Creo que todos conocemos que en Linux tenemos la posibilidad de acceder a nuestro historial de comandos usados por un usuario, esto es una buena forma de conocer que hizo tal o cual usuario, sobre todo si hablamos de un intruso que ha podido hacer cosas malas.

En nuestro perfil encontramos un archivo oculto llamado .bash_history donde se guardaran los comandos, sí somos los malos tendremos que tener en cuenta de borrar este fichero cuando acabamos para no dejar ninguna huella, en cambio si tenemos que proteger nuestro sistema, más nos vale echar un vistazo al fichero para que nos revele que ha pasado:

History cuenta lo que hice ayer…

Linux nos provee de otra herramienta de la cual vengo a hablar, se llama typescript y consiste en una especie de “keylogger” que duplicara la salida de la consola en un fichero, me explico, cuando escribimos un comando veremos su resultado y una copia de enviara a nuestro archivo en cuestión, esto es un proceso que se mantiene en segundo plano y que permitirá de otra forma realizar un seguimiento, para recuperar la captura visualizamos el archivo typescript que por defecto se guarda en el home del usuario :

Visualizando el archivo typescript vemos TODO lo que hicimos

La parte buena/mala Script lanza una Shell hija que sera donde escribiremos nosotros, de esta manera si realizamos un ps f para ver nuestro árbol de procesos vemos como es Script el que lanzo la shell:

Script se delata a través de ps

Suerte! y hasta la próxima entrada =)

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s