INSTITUTO TECNOLGICO DE APIZACO

NOMBRE DEL TRABAJO:

PRACTICA DE ATAQUES PASIVOS Y ACTIVO CON SNORT

ALUMNOS:
Gerardo Zamora Prez
Alexander Mrquez Lpez
Nebur Natan Espinosa Cruz

CARRERA:
ING. TECNOLOGAS DE LA INFORMACIN Y LA COMUNICACIN
8to SEMESTRE









#######################
Instalacin de Snort+ ACID:
#######################

Instalaremos Snort, utilizando una base de datos mysql y apache para el ACID (para ver
estadsticas en vivo).

Paso 1: Bajar todos los paquetes;

- snort-x.x.x.tar.gz
- acid-x.x.x
- adodb-x.x-for-php
- jpgraph-x.x
- mysql-x.x.x
- apache-1.3.x
- php-4.x

(recomiendo apache 1.3 y php 4 ya que algunas caractersticas cambian en diferentes versiones)


Paso 2:

Descomprimir y compilar snort;

root@murder # tar -zxvf snort.tar.gz
root@murder # cd snort
root@murder # ./configure --sysconfdir=/etc --prefix=/usr --with-mysql=/usr && nice -19 make
root@murder # make install
y creamos un directorio para los logs:
root@murder # mkdir /var/log/snort

Paso 3:

Instalar mysql, apache y php;


Paso 4:

Crear tablas y configurar usuario en mysql;

root@murder # mysql -u root -p

Desde aca en mysql...

Creamos la db:

$ CREATE DATABASE snort

Le ponemos clave:

$ grant all on snort.* to root@localhost identified by "password"

$exit

Salimos de mysql.. volvemos a la consola;

root@murder # mysql -u root -ptu_contrasea < /usr/src/snort-x.x.x/schemas/create_mysql
snort

Paso 5:

Configuramos Snort;

root@murder # mkdir /etc/snort; mkdir /etc/snort/rules
root@murder # cd /usr/src/snort-2.3.3/
root@murder # cp etc/* /etc/snort
root@murder # cd rules
root@murder # cp * /etc/snort/rules

Editamos el conf file;

root@murder # gedit /etc/snort/snort.conf

usando control f (buscar) buscamos la linea que pone RULE_PATH y la sustituimos por:

var RULE_PATH /etc/snort/rules

y localizamos la que pone "output database" y la sustituimos por:

output database: log, mysql, user=root password=tu_contrasea dbname=snort host=localhost

Guardar y cerrar gedit (o vim o lo que sea)

Paso 6:

Instalando ACID;

root@murder # tar zxvf acid-x.x.x.tar.gz

Lo movemos a htdocs (o donde pitos este el home de apache..)

root@murder # mv ./acid /var/www/htdocs/

Descomprimimos tambien jpgraph (para las imagenes) y adodb y los movemos:

root@murder # tar zxvf jpgraph-x.x.tar.gz
root@murder # mv ./jpgraph-x.x /var/www/htdocs/acid/jpgraph
root@murder # tar zxvf adodbxxx.tgz
root@murder # mv ./adodb/var/www/htdocs/acid/adodb

Editamos el conf file de acid:

root@murder # gedit /var/www/htdocs/acid/acid_conf.php

Localizamos y modificamos la linea que pone: $Dblib_path

$DBlib_path = "/var/www/htdocs/acid/adodb";

Y modificamos las alertas (control f, $alert , deben quedar as:

$alert_dbname = "snort";
$alert_host = "localhost";
$alert_port = "";
$alert_user = "root";
$alert_password = "tu_contrasea";
$ChartLib_path = "/var/www/htdocs/acid/jpgraph/src";

Ahora creamos el siguiente archivo:
root@murder # gedit /var/www/htdocs/acid/.htaccess

(Esta en blanco..) y ponemos lo siguiente:

AuthName ?Acid Access?
AuthType Basic
AuthUserFile /var/www/htdocs/acid/htpasswd.users
require valid-user

Guardar, salir y listo.


Paso (ya me perdi xD) ah si, 7:

Editamos el access de apache;

root@murder # gedit /etc/apache/access.conf

y agregamos:

<Directory /var/www/htdocs/acid/>
AllowOverride AuthConfig
order allow,deny
allow from all
Options ExecCGI
</Directory>

al final o donde quieran... guardar, salir

ahora editamos httpd.conf:

root@murder # gedit /etc/apache/httpd.conf

y modificamos el user y group por:

User web

Group web

guardar, salir..

Para terminar, reiniciamos apache:

root@murder # apachectl restart

o si no esta arrancado:

root@murder # apachectl start

Paso final de la instalacion (8...):

Activamos el snort:

root@murder # snort -devyq -c /etc/snort/snort.conf -l /var/log/snort/ -D

y lo aadimos a rc.local (script bash de arranque-.-) para que arranque cada vez que se reinicia:

root@murder # echo snort -devyq -c /etc/snort/snort.conf -l /var/log/snort/ -D >>
/etc/rc.d/rc.local

Para ver las estadsticas en el acid pongan en el navegador:

http://localhost/acid

y listo.



#######################
Usando snort a mano:
#######################

Es muy sencillo e intuitivo, ponemos el snort a snifar el trfico de la interfaz deseada, en este
caso eth0:

murder@murder $ snort -c /var/log/snort -i eth0

Listo, esto registrar todas las alertas de ataques, scaneos, etc. en los logs. Para verlo no hay
ms que

murder@murder $ cd /var/log/snort
murder@murder $ ls
y obtendran un resultado como este:

192.168.0.2/ 200.129.x.x/ alert


###################
Configuracion avanzada:
###################

Snort se basa en reglas para detectar los intentos de ataques, estas reglas se pueden crear
manualmente o descargar y cargar de la siguiente manera:

root@murder # wget http://www.snort.org/pub-bin/downloads.cgi/Download/vrt_os/snortrules-
snapshot-CURRENT.tar.gz

Creamos un dir para las reglas:

root@murder # mkdir /etc/snort/rules

Descomprimimos:

root@murder # tar -zxvf snortrules-snapshot-CURRENT.tar.gz

Movemos al directorio recien creado:

root@murder # cp * /etc/snort/rules

root@murder # cd /etc/snort
root@murder # gedit snort.conf

y lo modificamos de la siguiente forma:

#######################################

var HOME_NET 192.168.126.0/24
var EXTERNAL_NET !$HOME_NET
var RULE_PATH /etc/snort/rules

--------include classification.config --> include
$RULE_PATH/../classification.config
--------include reference.config --> include $RULE_PATH/../reference.config

######################### end #############################

Y despues de la linea preprocessor stream4_reassemble agregar lo siguiente:

###

preprocessor stream4_reassemble: both,ports 21 23 25 53 80 110 111 139
143 445 513 1433

### end ###

Descomentamos la linea:

#####
output database: log, mysql, user=snort password=snort dbname=snort host=localhost
#### end ####

Guardar... cerrar..


Ahora le cambiamos el propietario/grupo al dir de las reglas:

root@murder # chown -R snort.snort /etc/snort/rules

Y listo...

Configurar un Keylogger 3.8 + Enviar Correo

Capturar contraseas
Pas 1. Descargar "Ardamax keylogger 3.7.6 + serial (con instalacin remota)" el archivo
que viene con el serial funcionado y sin virus, la version 3.8 solo es un par de
actualizaciones, asi que puedes usar este serial.


Pas 2. Inicia la instalacin normal en tu PC
Pas 3. Ingresa la clave de instalacin y clic en instalacin remota.
Cmo crear el remoto?
Pas 1. Haz clic en siguiente para iniciar el asistente de instalacin
Pas 2. Apariencia
2.1 la carpeta donde se instala puede ser C:\Windows\System32 o C:\Windows\ djalo por
defecto.
2.2 si quieres agregar un documento, imagen para que cuando hagan doble clic en el
instalador se habr por ejemplo una imagen y as no despertar sospechas.
Pas 3. Invisibilidad (Totalmente)
Habilita todas las opciones para no ser detectado por el usuario.
Pas 4. Contrasea de Acceso
Es recomendable colocar una contrasea para evitar ser manipulado para esto
haz clic en activar - digita una contrasea, pero no es obligatorio.
Pas 5. keylogger
5.1 El atajo ctrl + mayus +alt+h es para abrir el visor de registro
5.2 El idioma sera recomendable cambiarlo a ingles
5.3 es para programar (Desinstalar) una fecha en la que se destruir una vez se
instale, por ejemplo que se desstale en un mes

Pas 6. El Control.
6.1 programa el tiempo para enviar los registros por email
6.2 el mtodo que utilizaremos ser email
6.3 djalo tal como est
6.4 el formato recomendable para ver los registro es como pgina web
Pas 7: Correo (Ejemplo con Gmail)
* Solo ingresa tu correo electrnico y contrasea de tu e-mail, que Ardamax llena el resto
de manera automtica y clic en probar.
* Cual salga el mensaje la prueba fue exitosa, revisa tu bandeja de entrada para
confirmar.
Ahora revisa tu correo para confirma

Pas 8: Control
selecciona el primero y con la tecla ctrol + clic selecciona: registro de teclado, monitoreo
de actividad en la web,chat y mensajes (msn,facebook,twitter...), capturas monitor,
capturas cmara (webcam)
Pas 9: Captura pantalla: selecciona en tiempo de envi y clic en siguiente

Pas 10: Captura Webcam: selecciona en tiempo de envi y clic en siguiente
Pas 11: Busca la ruta donde se guardara y cambia el icono por defecto
Listo El resultado es lo que se manda a la victima