Tema destacado: Últimos eventos sobre seguridad/inseguridad
 Autor
|
Tema: Inicio al análisis forense (Leído 9,358 veces)
|
|
kamsky
|
Bueno, siguiendo con los manuales/prácticas que estoy colgando, aquí va otra, se trataba de una primra toma de contacto con el análisis forense, en el cual se nos daba una serie de imágenes de un Servidor que fue comprometido realmente, y se pretendía que hiciésemos un par de informes, uno técnico, y otro ejecutivo (este es el que se daría a los directivos sin conocimientos técnicos, y debido a que creo que para nosotros no es importante no lo he colgado). os pongo el enunciado de la práctica y a continuación el enlace de descarga de la Memoria así como un par de archivos que contienen una linea temporal creada con ayuda de las herramientas descritas en la práctica En esta práctica se abordará el análisis de un equipo que ha sufrido una in- trusión. La imagen del equipo (150MB aprox.) la tenéis disponible en la sigu- iente URL : http://it.aut.uah.es/enrique/docencia/ii/seguridad/lab/imagen.tar.bz2. El objetivo será la realización de dos informes: 1. Un informe ejecutivo en el que se resuma en un lenguaje entendible por personal no técnicos aquellos aspectos más importantes de la intrusión, junto con las medidas que podrían haberse llevado a cabo para evitar el ataque junto con recomendaciones para evitar que pudiera volver a producirse. 2. Un informe técnicos en el que se resuman los siguientes aspectos (entre otros): (a) Sistema operativo atacado. (b) Descripción de las herramientas empleadas y de los procedimientos de obtención de la información de la máquina atacada. (c) Determinación del origen del ataque, vulnerabilidad empleada por el atacante y descripción de la líena de tiempos del ataque. (d) Información detallada sobre las acciones realizdas por el atacante y las herramientas que instaló en el equipo atacado. No es algo exhaustivo, y sólo se trata de una pequeña introducción, por lo que se han saltado muchos detalles y tan solo se delinea como fue el ataque. Espero que os guste, un saludo |
|
|
|
|
En línea
|
----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---
hack 4 free!!
|
|
|
imoen
 Desconectado
Mensajes: 1.088
|
Oye muy currado me parece muy bien que hayas incluido la imagen del os.
Muy chulo.
<edito>
uhh ya se que se supone que debemos de saber lo que estamos haciendo , pero como tudices que es un manual de inicio deberias de ir explicando un poco lo quehacen los comandos , y el sistema inicial que tienes para probar la imagen y lo que vas a hacer para el estudio, como una pequeña introduccion , puesto que luego pones todo lo que vas a usar y lo que hacen.
( no enfadarse es solo opinion)
</edito
|
|
|
|
« Última modificación: 22 Julio 2009, 13:14 por imoen »
|
En línea
|
2 X Intel pentium III 1000 MHZ ( bi procesador )
2 gigas de Memoria value kigston pc 133 ( 4 X 512)
40 gigas de hd seagate ->> update 2 x 40 gigas
ati 8500 64 mb DDR ->> update gforce 5200 FX 256
srta imoen
|
|
|
|
kamsky
|
si, estoy de acuerdo que se puede mejorar en muchos aspectos, el "problema" es que este documento no está hecho como un tutorial explícitamente, si no que es una memoria a una práctica de la universidad, por lo tanto es obvio que el profesor sabe de que va el asunto y por eso quizás se heche en falta la introducción y el entorno y tal ..  si la gente lo pide quizás me anime a ampliarlo un poco más, pero no priometo nada , que estamos de vacaciones  |
|
|
|
|
En línea
|
----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---
hack 4 free!!
|
|
|
Khaleth
Desconectado
Mensajes: 434
|
Muchas gracias por el aporte. Qué suerte que os ponen prácticas así en la universidad  Un Saludo |
|
|
|
|
En línea
|
|
|
|
|
7th_Sign
|
que buen artículo estas mostrando muy en claro todo el proceso, de hecho esos archivos de psybnc ya los habia visto, recuerdo hace algunos años un servidor linux que me toco administrar, era un red hat 9, la versión de fedora apenas se daba a conocer, en un día normal configuraba algunas cosas en el smb.conf y por alguna razón me dio por meter el comando w y extrañamente vi a otro usuario, extraño!!, pues el servidor solo lo uso yo, rápidamente lo que hice fue matar todos los procesos de ese usuario, revise los logs
tail -n 100 /var/log/messages | grep elusuario
entro por ssh con uno de esos ataques diccionario y ya tenía como 1 hora de estar ahí, pudo hacer wget a ese psybnc, revise todo lo que pude segun su bash_history para saber si hizo daño pero todo se veia bien por lo que cuál me sentí aliviado.
mi error fue que les deje shell en el passwd y que puse passwords a los usaurios (passwords debiles), como la necesidad solo eran para que entraran por samba, opte por quitar la shell y el puse mas fuerte el password.
y desde entonces así es como configuro los servidores y algunos otras cosas he ido aprendiendo en el camino.
ya por último, pudiste saber como obtuvo shell con privilegios de root??
me refiero a que comandos utilizo o que scripts??
|
|
|
|
|
En línea
|
qué me sugieren poner aquí???
|
|
|
|
kamsky
|
lo primero agradecer vuestros comentarios.
@ 7th_Sign: como explico en el documento, es sujeto explotó una versión vulnerable del Servidor FTP y lanzando un exploit consiguió privilegios de admin, para que esto no "cantara" demasiado y no tener que estar entrando así todo el rato, el mismo parcheó el FTP y alguna cosilla más que había por ahí, pero procuró dejarse una puerta trasera a través de SSH (que además de otros binarios fue troyanizado)
un saludo!
|
|
|
|
|
En línea
|
----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---
hack 4 free!!
|
|
|
|
7th_Sign
|
bueno es que mi pregunta estaba enfocada a que si sabes que exploit utilizo para aprovechar la vulnerabilidad del servidor ftp.
leo y leo el documento y no le hallo, quizás me estoy quedando ciego. :S
saludos
|
|
|
|
|
En línea
|
qué me sugieren poner aquí???
|
|
|
|
kamsky
|
pues hay un pantallazo de milw0rm si no me equivoco...  |
|
|
|
|
En línea
|
----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---
hack 4 free!!
|
|
|
imoen
Desconectado
Mensajes: 1.088
|
si si hay pantallazo , jeje
Oye y por que no haces una cosa ya que tienes la memoria hecha , y estamos de vacaiones, podrias hacerlo como un taller, para que la gente lo pueda practicar en casa , asi con pasitos y tal, les ayudamos a montar una maquina virual que se bajen la imagen y los vamos haciendo por pasitos , por hacer algo asi xulo en el foro.
Que te parece , yo puedo ayudarte , voy a tener unos dias libres,
Pd que solo hago criticar pero que esta muy bien y gracias por ponernos el pdf jejeje
un saludo
Srta imoen
|
|
|
|
|
En línea
|
2 X Intel pentium III 1000 MHZ ( bi procesador )
2 gigas de Memoria value kigston pc 133 ( 4 X 512)
40 gigas de hd seagate ->> update 2 x 40 gigas
ati 8500 64 mb DDR ->> update gforce 5200 FX 256
srta imoen
|
|
|
|
kamsky
|
por mi vale, la cosa sería como plantearlo, y tener el apoyo del admin del subforo
un saludo y gracias por los comentarios
|
|
|
|
|
En línea
|
----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---
hack 4 free!!
|
|
|
|
TRICKY
|
Que tal.
Bueno, no hay "Admins" de Subforos, mas "Moderadores" ! :__).
Yo pues como sabes kamsky, por mi parte tienes todo mi apoyo.
Si te ves con animo y decision hazlo y, si necesitas apoyo para algo, aqui estamos para eso.
Animo y Saludos.
|
|
|
|
|
En línea
|
"La envidia es una declaración de inferioridad"
Napoleón.
|
|
|
|
kamsky
|
vale, pues ire pensando como plantearlo y cuando lo tenga lo haremos, pero antes tengo en mente otra cosita que espero pronto podais ver  un saludo |
|
|
|
|
En línea
|
----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---
hack 4 free!!
|
|
|
|
ANELKAOS
|
Este es el subforo adecuado. Gracias por el aporte kamsky  |
|
|
|
|
En línea
|
|
|
|
Debci
Wiki
Desconectado
Mensajes: 1.945
Actualizate o muere!
|
Existen equipos forenses que analizan intrusiones web? Molaria un CSI Las vegas de Hackers  saludos |
|
|
|
|
En línea
|
|
|
|
|
kamsky
|
Claro, un analista forense tiene que saber analizar cualquier tipo de escenario... Un poquito de paciencia, que estamos preparando algo con el tema del análisis forense...  un saludo |
|
|
|
|
En línea
|
----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---
hack 4 free!!
|
|
|
|
 |
