| Auditoria syslogd: logs del sistema, pej:less syslog |
syslogd suele funcionar con klogd, wtmp, utmp, lastlog, acct -> registros en /var/log |
| Auditoria dmesg: arranque hardware y logs |
dmesg | less dmesg | grep -i memory dmesg | grep -i "dma|usb|tty" , nos indica cambios en le equipo, si desconectamos usb p.ej. sudo dmesg --level= (elegir:emerg|alert|crit|err|warn|notice|info|debug) Fecha, hora, que continue -> dmesg -Tx --follow |
| Antivirus |
sudo apt install clamav Actualizar registros antivirales: freshclam -v clamav-freshclam -> registro clamav-daemon -> demonio sudo clamscan -v -> directorio actual sudo clamscan -vr -> directorios recursivamente sudo /etc/init.d/clamav-freshclam status |
| Auditoria y análisis | sudo apt install lynis sudo lynis audit system |
| Analisis de vulnerabilidades | Nessus |
| BlackArch |
Actulizar:
Actualizamos las claves primero: sudo pacman-key --refresh-keys
Contra paquetes rotos: sudo pacman -S archlinux-keyring
Actulizamos librerias: sudo pacman -Syu
|
| Borrado bajo nivel | dd if=/dev/urandom of=/dev/x status=progress |
| Buffer aleatorio de 684 caracteres | cat /dev/urandom | tr -dc _A-Z-a-z-0-9 | head -c 684 > /home/fed/xbox04 |
| Cifrado: comprobar | echo 8bfe5a569ba7d3b055077a4e5ceada94119cccef strap.sh | sha1sum -c |
| Comprimir con contrasenia | zip -P holapass -r privado.zip * |
| Crackear contrasenia de un comprimido | fcrackzip -v -D -u -p listado.txt privado.zip ó sin listado fuerza bruta |
| Cumplimiento normativo con, CLARA | Real Decreto 3/2010 Guías CCN-STIC 850A, 850B, 851B, 870A, 870B, 570A, 570B, 599A18, 599B18, 599A19, 599B19, 619 y 619B. Analiza y te dice el porcentaje de cumplimiento con la norma y que mediadas a aplicar Descarga |
| Detectar escaneos de puertos: IDS que detecta escaneos de puertos y reacciona a un ataque. | portsentry |
| Detector de intrusiones en un único Servidor, PC o host.(HIDS). | aide |
| Detector rootkit:sigiloso y peligroso malware | chkrootkit: scanea binarios del so chkrootkit>archivo.txt-> copia el resultado scaneo |
| dig : comprobar la existencia de un correo | dig +noall +answer correos.com mx |
| Doble factor sesion | sudo apt install libpam-google-authenticator sudo apt install lightdm sudo dpkg-reconfigure lightdm, en kali parece que no va en xfce, sí en gnome -> apt install kali-desktop-gnome -> Seleccionar lightdm -> no activaremos gnome pero sí lightdm necesario para el 2sf sudo nano /etc/pam.d/lightdm Añadimos : El bit "nullok" al final le dice al sistema que permita que un usuario inicie sesión incluso si no ha ejecutado el comando google-authenticator para configurar la autenticación de dos factores. auth requiere pam_google_authenticator.so nullok activando la verificacion en dos pasos por inicio de forma grafica Si quitamos la linea no lo hara y podremos ingresar con la contraseña google-authenticator Los códigos de recuperacion estan en: /home/usuario/.google_authenticator Si desinstalamos google-authenticator, no podremos entrar, si lo volvemos a instalar sí |
| Doble factor ssh
|
sudo apt install libpam-google-authenticator google-authenticator sudo vim /etc/ssh/sshd_config ChallengeResponseAuthentication yes UsePAM yes sudo systemctl restart sshd sudo vim /etc/pam.d/sshd #One-time password authentication via Google Authenticator auth required pam_google_authenticator.so |
| Falsos Negativos y Positivos: si no devuelve, esta limpio | sudo find /lib * -type f -name libns2.so sudo netstat -nap | grep "@/proc/udevd" |
| Hash tipo | hash-identifier |
| Integridad, rkhunter, comprueba la integridad de los archivos linux de l sistema, si no coincide con los originales de la distribución los cambia, salvando posibles accesos a puertas traseras por los rootkits. Además, comprueba que no tiene los rootkits más conocidos | sudo rkhunter --update Invalid WEB_CMD configuration option: Relative pathname: "/bin/false" sudo nano /etc/rkhunter.conf MIRRORS_MODE=0 UPDATE_MIRRORS=0 WEB_CMD="" sudo rkhunter --check Si tenemos este error: Invalid SCRIPTWHITELIST configuration option: non-existent pathname: usr/bin/lwp-request sudo nano /etc/rkhunter.conf Debe estar asi:
SCRIPTWHITELIST=/usr/bin/egrep
SCRIPTWHITELIST=/usr/bin/fgrep
SCRIPTWHITELIST=/usr/bin/which
SCRIPTWHITELIST=/usr/bin/ldd
SCRIPTWHITELIST=/usr/sbin/adduser
|
| Ip sitio | dig sitio |
| iptables reglas configuradas | iptables -L -n |
| iptables bloquear ip | iptables -I INPUT -s xx.xx.xx.xx -j DROP |
| iptables permitir ip | iptables -I INPUT -s xx.xx.xx.xx -j ACCEPT |
| Logs en vivo | tail -f /var/log/... |
| Mitigar ataques DDoS (Denegacion De Servicio: por sobrecarga de peticiones) en servidor linux | git clone https://github.com/fnzv/net-Shield bash install.sh /etc/nshield/nshield.conf autossl = 1 proxydomains = [ "sami.pw 8.8.8.8", "example.org 1.2.3.4" ] config-shield nano /var/log/nshield.log |
| nmap | nmap 192... -Pn |
| Pentesting: test de itrusión | who, w, whois, dig, last |
| Recuperacion ram fmem |
https://github.com/NateBrune/fmem empaquetamos e instalamos con alien ó make en src |
| Recuperacion ram LIME |
github empaquetamos e instalamos con alien ó make en src |
| Scaneo de red | nmap Chuleta |
| Servidores dns | more /etc/resolv.conf |
| Sniffer/interceptor/logger para redes LAN con switchs basado en ncurses. | ettercap |
| Sniffer de paquetes y un detector de intrusiones en una red (NIDS). Con alerta en tiempo real | snort-> documentacion |
| Sniffer de paquetes (trafico) | tcpdump -i lo -tttt tcpdump -i eth0 src host 10.0.0.1 and src port 22 and dst host 10.0.0.2 and dst port 22 tcpdump -w captura.pcap -v -s 0 -nn -i ens33 net 31.13.83.36 -> vemos el trafico a un host y lo almacenamos en archivo tcpdump -r captura.pcap -nn |
| sos | Cain |
| Tor consola | torsocks wget -qO - https://api.ipify.org; echo |
| Usuarios, que se han conectado y desde cuando | uptime |