Entradas

Mostrando las entradas de febrero, 2014

Aprendiendo a Usar el Comando CUT

Imagen
Para los que trabajamos analizando los registros del sistema o archivos que contengan información tabulada es fundamental aprender a usar comandos que nos permitan extraer información de esos archivos, por esto decidí en esta entrada mostrar algunas cosas que se pueden hacer con el comando CUT, después intentare hacer lo mismo con otros comandos.
Entonces pues primero la imagen de la ayuda que brinda el comando, la cual me parece muy valiosa y clara

Para poder realizar los ejemplos vamos a usar un fragmento de los registros de conexión por publickey a un servidor de SSH, los cuales se ven así
Feb 23 11:06:57 fr sshd[25327]: Accepted publickey for root from 190.26.49.14 port 21698 ssh2 Feb 24 08:24:39 fr sshd[26923]: Accepted publickey for root from 10.201.132.61 port 1727 ssh2 Feb 24 08:53:46 fr sshd[26936]: Accepted publickey for root from 10.201.132.61 port 3135 ssh2 Feb 25 10:16:18 fr sshd[28526]: Accepted publickey for root from 10.201.132.61 port 23819 ssh2 Feb 25 18:12:16 fr sshd[29…

Instalando SDK y ADB en Debian 7

Imagen
Debido a que necesitaba sacar unos datos de un Android y acceder por consola investigue que era necesario tener instalada la herramienta SDK, la cual tiene el comando adb (Android Debug Bridge) que permite comunicar al emulador con un dispositivo real. Todas estas herramientas son diseñadas por Android para los desarrolladores, el sitio web es http://developer.android.com/
Entonces lo primero es descargar las herramientas de SDK (SDK Tools Only) desde acá  http://developer.android.com/sdk/index.html , el archivo se llama android-sdk_r22.3-linux.tgz el cual debes descomprimir, como recomendación en el directorio /opt, así:
root@localhost:~# tar zxf -C /opt android-sdk_r22.3-linux.tgz
Una vez en termina de descomprimir se ingresa en el directorio y se accede a un directorio tools,  una vez en este se ejecuta el archivo llamado android, como se ve a continuación

Esto abre una ventana de donde se debe seleccionar el paquete Android SDK Platform-tools como se ve en la siguiente imagen

Una …

Creando Reglas en OSSEC

Imagen
Muchas personas que me siguen saben perfectamente que me dedico a la seguridad tanto ofensivamente como defensivamente, entonces esta entrada va para quienes instalan los HIDS y que toca afinarlos permanentemente. OSSEC es una de las herramientas de este tipo que siempre instalo porque me parece fenomenal, entonces en esta oportunidad a idea es que aprendan a crear sus propias reglas.
Para esto vamos a usar de base los logs generados por IPTABLES (datos de iptables acá), una vez tenemos activo el log este se ve en /var/log/messasges de la siguiente forma


Entonces para ver que información ve OSSEC de este log existe una herramienta que esta en el directorio /var/ossec/bin, es donde están los script de pruebas y funcionamiento, por ende el que necesitamos se llama ossec-logtest y funciona de la siguiente forma



Como ven la detección de cada incidencia se basa en tres fases, que busca identificar los siguientes datos:

Fase 1:  Usa la normalización de syslog o eventlog según corresponda pa…