Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
101 lecturas y 12 respuestas
  • Cerrado

    Pregunta sobre Vmware & Sebeck2

    Hola,
    estoy en la fase de documentación sobre un proyecto para construir una honeynety tengo un par de preguntas, a ver si alguien me la puede contestar:
    ¿ Es posible loguear con al herramienta Sebeck2 en el GuestOS del vmware?
    ¿ Y en el user mode linux, se puede tambien?

    Y ya por último, existe algun programa free, que capture los eventos que suceden en un windows NT, y los envia a un servidor syslog?

    Saludos

    Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
    • Cerrado

      Buenas noches "Hola," Hola, que pasa? :) "estoy en la fase de…

      Buenas noches

      "Hola,"
      Hola, que pasa? :)

      "estoy en la fase de documentación sobre un proyecto para construir una honeynety tengo un par de preguntas, a ver si alguien me la puede contestar:"

      Poca experiencia montandolos pero algo mas saqueandolos :P.

      "¿ Es posible loguear con al herramienta Sebeck2 en el GuestOS del vmware?"[i]
      Mande ?

      [i]"¿ Y en el user mode linux, se puede tambien?"

      La pena es que no conozco el Sebeck2 ese, pero si se trata por captura de eth0, se podría.
      O al menos eso creo (si el programa trata de eso).
      De todos modos, me imagino que será, por las preguntas, una especie de translado de log's a algun sitio seguro.
      Con algun script siempre se podría, debido a que el UML tiene bastante juego al respecto.

      "Y ya por último, existe algun programa free, que capture los eventos que suceden en un windows NT, y los envia a un servidor syslog?"

      De windows NT ni papa :P, pero alguno habrá :).

      Alguno forer@ respetuos@ te lo podrá responder.

      Saludos

      • Cerrado

        [Editado]

        Eres un graciosillo! ... xDDDD Como ya te he dicho aun estoy…

        Eres un graciosillo! ... xDDDD

        Como ya te he dicho aun estoy en la ardua fase de documentacion, pero ya tengo planteado el proyecto (de final de carrera). EL UML tiene la posibilidad de poder loguear todo lo de las tty, pero que yo sepa el vmware no tiene una capacidad parecida. La herramienta Sebeck2 permite poder capturar toda la acitvidad de un usuario de linux, de forma totalmente invisible para este. Despues esta información es enviada por la red a un host central que guarda los logs(tambien de forma indetectable para el usuario).
        Este enlace :
        his.sf.net/proy_his/papers/tut_sebek/sebek2.html
        esta en español y habla sobre sebeck2

        Saludos

        Editado.

        PD: Cuando lo tenga acabado, puede que intente colgarlo de sorceforge.net

          • Cerrado

            Buenas noches Que quieres que te diga, me he quedado algo…

            Buenas noches

            Que quieres que te diga, me he quedado algo perplejo por la forma que tiene el programa en cuestión de esconderse ...

            ¿Crees que es realmente efectivo?
            Me refiero a si por ejemplo como el que no quiere la cosa, se va primeramente ;) ,mucho antes de empezar las andadas :p, como un simple mortal y mira en:

            /var/log/ksymoops

            Joder pues que chasco,no?
            ¿Revisa ese punto de vista el "programa de marras"?

            X_DDDD

            Saludos

                • Cerrado

                  He creado el directorio /var/log/ksymoops para que logue alli…

                  He creado el directorio /var/log/ksymoops para que logue alli cuando se cargan modulos con el modprobe, y tb para que logue los modulos que hay actualmente cargados. Pero ... he probado el programa sebek y no se loguea nada en ksymoops (al menos yo no lo he encontrado :P ). Me ha bajado la aplicación de ksymoops (tengo problemas para compilarla ... :( ).
                  Mi pregunta es si tu tienes instalada la aplicación ksymoops (que yo sepa sirve para depurar fallos al cargar modulos, no? (oops) ).

                  Saludos

                  • Cerrado

                    "klogd realiza dos tipos de resolución de direcciones. "…

                    "klogd realiza dos tipos de resolución de direcciones. "

                    Veamos ese pone en el documento.
                    Que son la estática y la dinámica.
                    La estática está controlada por el system.map ...

                    "la traducción dinámica es importante cuando se usan módulos cargables
                    en el núcleo. Ya que la memoria para los módulos está asignada de las
                    reservas (pools) de memoria dinámica del núcleo, no hay una posición
                    fija para ya sea el comienzo del módulo o para las funciones y símbolos
                    en el núcleo.
                    "

                    Y en esta parte es en la cual yo pienso que está el fallo.
                    Debido a que entre los muchos logs, existe un terminado en .log que es que te
                    da el chivato de los módulos cargados en el kernel.

                    "El núcleo soporta llamadas al sistema que permiten a un programa
                    determinar qué módulos están cargados y cuál es su posición en memoria.
                    Usando estas llamadas al sistema el demonio klogd construye una tabla
                    de símbolos que puede usarse para depurar un fallo de protección que
                    suceda en un módulo cargable del núcleo."

                    Esta es la parte que se me escapa de la forma de esconder el módulo de Sebeck2.
                    Yo creo que eso de los fallos de protección y demas, podría llevar a algun lado.
                    De todos modos, ya te digo :P, no me quita el sueño ;).

                    Mañana, si tengo un rato hago verificaciones y te cuento :).

                    Saludos

                    • Cerrado

                      [Editado]

                      Me he estado documentando sobre el tema y queria comentarte…

                      Me he estado documentando sobre el tema y queria comentarte un par de cosas referente al nuestro gran amigo el directorio /var/log/ksymoops ;)

                      A ver, como yo aprendi por mi mismo si este directorio existe, al cargarse los modulos mediante modprobe (que no al borrarse), se loguean en un fichero fecha.log :

                      LOGGING COMMANDS
                      If directory /var/log/ksymoops exists and modprobe is run with an
                      option that could load or a delete a module then modprobe will log
                      its command and return status in
                      /var/log/ksymoops/`date +%Y%m%d.log`. There is no switch to disable
                      this automatic logging, if you do not want it to occur, do not create
                      /var/log/ksymoops. If that directory exists, it should be owned by
                      root and be mode 644 or 600 and you should run script
                      insmod_ksymoops_clean every day or so.

                      ( Nada!, que no hay manera que pueda ponerlo en cursiva con el opera :( )

                      Despues cada vez que se usa insmod o rmmod, estos vuelcan el contenido de /proc/modules en el fichero fecha.modules (los modulos cargados actualmente), y el /proc/ksyms en otro .ksyms .
                      En este .ksyms se pueden ver como se cargan los modulos (supongo que el modprobe termina llamando a insmod) y los simbolos de esté (creo que son funciones).

                      Bueno referente a Sebek2, la verdad es que solo una vez he conseguido que salga el modulo en .modules y .ksysms :(

                      SUPONGO, que debe ser a que al borrarse tan rapido el modulo sebek.o mediante el cleaner.o (el cleaner tb se borra mediante un rmmod) no se da el suficiente tiempo para que se pueda loguear, no???? Asi que se genera un nuevo fichero .modules y ksyms que no muestran rastro del modulo. Es más tampoco aparece rastro del cleaner.o en los logs

                      Saludos

                      PD: lo de este modulo automagicamente "escondido" es una buen idea, siempre que al "intruso" no se el ocurrar crear el directorio ksymoops ....
                      :P. Este metodo tb lo usan algunos rootkits,no?

                      • Cerrado

                        Buenas noches "SUPONGO, que debe ser a que al borrarse tan…

                        Buenas noches

                        "SUPONGO, que debe ser a que al borrarse tan rapido el modulo sebek.o mediante el cleaner.o "

                        Joder macho, eso suena algo "basto" para la capacidad de procesamiento de una máquina,¿no crees? ;).
                        Aunque muy posiblemente te refieras al ksymoops, ¿no?

                        "(el cleaner tb se borra mediante un rmmod)"

                        f directory /var/log/ksymoops exists and modprobe is run with an
                        option that could load or a [b]delete[b] a module then modprobe will log
                        its command and return status in.

                        Pero dices que no se logean los módulos cuando los quitas.
                        Acabo de hacer la verificación y se me logean sin problemas los quitados y los puestos.

                        "no se da el suficiente tiempo para que se pueda loguear, no????"

                        Pues ya te digo, a mi se me logea todo en mi 866Mhz ;), aunque me tienes que pasar la dirección de donde bajarme el Sebeck2 ese, que le eche un buen vistazo.
                        Si es que cojo el tiempo suficiente para ello :).

                        "Asi que se genera un nuevo fichero .modules y ksyms que no muestran rastro del modulo. Es más tampoco aparece rastro del cleaner.o en los logs"

                        Veamos, eso suena realmente bien :P.
                        ¿Cuando te refieres que no aparece rastro del cleaner.o, te refieres a que tansiquiera aparece en el dichoso *.log?

                        "PD: lo de este modulo automagicamente "escondido" es una buen idea, siempre que al "intruso" no se el ocurrar crear el directorio ksymoops ....
                        . Este metodo tb lo usan algunos rootkits,no?"

                        Pues no tenia constancia de ello, lo que si te puedo decir, es que los rootkits tienen muchos "brazos" :).

                        Saludos

                          • Cerrado

                            La verdad es que llevo como un par de semanitas metido con…

                            La verdad es que llevo como un par de semanitas metido con otras cosas y habia dejado de lado de forma temporal el proyecto :P
                            Ahora puedo dedicarme a tiempo completo para meterle caña 8)
                            Pues si te metes con el sebek2, ya me diras que "pegas" le encuentras y comentamos la jugada ;) , yo hare otro tanto , aunque no quiero obsesionarme con ese modulo :)

                            Sobretodo me interesa la vertiente en la que tu estas más "puesto", la de comprometer los sistemas, más que protegerlos

                            Saludos

                            PD: Menudas horitas para postear .... :P