Posts Tagged ‘sysadmin’

Hoy seré breve, pero conciso. Cuando hemos sospechado de algún fichero ejecutable, siempre hemos tenido dos opciones:

- La primera y menos recomendable, ejecutarlo y pensar que solo se “infectan” los demás. Nada recomendable

- La segunda, tener un sistema Windows virtualizado, ejecutarlo allí mientras monitorizamos con cosas como Filemon, Regmon, wireshark , etc…

Recientemente, he encontrado una forma más rápida, y que puede ayudarnos en casos muy concretos.

• VirusTotal – http://www.virustotal.com/es/
• Joebox – http://www.joebox.org/
• Anubis – http://anubis.iseclab.org/

Con VirusTotal podremos analizar ficheros con varios motores antivirus al mismo tiempo, nos dará una orientación sobre el tipo de ficheros que manejas. Además esta web viene de la mano de Hispasec Sistemas, muy buena referencia desde mi punto de vista.

Con Joebox podremos instalarnos una sandbox, y ejecutar en un entorno seguro virtual este ejecutable. Nos dará trazas con información relevante sobre su comportamiento. Este entorno virtual, es de fácil despliegue y con las mismas garantías de seguridad que una máquina virtual con sistema operativo independiente.

Por último Anubis, con su servicio online, analizará el binario y nos enviará un informe sobre su comportamiento. Un complemento ideal a cualquier sandbox, nos permitirá contrastar la información.

Hoy he intentado acordarme de la buena práctica que realizaba cuando modificaba ficheros de configuración, y cómo se suele hacer. Creo que todos hemos visto ficheros con sufijos del tipo .old, .orig, .bkp, .fecha que sirven de pseudo-backup de un fichero importante de configuración.

No voy a entrar a valorar si este método es bueno o malo, porque deberíamos evaluar otros factores como si la máquina es administrada por varios admins, si es un servidor crítico, si realmente queda documentada esa nomenclatura, etc…

Pero si quiero mencionar, y poner algún ejemplo de una metodología que si es estándar, y que hay un probabilidad muy elevada de encontrarla en casi cualquier sistema GNU/Linux: RCS utils. Con este sistema, tendremos un control de versiones con todas sus ventajas aplicado a un único fichero sin crear ni configurar nada adicional (ni repositorios, ni demonios, ni dependencias de servicios), solo instalando el paquete necesario rcs. Es raro que no esté instalado.

Esta información ha sido obtenida de RCS Intro – http://www.daemon-systems.org/man/rcsintro.1.html

¿Qué operaciones se suelen realizar con más frecuencia en un sistema de control de versiones?

• Crear ficheros nuevos
• Modificar fichero existentes
• Bloquear para evitar modificaciones concurrentes
• Controlar versiones, y adjuntar comentarios para ver de forma rápida este Changelog
• Comprobar diferencias entre versiones
• Recuperar cualquier versión
• Controlar el quién y el cuando de una modificación de fichero a lo largo de su vida

Basándonos en esta pequeña lista, pondré los dos comandos que nos permitirán realizarlas:

co y ci

Sigue leyendo para ver los ejemplos …