Cargando



Keylogger para Linux / Unix

Los Keylogger: Snoopylogger y Sudosh guardan las acciones de tus usuarios en Linux, en este tutorial os lo explico.



sep 25 2014 10:57
Profesional
sep 25 2014 11:17
Para poder monitorizar y controlar a los usuarios en servidores, que sabemos que es una tarea muy compleja debido a los usuarios compartidos entre otras cuantas razones, como son muchas formas de ejecutar comandos o logs o según el nivel de accesso puede tener permisos para que el propio usuario consiga borrar que pueda incluso subir o crear binarios y no quede claramente demostrado los archivos modificados o las llamadas modificadas.

Una opción para tener un poco de control tenemos snoopylogger, que sabemos que viene incluido en muchas distribuciones, y que tan solo es una librería que se encargará de almacenar los comandos y el usuario que los ejecuta mediante syslogd.

Para instalar Snoopylogger lo descargamos desde la terminal
wget http://downloads.sourceforge.net/project/snoopylogger/snoopy-1.8.0.tar.gz?r=&ts=1322946864&use_mirror=nchc

Descomprimimos el archivo en el directorio que querramos

tar xf snoopy-1.8.0.tar.gz

Accedemos al directorio descomprimido
cd snoopy-1.8.0

Luego necesitaremos configurarlo y modificar algunos parametros accedeiendo alarchivo snoopy.h
nano snoopy.h

Dentro del archivos setearemos los siguiente parametros
#define SNOOPY_ROOT_ONLY 1
#define SNOOPY_MAX_ARG_LENGTH 12288


keylogger.jpg


Guardamos el archivos snoopy.h y ejecutamos el comando de configuración
./configure

Luego compilamos para instalarlo con los siguientes comandos
make && make install

Iniciamos el programa con el siguiente comando
make enable


Luego debemos establecer snoopy para que se ejecute automáticamente añadiendo una nueva línea en /etc/ld.so.preload

Finalmente es recomendable reiniciar el sistema operativo y con ello debería empezar a funcionar correctamente. Los log que se vayan recolectando se guardaran en la ruta:
  • /var/log/message
  • O puede ser también /var/log/auth y /var/log/secure
Salimos de la sesión y volvemos a entrar para que se empiecen a registrar las entradas. Si vemos nuestro fichero message veremos algo parecido a esto.

Para poder ver los log que se han registrado utilizamos el siguiente comando
tail /var/log/auth.log

Por ejemplo al ejecutar el comando ls desde la terminal con el usuario root, el comando ls para listar archivos genera el siguiente registro.

Dic 6 15:25:12 centos snoopy[13845]: [uid:0 sid:13833 tty:/dev/pts/2 cwd:/root filename:/bin/ls]: ls


Sudosh grabrar sesiones de usuarios como videos


¿Qué es Sudosh?
Sudosh es una herramienta que sirve para grabar sesiones, como si fuera un video, de todos los comandos que se ejecutan en la terminal.


Sudosh está diseñado para ser ejecutado en distros Debian cuando un usuario requiera privilegios de administrador. Una vez se ejecuta, almacena en dos ficheros de log los datos, en uno los comandos y en otro los tiempos. Un método tradicional para saltarse el registro de comandos, es usando aplicaciones que permiten la ejecución de comandos. Por ejemplo se abre un editor nano y desde el se introducen las instrucciones como cat /etc/passwd, para acceder a las claves del sistema.

Esta técnica no es posible con sudosh, ya que en el log se verá como se abre el nano y como se ejecutan los comandos. Para instalarlo, se descarga y compila. Los ficheros de registro se almacenan en:
/var/log/sudosh/

Para revisar los videos que son archivos de texto convertibles, se usa el comando sudosh-replay seguido del ID del archivo, sin ese argumento, se listarán todos los disponibles.

Conclusión Final
Estas dos herramientas nos permitirán tener cierto control sobre lo que ejecutan nuestros usuarios y asi poder tener un manejo mas adecuado de las seguridad en el servidor.

¿Te ayudó este Tutorial?


Sin comentarios, sé el primero!

No esperes más y entra en Solvetic
Deja tus comentarios y aprovecha las ventajas de la cuenta de usuario ¡Únete!

X