Ocultar directorios con “mount”

Fuente: Linuteca

Como vimos en el post anterior, el comando mount puede resultar peligroso tanto para nuestro querido Ubuntu como para todos los sistemas Linux.

En caso de que un cracker consiguiera acceder al comando “mount”, la forma más fácil de ocultar su actividad y sus herramientas para un ataque, es montar un directorio sobre otro.

Por ejemplo, en el caso de querer ejecutar un exploit, lo primero que haríamos sería subirlo al servidor que queremos atacar en un directorio cualquiera, en este caso creamos uno de ejemplo /opt/tmp.

Después accedemos a él con “cd /opt/mnt” y ahora procederemos a montar un directorio temporal encima con “mount size=1000 -t tmpfs /opt/tmp”. Ahora, si todo ha ido bien, el cracker, que está posicionado dentro del directorio /opt/tmp, podrá ver y acceder a los archivos que había antes de que montáramos una partición temporal encima, pero el resto de usuarios del sistema incluido el administrador y todos los procesos nuevos que se ejecuten, no tendrán acceso a ese directorio.

Es un caso muy particular que puede ayudar a esconder archivos maliciosos, pero también puede delatar muy fácilmente al atacante. Simplemente con ejecutar el comando “mount” en consola, el adminitrador verá que hay una partición nueva montada en el sistema y puede tomar medidas inmediatas (A no ser que el comando mount esté troyanizado…).

Lo más sencillo y seguro es aplicar una buena política de permisos a todos los archivos y raramente tendremos problemas de seguridad.