Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
En el siguiente proceso se analizarán 6 discos, en los cuales de desea saber si un equipo ha sido
vulnerado y que han hecho dentro de él.
Verificamos que si se hayan creado correctamente, las líneas del tiempo y el documento que las va
a contener todas.
Se empieza buscando en la línea de tiempo el archivo var/log/lastlog. (lastlog imprime el contenido
del ultimo archivo de registro de sesión)
Se puede ver que el ultimo acceso fue con el usuario root el día 8 de noviembre.
Después de esto procedemos a mirar el archivo var/log/messages. (Contiene los mensajes del
sistema en el momento del inicio)
Se puede observar que el día 8 de noviembre existen 2 intentos fallidos, se busca en la línea del
tiempo.
Con esto se sabe que el atacante entro al sistema el 8 de noviembre del 2000 a las 00:09::00, por
medio de una vulnerabilidad en el rcp.statd
Dicho individuo entro con privilegios de adm, por lo tanto, iremos a revisar los comandos que utilizo
dentro de la terminal, esto con la ayuda de la línea de tiempo y buscando .bash _history
Podemos ver que el atacante a eliminado el historial de los comandos utilizados, se generara un
strings al honeypot.hda8.dd para ver si se puede recuperar dicho historial.
Dentro de este se busca ln -s /dev/null, ya que este comando nos sirve para la eliminación del
historial.
Se encuentran diferentes fragmentos, tales como 98424357/1024, 98424415/1024. Y se procede a
buscar el contenido.
Se pueden recuperar los comandos con éxito, además podemos ver que el atacante a instalado algo
llamado rootkit (conjunto de software que permite un acceso de privilegio continuo a un ordenador
pero que mantiene su presencia activamente oculta al control de los administradores).
Se hace la búsqueda del archivo a.sh (es un programa informático cuya función consiste en
interpretar órdenes) para proceder a recuperarlo.