Taller forense – Servidor

Santiago Bolivar Restrepo.

Víctor Armando Echavarría.

En el siguiente proceso se analizarán 6 discos, en los cuales de desea saber si un equipo ha sido
vulnerado y que han hecho dentro de él.

Lo primero que se realizara es el valor de integridad de cada uno de los discos.

Después de revisar esto procedemos a realizar la línea de tiempo, las cuales quedaran unidas en un
solo archivo.

Verificamos que si se hayan creado correctamente, las líneas del tiempo y el documento que las va
a contener todas.
Se empieza buscando en la línea de tiempo el archivo var/log/lastlog. (lastlog imprime el contenido
del ultimo archivo de registro de sesión)

Procedemos a buscar dicho archivo y a su recuperación.

Se puede ver que el ultimo acceso fue con el usuario root el día 8 de noviembre.
Después de esto procedemos a mirar el archivo var/log/messages. (Contiene los mensajes del
sistema en el momento del inicio)

Se puede observar que el día 8 de noviembre existen 2 intentos fallidos, se busca en la línea del
tiempo.

Se puede ver que el archivo fue modificado el día 8 de noviembre.

Se genera un strings al disco honeypot.hda7.dd perteneciente a /var, dentro de este buscamos la
fecha 8 de noviembre (Nov 8).

Se encuentran distintas fracciones una por ejemplo 50655677/1024, 50654805/1024,

50640469/1024
Podemos encontrar que una de las líneas es muy diferente a las otras, lo cual lo hace muy
sospechoso, se busca en la web y se encuentra que rcp.statd permite la ejecución de código
arbitrario en la máquina atacada, típicamente con los privilegios de «root».

Con esto se sabe que el atacante entro al sistema el 8 de noviembre del 2000 a las 00:09::00, por
medio de una vulnerabilidad en el rcp.statd

Dicho individuo entro con privilegios de adm, por lo tanto, iremos a revisar los comandos que utilizo
dentro de la terminal, esto con la ayuda de la línea de tiempo y buscando .bash _history

Podemos ver que el atacante a eliminado el historial de los comandos utilizados, se generara un
strings al honeypot.hda8.dd para ver si se puede recuperar dicho historial.

Dentro de este se busca ln -s /dev/null, ya que este comando nos sirve para la eliminación del
historial.
Se encuentran diferentes fragmentos, tales como 98424357/1024, 98424415/1024. Y se procede a
buscar el contenido.
Se pueden recuperar los comandos con éxito, además podemos ver que el atacante a instalado algo
llamado rootkit (conjunto de software que permite un acceso de privilegio continuo a un ordenador
pero que mantiene su presencia activamente oculta al control de los administradores).

Se hace la búsqueda del archivo a.sh (es un programa informático cuya función consiste en
interpretar órdenes) para proceder a recuperarlo.

Encontramos que el archivo ‘/usr/man/.Ci/scan/amd/a.sh’ y el archivo ‘/usr/man/.Ci/a.sh’, los

recuperamos.

Parece que el atacante ha guardado script en el directorio urs/ma/.Ci/

Se recupera y visualiza el script.
Se procede a ver el contenido del ultimo.