processos"
Muito dificil isso ocorrer devido a inesperiencia da pessoa que manipula a maquina alvo. O alvo comprometido pode ter as infos de provas do crime facilmente anteradas e informações as vezes de suma importancia sao perdidas.
Se todo admin soubesse como preservar a maquina que foi comprometida de maneira correta a ter uma prova lícita aceita como prova em um tribunal ai sim ... caso contrario vc vai ter apenas um boletim de ocorrencia em suas mãos e nenhum resultado realmente interessante.
Regards.
Imagina a policia chegando na sua casa e voce falando que ele estao la por causa que seu pc foi invadido! ahuauhauuah
infelizmente o Brasil ainda nao tem essa maturidade
Falaê galera, tenho recebi vários comentário sobre o fato, de que não irá adiantar nada a respeito de avisar as autoridades competentes no caso de invasão de sistemas, isto com certeza, nós não temos leis especificas em vigor, mas podemos enquadrar os "invasor" em outras leis já existente.
Um site muito bom, e util sobre o assunto é o http://www.modulo.com.br/ lá você irá encontrar várias maneiras de se portar durante uma invasão. Com certeza é um site que deve ser adicionado ao favoritos de qualquer administrador de sistemas.
Não estou discordando dos amigos, sobre que o Brasil ainda é muito imaturo no caso de crimes virtuais, apesar do Brasil liderar os TOP 10 de invasões em todo mundo ( veja site www.zone-h.com ) , não existem leis em vigor para punir o invasor, mas pode muito causar uma puta dor de cabeça, para o acusado!
[]'s
Rafael Lamana
kra muito bom seu artigo.....do kralho!
foi mal o palavreado, mas eu tava procurando algo sobre segurança e achei oq eu keria saber!!
valeu mesmo!
t+
Muito bom seu artigo!
Que tal mandar uma Parte_II, tratando de IDS, etc...????????
Very good!
Agora só me falta um artigo sobre IDS, SNORT-ACID!
Vc tem ai? Obrigado!!!
e ai rafa...Teu artigo fico massa cara, bem completo e detalhado continue assim e que os próximos sejam ainda melhores ;)
e naum esqueça... Slackware na veia!!!
Muito bom o artigo.
Correto para administradores que já tiveram seu sistema comprometido.
Parabéns!
Rafael Lamana
lol cara parabens cada vez admiro mais esse site! aprendo pacas!
bem detalhado!
exceto a parte de procurar as autoridades locais, eles nunca fazem nada mesmo!
Ótimo artigo
Mas a realidade e,,,,,,,,,
Em 99,99% dos casos os administradores de servidores estão mais preocupados em restabelecer o sistema que o invasor fica esquecido.
Sem contar que em grande parte dos casos o administrador quer mais e ocultar a invasão. Evitando ter que dar maiores explicações sobre o fato.
Patrocínio
Destaques
Atenção a quem posta conteúdo de dicas, scripts e tal (1)
Artigos
Manutenção de sistemas Linux Debian e derivados com apt-get, apt, aptitude e dpkg
Melhorando o tempo de boot do Fedora e outras distribuições
Como instalar as extensões Dash To Dock e Hide Top Bar no Gnome 45/46
Dicas
Como Atualizar Fedora 39 para 40
Instalar Google Chrome no Debian e derivados
Consertando o erro do Sushi e Wayland no Opensuse Leap 15
Instalar a última versão do PostgreSQL no Lunix mantendo atualizado
Flathub na sua distribuição Linux e comandos básicos de gerenciamento
Tópicos
Placamae Asus H510M-E Aceita Linux? [RESOLVIDO] (8)
erro ao clonar repo github (3)
Clamav e suas atualizações (25)
Como adicionar módulo de saúde da bateria dos notebooks Acer ao kernel... (23)
Top 10 do mês
-
Xerxes
1° lugar - 72.883 pts -
Fábio Berbert de Paula
2° lugar - 58.208 pts -
Clodoaldo Santos
3° lugar - 45.664 pts -
Buckminster
4° lugar - 26.774 pts -
Sidnei Serra
5° lugar - 26.387 pts -
Daniel Lara Souza
6° lugar - 17.804 pts -
Mauricio Ferrari
7° lugar - 17.423 pts -
Alberto Federman Neto.
8° lugar - 17.395 pts -
Diego Mendes Rodrigues
9° lugar - 15.504 pts -
edps
10° lugar - 14.737 pts
Scripts
[Shell Script] Script para desinstalar pacotes desnecessários no OpenSuse
[Shell Script] Script para criar certificados de forma automatizada no OpenVpn
[Shell Script] Conversor de vídeo com opção de legenda
[C/C++] BRT - Bulk Renaming Tool
[Shell Script] Criação de Usuarios , Grupo e instalação do servidor de arquivos samba
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
