elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Píldoras formativas en seguridad de la información


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking Avanzado (Moderadores: ANELKAOS, toxeek)
| | |-+  Inicio al análisis forense
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 3 Ir Abajo Respuesta Imprimir
Autor Tema: Inicio al análisis forense  (Leído 14,152 veces)
kamsky
Colaborador
***
Desconectado Desconectado

Mensajes: 2.219


Como no sabían que era imposible, lo hicieron...


Ver Perfil
Inicio al análisis forense
« en: 21 Julio 2009, 18:17 »

Bueno, siguiendo con los manuales/prácticas que estoy colgando, aquí va otra, se trataba de una primra toma de contacto con el análisis forense, en el cual se nos daba una serie de imágenes de un Servidor que fue comprometido realmente, y se pretendía que hiciésemos un par de informes, uno técnico, y otro ejecutivo (este es el que se daría a los directivos sin conocimientos técnicos, y debido a que creo que para nosotros no es importante no lo he colgado).

os pongo el enunciado de la práctica y a continuación el enlace de descarga de la Memoria así como un par de archivos que contienen una linea temporal creada con ayuda de las herramientas descritas en la práctica

Citar
En esta práctica se abordará el análisis de un equipo que ha sufrido una in-
trusión. La imagen del equipo (150MB aprox.) la tenéis disponible en la sigu-
iente URL : http://it.aut.uah.es/enrique/docencia/ii/seguridad/lab/imagen.tar.bz2.
    El objetivo será la realización de dos informes:
   1. Un informe ejecutivo en el que se resuma en un lenguaje entendible por
      personal no técnicos aquellos aspectos más importantes de la intrusión,
      junto con las medidas que podrían haberse llevado a cabo para evitar
      el ataque junto con recomendaciones para evitar que pudiera volver a
      producirse.
   2. Un informe técnicos en el que se resuman los siguientes aspectos (entre
      otros):
       (a) Sistema operativo atacado.
       (b) Descripción de las herramientas empleadas y de los procedimientos
           de obtención de la información de la máquina atacada.
       (c) Determinación del origen del ataque, vulnerabilidad empleada por el
           atacante y descripción de la líena de tiempos del ataque.
       (d) Información detallada sobre las acciones realizdas por el atacante y
           las herramientas que instaló en el equipo atacado.

http://www.megaupload.com/?d=VOUIUHFR

No es algo exhaustivo, y sólo se trata de una pequeña introducción, por lo que se han saltado muchos detalles y tan solo se delinea como fue el ataque.
Espero que os guste, un saludo
En línea

----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---

                       hack 4 free!!
imoen


Desconectado Desconectado

Mensajes: 1.579



Ver Perfil
Re: Inicio al análisis forense
« Respuesta #1 en: 22 Julio 2009, 13:10 »

Oye muy currado me parece muy bien que hayas incluido la imagen del os.

Muy chulo.


<edito>

uhh ya se que se supone que debemos de saber lo que estamos haciendo , pero como tudices que es un manual de inicio deberias de ir explicando un poco lo quehacen los comandos , y el sistema inicial que tienes para probar la imagen y lo que vas a hacer para el estudio, como una pequeña introduccion , puesto que luego pones todo lo que vas a usar y lo que hacen.
( no enfadarse es solo opinion)
</edito
« Última modificación: 22 Julio 2009, 13:14 por imoen » En línea

Medion Akoya p6624
i-3 370
8 gigas DDR 3 RAM //750 hd 5400
gforce gt425 optimus XDD
Esta es mi casa, mi pueblo , o lo que queda de el aun asi lucharemos ... POR BENALIA....!!

srta imoen
kamsky
Colaborador
***
Desconectado Desconectado

Mensajes: 2.219


Como no sabían que era imposible, lo hicieron...


Ver Perfil
Re: Inicio al análisis forense
« Respuesta #2 en: 22 Julio 2009, 16:58 »

si, estoy de acuerdo que se puede mejorar en muchos aspectos, el "problema" es que este documento no está hecho como un tutorial explícitamente, si no que es una memoria a una práctica de la universidad, por lo tanto es obvio que el profesor sabe de que va el asunto y por eso quizás se heche en falta la introducción y el entorno y tal .. :P

si la gente lo pide quizás me anime a ampliarlo un poco más, pero no priometo nada , que estamos de vacaciones :D
En línea

----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---

                       hack 4 free!!
Khaleth


Desconectado Desconectado

Mensajes: 433



Ver Perfil
Re: Inicio al análisis forense
« Respuesta #3 en: 22 Julio 2009, 17:56 »

Muchas gracias por el aporte. Qué suerte que os ponen prácticas así en la universidad  ;D

Un Saludo
En línea

7th_Sign

Desconectado Desconectado

Mensajes: 78



Ver Perfil WWW
Re: Inicio al análisis forense
« Respuesta #4 en: 22 Julio 2009, 18:08 »

que buen artículo estas mostrando muy en claro todo el proceso, de hecho esos archivos de psybnc ya los habia visto, recuerdo hace algunos años un servidor linux que me toco administrar, era un red hat 9, la versión de fedora apenas se daba a conocer, en un día normal configuraba algunas cosas en el smb.conf y por alguna razón me dio por meter el comando w y extrañamente vi a otro usuario, extraño!!, pues el servidor solo lo uso yo, rápidamente lo que hice fue matar todos los procesos de ese usuario, revise los logs

tail -n 100 /var/log/messages | grep elusuario

entro por ssh con uno de esos ataques diccionario y ya tenía como 1 hora de estar ahí, pudo hacer wget a ese psybnc, revise todo lo que pude segun su bash_history para saber si hizo daño pero todo se veia bien por lo que cuál me sentí aliviado.

mi error fue que les deje shell en el passwd y que puse passwords a los usaurios (passwords debiles), como la necesidad solo eran para que entraran por samba, opte por quitar la shell y el puse mas fuerte el password.

y desde entonces así es como configuro los servidores y algunos otras cosas he ido aprendiendo en el camino.


ya por último, pudiste saber como obtuvo shell con privilegios de root??
me refiero a que comandos utilizo o que scripts??
En línea

qué me sugieren poner aquí???
kamsky
Colaborador
***
Desconectado Desconectado

Mensajes: 2.219


Como no sabían que era imposible, lo hicieron...


Ver Perfil
Re: Inicio al análisis forense
« Respuesta #5 en: 22 Julio 2009, 18:35 »

lo primero agradecer vuestros comentarios.

@ 7th_Sign: como explico en el documento, es sujeto explotó una versión vulnerable del Servidor FTP y lanzando un exploit consiguió privilegios de admin, para que esto no "cantara" demasiado y no tener que estar entrando así todo el rato, el mismo parcheó el FTP y alguna cosilla más que había por ahí, pero procuró dejarse una puerta trasera a través de SSH (que además de otros binarios fue troyanizado)

un saludo!
En línea

----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---

                       hack 4 free!!
7th_Sign

Desconectado Desconectado

Mensajes: 78



Ver Perfil WWW
Re: Inicio al análisis forense
« Respuesta #6 en: 23 Julio 2009, 17:19 »

bueno es que mi pregunta estaba enfocada a que si sabes que exploit utilizo para aprovechar la vulnerabilidad del servidor ftp.

 leo y leo el documento y no le hallo, quizás me estoy quedando ciego. :S


saludos
En línea

qué me sugieren poner aquí???
kamsky
Colaborador
***
Desconectado Desconectado

Mensajes: 2.219


Como no sabían que era imposible, lo hicieron...


Ver Perfil
Re: Inicio al análisis forense
« Respuesta #7 en: 23 Julio 2009, 18:00 »

pues hay un pantallazo de milw0rm si no me equivoco... :-X
En línea

----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---

                       hack 4 free!!
imoen


Desconectado Desconectado

Mensajes: 1.579



Ver Perfil
Re: Inicio al análisis forense
« Respuesta #8 en: 24 Julio 2009, 12:55 »

si si hay pantallazo , jeje

Oye y por que no haces una cosa ya que tienes la memoria hecha , y estamos de vacaiones, podrias hacerlo como un taller, para que la gente lo pueda practicar en casa , asi con pasitos y tal, les ayudamos a montar una maquina virual que se bajen la imagen y los vamos haciendo por pasitos , por hacer algo asi xulo en el foro.


Que te parece , yo puedo ayudarte , voy a tener unos dias libres,

Pd que solo hago criticar pero que esta muy bien y gracias por ponernos el pdf jejeje

un saludo
Srta imoen
En línea

Medion Akoya p6624
i-3 370
8 gigas DDR 3 RAM //750 hd 5400
gforce gt425 optimus XDD
Esta es mi casa, mi pueblo , o lo que queda de el aun asi lucharemos ... POR BENALIA....!!

srta imoen
kamsky
Colaborador
***
Desconectado Desconectado

Mensajes: 2.219


Como no sabían que era imposible, lo hicieron...


Ver Perfil
Re: Inicio al análisis forense
« Respuesta #9 en: 24 Julio 2009, 14:40 »

por mi vale, la cosa sería como plantearlo, y tener el apoyo del admin del subforo

un saludo y gracias por los comentarios
En línea

----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---

                       hack 4 free!!
Páginas: [1] 2 3 Ir Arriba Respuesta Imprimir 

Ir a:  

Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines