Cada día, hay más y más máquina conectadas a Intenet, con el consiguiente aumento en la probabilidad de sufrir un ataque por parte de crackers. El número de ataques reportados ha crecido espectacularmente con respecto a la cifra de años anteriores.
¿Podemos estar tranquilos y seguros detrás de nuestro potente Firewall?

Linux es un sistema que potencialmente es muy seguro, pero necesita estar bien administrado, porque de otra forma puede ser la causa de númerosos problemas relacionados con la seguridad.

Lo peor que puede pasar es que hayan entrado en tu máquina y que ni te enteres, intentaré desmenuzar algunos consejos a seguir, para averiguar si nuestra máquina sigue siendo segura o no, al mismo tiempo que proporciono interesantes enlaces a documentación relacionada con este tema.

Recomendaciones de Seguridad:

1. Utilizar buenas contraseñas, para evitar los ataques a contraseña.
2. Utilizar encriptación en las comunicaciones: ssh, pgp, SSL, Ipsec ...
3. Habilitar únicamente los servicios necesarios.
4. Detectar puntos vulnerables del sistema: scanners.
5. Registro de sistema: logs.
6. Integridad del sistema: Tripwire, md5sum ...
7. Actualización del sistema debido a problemas de seguridad.
8. Utilización de Firewall.
9. Sistemas de detección de Instrusos (IDS): snort, LIDS, ...
10. Utilización de un sistema de archivos encriptado.

Aún siguiendo todas estas recomendaciones, no podremos estar seguros al 100% de que nuestro sistema no ha sido crackeado, y que cuando ejecutamos, por ejemplo, ps -aux, no estemos realmente ejecutando un troyano que recoge información sensible de nuestro sistema.
Lo que tendremos que hacer es descubrir indicios de la presencia de los crackers en nuestra máquina:

Verificar tamaños de archivos: ps suele medir 80 Kb, aunque podemos encontrar troyanos del comando ps de apenas 10Kb:

$ type ps
ps is /bin/ps
$ l /bin/ps
-r-xr-xr-x    1 root     root        83096 Dec  5 23:11 /bin/ps

Una precaución adicional, es tener el almacenado el resultado del comando md5sum de los archivos más importantes/vulnerables, de forma que podemos comprobar si estos han sido fraudulentamente modificados, esto se debería de hacer, después de terminar la primera instalación del sistema.

$ md5sum /bin/ps 
3fb65605d59a7c89206926c1a600d220  /bin/ps

Precisamente esta es la función principal del programa Tripwire (http://www.tripwire.org/), asegurar la integridad de los archivos, de una forma más flexible y potente que lo que tendríamos que montar a través de scripts y md5sum. Tripwire se distribuye con licencia GPL desde hace algun tiempo, siendo anteriormente comercial, este es el motivo por el que encontrareís varios proyectos, que se autodenominan una alternativa al comercial tripwire. como aide ( http://www.cs.tut.fi/~rammer/aide.html)

Otro truco habitual de los script kiddie es enlazar el comando history de la shell, para que apunte a /dev/null, de forma que no registre en el historico los comandos ejecutados:

$ l /home/carlos/.bash_history 
-rw-------    1 carlos   users        9434 Dec  8 19:44 .bash_history

$ l /home/carlos/.bash_history
lrwxrwxrwx    1 carlos   users           9 Dec  8 19:44 .bash_history ->
/dev/null

También suelen manipular los registros del sistema, quitando sus entradas, para que no quede constancia de sus actos en sitios/programas como utmp, wtmp, lastlog, /var/log/messages ...
Más información en Anonymizing UNIX Systems : http://www.pimmel.com/articles/anonymous-unix.html.
Para evitarlo:

• Mandar la parte más sensible del registro a un impresora, de forma que al cracker le seria imposible borrar estas entradas. Aunque si se da cuenta del truco, puede colapsar la impresora mandandole imprimir basura.
• Utilizar otra máquina como registro, necesitará crackear esta otro máquina para eliminar todas sus huellas.
• Mandar los logs por correo electrónico.
• Cualquier otra posibilidad que se os ocurra. Existen varios sistemas de registro de log, mucho más potentes y seguros que el syslog típico de Linux, como por ejemplo Modular Syslog de la empresa Core ( http://sourceforge.net/projects/msyslog/), con licencia BSD.

Es interesante examinar si aparecen misteriosamente cuentas de usuarios desconidas en el sistema, para lo cual examinaremos el fichero /etc/passwd: Sólo debería aparecer el usuario root, con todos los privilegios.

$ grep :x:0: /etc/passwd
root:x:0:0:root:/root:/bin/bash

$ cat /etc/passwd | awk -F':' '{print $1}'

Buscaremos en el sistema ficheros ocultos o raros, que puede ser usados para ocultar troyanos, directorios, comandos, etc...
Muchos piratas suelen crear directorios ocultos utilizando nombres como '...' (punto-punto-punto), '..' (punto-punto), '..^g' (punto-punto control+G), '\ ' (espacio en blanco), '.\ ' (punto-espacio en blanco). En algunos casos un pirata ha utilizado nombres como '.x' o '.hacker' o incluso '.mail' .

Normalmente el script kiddie, habrá conseguido acceso como un usuario normal y explotando algún error/bug consigue privilegios de root, los comandos/programas setuidados son los principales objetivos de los crackers, por lo que no es mala idea tenerlos controlados.

find / -perm +4000 -print
o
find / -user root -perm -4000 -print

Revisar la configuración de programas como cron y at, de forma que el posible pirata, no haya añadido ninguna entrada que le permita volver a entrar en el sistema posteriormente. Es interesante el averiguar realmente como ha entrado el cracker en el sistema, porque es la única forma de evitar que pueda volver a entrar de la misma forma.

Examinar el fichero /etc/inetd.conf en busca de cambios o entradas extrañas, en especial la ejecuten un shell (por ejemplo: /bin/sh o /bin/csh)

Revisar cuidadosamente ficheros relacionados con el acceso o ejecución remota de comandos, tales como, /etc/hosts.equiv, /etc/hosts.lpd y todos los .rhost del sistema.

Examinar detalladamente los ficheros de logs, analizado especialmente los logs de ftp, samba, servidor http, telnet, messages ... Nos fijaremos en entradas desde lugares extraños, verificaremos la fecha de los ficheros (es muy importante tener correctamente configurada la hora y fecha en todos los servidores).