martes, 29 de septiembre de 2015

La idea.- El Problema De Los Logs

Para los que no vieron la entrada de ayer, expuse [una idea para un script en python] que consistía en descargar herramientas de seguridad, ejecutarlas y luego desinstalarlas para que no nos pillaran con herramientas de seguridad informática si algún día a alguien le diera por registrar nuestro ordenador. 


También os pedí vuestra opinión para ver lo que os parecía o por si había algún punto que yo no hubiera visto (que suele ser lo mas normal del mundo). Esto mismo es lo que ha hecho [Oscar Queraltó] y como bien a expuesto, si utilizamos una herramienta es posible que aunque la desinstalemos quedarían logs que confirmarían que la teníamos instalada en el momento de un ataque. 

Pues tiene toda la razón, así que me puse a investigar un poco y os voy a explicar algunos de los logs mas interesantes (si veis que falta alguno hacedmelo saber por donde querais): 
  • /var/log/apt/history.log:
    • Todas las acciones realizadas con apt quedan registradas en este archivo. 
  • /var/log/messages:
    • Contiene los mensajes del sistema, incluidos los mensajes que se registran durante el inicio del sistema.
  • /var/log/dmesg: 
    • Contiene información memoria cíclica del Kernel. Cuando el sistema arranca, se imprime el número de mensajes en la pantalla que muestra información sobre los dispositivos de hardware que el kernel detecta durante el proceso de arranque.
  • /var/log/auth.log:
    • Contiene información de la autorización del sistema, incluyendo los inicios de sesión de usuario y los mecanismos de autenticación que se utilizaron.
  • /var/log/boot.log:
    • Contiene la información que se registra cuando se inicia el sistema
  • /var/log/daemon.log: 
    • Contiene información registrada por los diversos daemon que se ejecuta en el sistema.
  • /var/log/dpkg.log:
    • Contiene la información que se registra cuando un paquete se instala o se elimina con el comando dpkg
  • /var/log/kern.log:
    • Contiene información registrada por el kernel. 
  • /var/log/lastlog:
    • Muestra la reciente información de acceso para todos los usuarios. Esto no es un archivo ASCII. Se puede usar el comando lastlog para ver el contenido de este archivo.
  • /var/log/maillog /var/log/mail.log:
    • Contiene la información del registro del servidor de correo que se ejecuta en el sistema.
  • /var/log/user.log:
    • Contiene información sobre todos los registros a nivel de usuario
  • /var/log/Xorg.x.log:
    • Registra los mensajes de la X
  • /var/log/alternatives.log:
    • Registra la información de las alternativas de actualización.
  • /var/log/btmp:
    • Este archivo contiene información acerca de intentos de conexión fallidos. Se puede utilizar el siguiente comando para ver el archivo btmp.
  • /var/log/cups:
    • Todas las impresoras y los mensajes de registro de impresión relacionados.
  • /var/log/anaconda.log:
    • Al instalar Linux, todos los mensajes relacionados con la instalación se almacenan en este archivo de registro.
  • /var/log/yum.log:
    • Contiene la información que se registra cuando un paquete se instala utilizando yum
  • /var/log/cron:
    • Siempre que el daemon cron (o anacron da igual xD) comienza una tarea de cron, registra la información sobre el trabajo de cron en este archivo
  • /var/log/secure:
    • Contiene información relacionada con los privilegios de autenticación y autorización.
  • /var/log/wtmp or /var/log/utmp:
    • Contiene registros de inicio de sesión. Usando wtmp se puede descubrir que usuario ha iniciado sesión en el sistema
  • /var/log/faillog: 
    • Contiene los fallos de inicio de sesión. 
Bueno, después de esta chapa, queda claro que no solo tendríamos que borrar el history.log pero aparte de muchas cosas chulas que se pueden hacer con estos logs, en python podemos borrar completamente cualquier .log con las siguientes dos lineas de código: 
with open('yourlog.log', 'w'):
        pass
Así que, aunque pegue el cante de que los logs estén totalmente en blanco, el tema de los logs quedaría solucionado con una lista con todas las rutas de los logs y parsarlas por un bucle for para borrarlos con las dos lineas de código de arriba. 

Si veis que me equivoco o si faltara algún log importante de Linux, por favor no dudéis en comentarlo. Espero para mañana poderos traer un boceto de la herramienta al mas puro y genuino spagueti code. 

Sed Buenos ;) 

No hay comentarios:

Publicar un comentario en la entrada