Pedido de dicas - Anti-Forense

Opa pessoal, certinho??

Bom, venho pedir ajuda e algumas dicas:

Após conseguir depois de um brincadeirinha invadir um servidor, como fazer para não deixarem rastros (ou pelo menos o mínimo possivel) ??

Falem tudo que puder, postem pads e e-books, todo material do tipo é bem-vindo.

Apague os documentos recentes,históricos de navegadores,arquivos temporários e cookies, arquivo .LOG, remover o .bash_history,usar um cadeia de proxy antes de invadir,remover rastros de exploit,sniffer,scanner, ou da um rm /etc/login , rm /etc/passwd

Apague temporariamente todo o conteúdo do diretório C:\Windows\Temp, com um .bat
SET TEMP=C:\WINDOWS\TEMP
DELTREE /Y C:\WINDOWS\TEMP\*.*

Dei uma pesquisa e achei isso,para mais consulta:[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Script para apagar alguns rastros que achei tava procurando : [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

ssh que utiliza proxies SSL para estabelecer conexões anônimas :[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Bom e isso mano, talvez de para tirar algumas duvidas, a galera talvez deve indicar mais coisas.

Valeu

susp3it0virtu@l escreveu:Apague os documentos recentes,históricos de navegadores,arquivos temporários e cookies, arquivo .LOG, remover o .bash_history,usar um cadeia de proxy antes de invadir,remover rastros de exploit,sniffer,scanner, ou da um rm /etc/login , rm /etc/passwd

Apague temporariamente todo o conteúdo do diretório C:\Windows\Temp, com um .bat
SET TEMP=C:\WINDOWS\TEMP
DELTREE /Y C:\WINDOWS\TEMP\*.*

Dei uma pesquisa e achei isso,para mais consulta:[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Script para apagar alguns rastros que achei tava procurando : [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

ssh que utiliza proxies SSL para estabelecer conexões anônimas :[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Bom e isso mano, talvez de para tirar algumas duvidas, a galera talvez deve indicar mais coisas.

Valeu

Vlw Suspeito, boas dicas, obrigado.

Gostei dos links, em especial do primeiro e segundo. Esse script parece ser muito bom.

Vlw

apagando logs q pode variar o local dependendo do servidor (na maioria das vezes na pasta do servidor mesmo ou so ver os arquivos de configuraçao do servidor), usar proxy ou tunelamento (mais seu ip vai ficar la no servidor de proxy, no servidor de dns q fez a pesquisa para o proxy, e no seu provedor o ip do servidor de dns e o ip do proxy '-' ), modificar os logs para pistas falsas (melhor q apagar), colocar tantas pistas falsas e mais facil esconder uma arvore no meio de uma floresta (isso nao funcionaria se desse para conferir quais ip acesso mesmo o servidor mais se fazer algo do genero atk smurf acho q funciona), usar uma rede wireless de um desconhecido ou uma lan

hfts315 escreveu:apagando logs q pode variar o local dependendo do servidor (na maioria das vezes na pasta do servidor mesmo ou so ver os arquivos de configuraçao do servidor), usar proxy ou tunelamento (mais seu ip vai ficar la no servidor de proxy, no servidor de dns q fez a pesquisa para o proxy, e no seu provedor o ip do servidor de dns e o ip do proxy '-' ), modificar os logs para pistas falsas (melhor q apagar), colocar tantas pistas falsas e mais facil esconder uma arvore no meio de uma floresta (isso nao funcionaria se desse para conferir quais ip acesso mesmo o servidor mais se fazer algo do genero atk smurf acho q funciona), usar uma rede wireless de um desconhecido ou uma lan

Vlw ai fts, util suas dicas.. \o/

hfts315 escreveu: (isso nao funcionaria se desse para conferir quais ip acesso mesmo o servidor mais se fazer algo do genero atk smurf acho q funciona)

..

Como assim!.. ficou meio vago essa explicação fts,

tipo mano quando acessar o servidor exemplo bobo seria acessar uma shell upada aq no endoffile teriamos q acessar no caso a pesquisa de dns ia fazer isso net->umforum->endoffile se o fosse servidores de dns ou outro serviço q estivesse disponibilizando acesso para o forum mesmo se eu alterar os logs do endoffile la no umforum e no net ainda teria os logs de acesso, no caso do exemplo fosse colocar varios ips se adm do unforum olhar os logs de conexao para o endoffile so veria um ip no caso do invasor mesmo com os outros ips falsos (no caso do atk smurf ou alguma coisa do genero vc faria varias conexoes assim mesmo se olhar no umforum ou net ainda ia ver as conexao), tipo eu so pensei alto acho q atk smurf so da para ser por icmp entao basta filtrar os tipos de pacotes e pronto ainda so teria o ip do invasor sei la kkkkkkkkkk

ata entendi fts