![Page 1: Forense en windows - Resolución Reto I de Dragonjar](https://reader033.vdocumento.com/reader033/viewer/2022061521/557b7c9fd8b42afc0c8b50dd/html5/thumbnails/1.jpg)
Compromised Linux Server
Alejandro Ramos Computer Hacking Forensic Investigator
SecurityByDefault.com
![Page 2: Forense en windows - Resolución Reto I de Dragonjar](https://reader033.vdocumento.com/reader033/viewer/2022061521/557b7c9fd8b42afc0c8b50dd/html5/thumbnails/2.jpg)
AntecedentesLos hermanos Portugal tienen
una tienda en su pueblo Brazatortas (Ciudad Real) de Salchichones
Deciden contratar un VPS para alojar su web y ofrecer sus productos.
Un amigo de los hermanos monta un sistema Linux y diseña la web con la última versión crackeada de Dreamweaver
![Page 3: Forense en windows - Resolución Reto I de Dragonjar](https://reader033.vdocumento.com/reader033/viewer/2022061521/557b7c9fd8b42afc0c8b50dd/html5/thumbnails/3.jpg)
![Page 4: Forense en windows - Resolución Reto I de Dragonjar](https://reader033.vdocumento.com/reader033/viewer/2022061521/557b7c9fd8b42afc0c8b50dd/html5/thumbnails/4.jpg)
Antecedentes - IIA las pocas horas de tener su
página web, detectan que ha sido modificada.
Contactan con un equipo de respuesta a incidentes (nosotros) para averiguar que ha ocurrido.
![Page 5: Forense en windows - Resolución Reto I de Dragonjar](https://reader033.vdocumento.com/reader033/viewer/2022061521/557b7c9fd8b42afc0c8b50dd/html5/thumbnails/5.jpg)
![Page 6: Forense en windows - Resolución Reto I de Dragonjar](https://reader033.vdocumento.com/reader033/viewer/2022061521/557b7c9fd8b42afc0c8b50dd/html5/thumbnails/6.jpg)
ADQUISICIÓN
![Page 7: Forense en windows - Resolución Reto I de Dragonjar](https://reader033.vdocumento.com/reader033/viewer/2022061521/557b7c9fd8b42afc0c8b50dd/html5/thumbnails/7.jpg)
Tipos de adquisiciónCopia en frio
◦Copia de los discos con el sistema apagado
◦Usado como estándar◦No altera los datos, por lo que se puede
repetirCopia en caliente
◦Copia de datos de un sistema encendido◦Practico en caso de discos duros
cifrados◦No puede ser repetido exactamente. El
sistema es modificado◦Se puede adquirir volcado de memoria
![Page 8: Forense en windows - Resolución Reto I de Dragonjar](https://reader033.vdocumento.com/reader033/viewer/2022061521/557b7c9fd8b42afc0c8b50dd/html5/thumbnails/8.jpg)
Por red en calienteTabla de particiones: fdisk -l
En el sistema remoto (donde se hace la imagen):
En el cliente (sistema comprometido):
nc –l –p port –w 10 > img.raw
dd if=/dev/sda conv=sync,noerror | nc IP port
![Page 9: Forense en windows - Resolución Reto I de Dragonjar](https://reader033.vdocumento.com/reader033/viewer/2022061521/557b7c9fd8b42afc0c8b50dd/html5/thumbnails/9.jpg)
Alternativas a DDdc3dd
◦Creada por el DoD◦Parche para el ‘dd’◦Hashes al vuelo◦“wipe” datos◦Sumarización de registro◦Divide la imagen
dcfldd◦fork de ‘dd’◦Más de una copia a la vez
![Page 10: Forense en windows - Resolución Reto I de Dragonjar](https://reader033.vdocumento.com/reader033/viewer/2022061521/557b7c9fd8b42afc0c8b50dd/html5/thumbnails/10.jpg)
Local en frio - Guymager
![Page 11: Forense en windows - Resolución Reto I de Dragonjar](https://reader033.vdocumento.com/reader033/viewer/2022061521/557b7c9fd8b42afc0c8b50dd/html5/thumbnails/11.jpg)
Memoria RAMDistintos dispositivos:
◦/dev/kmem “kernel” memory. Formato core está deshabilitado en distribuciones
modernas (solo se usaba para instalar rootkits)
◦/dev/mem En algunas distribuciones el kernel
deshabilita el acceso después de 8 páginas.
◦/proc/kcore Formato ELF (core) En ocasiones superior al tamaño de
memoria
![Page 12: Forense en windows - Resolución Reto I de Dragonjar](https://reader033.vdocumento.com/reader033/viewer/2022061521/557b7c9fd8b42afc0c8b50dd/html5/thumbnails/12.jpg)
Métodos de volcadoMódulos de kernel
◦Fedora/RedHat/Centos: crash http://people.redhat.com/anderson/
◦fmem https://hysteria.sk/~niekt0/fmem/
Lectura de /proc/kcore◦dd if=/dev/kcore | nc host port
![Page 13: Forense en windows - Resolución Reto I de Dragonjar](https://reader033.vdocumento.com/reader033/viewer/2022061521/557b7c9fd8b42afc0c8b50dd/html5/thumbnails/13.jpg)
ANÁLISIS
![Page 14: Forense en windows - Resolución Reto I de Dragonjar](https://reader033.vdocumento.com/reader033/viewer/2022061521/557b7c9fd8b42afc0c8b50dd/html5/thumbnails/14.jpg)
Archivos de syslogRevisar sistema de logs para
conocer todos los directorios: rsyslogd / syslogd / syslog-ng:◦/var/log/messages◦/var/log/secure◦/var/log/maillog◦/var/log/cron◦/var/log/spooler◦/var/log/boot.log
![Page 15: Forense en windows - Resolución Reto I de Dragonjar](https://reader033.vdocumento.com/reader033/viewer/2022061521/557b7c9fd8b42afc0c8b50dd/html5/thumbnails/15.jpg)
Otros registrosFicheros de accesos web:
◦ /var/log/httpd/access_log ◦ /var/log/httpd/error_log
Directorio audit del demonio auditdAccesos de «login»:
◦ /var/log/btmp -> logins fallidos (lastb)◦ /var/log/wtmp -> logins y logouts (last)◦ /var/log/lastlog -> logins en el sistema
(lastlog)◦ /var/run/utmp -> usuarios en el sistema
(who/w)◦ /var/log/dmesg -> logs del kernel (dmesg)
![Page 16: Forense en windows - Resolución Reto I de Dragonjar](https://reader033.vdocumento.com/reader033/viewer/2022061521/557b7c9fd8b42afc0c8b50dd/html5/thumbnails/16.jpg)
Históricos:Comandos de shell:
◦ $HOME/.bash_history◦ $HOME/.sh_history ◦ $SOME/.history
Comando less:◦ $HOME/.lesshst
Clientes de FTP:◦ $HOME/.lftp/rl_history y cwd_history◦ $HOME/.ncftp/history
Equipos a los que se ha conectado con SSH:◦ $HOME/.ssh/known_hosts
![Page 17: Forense en windows - Resolución Reto I de Dragonjar](https://reader033.vdocumento.com/reader033/viewer/2022061521/557b7c9fd8b42afc0c8b50dd/html5/thumbnails/17.jpg)
Información básica
Usuarios: /etc/passwd /etc/shadow
Grupos: /etc/groupVersión: /etc/*release /etc/*version
Kernel: uname –aMódulos de kernel cargados: lsmodProcesos: ps axufwwwPuertos: netstat –tanp
![Page 18: Forense en windows - Resolución Reto I de Dragonjar](https://reader033.vdocumento.com/reader033/viewer/2022061521/557b7c9fd8b42afc0c8b50dd/html5/thumbnails/18.jpg)
Información básicaHora: dateSoftware: dpkg –l / rpm –qaCPU: lspci Memoria: free –mInterfaces de red: ifconfig –aRutas: route –n / netstat –nrTabla arp: arp -n
![Page 19: Forense en windows - Resolución Reto I de Dragonjar](https://reader033.vdocumento.com/reader033/viewer/2022061521/557b7c9fd8b42afc0c8b50dd/html5/thumbnails/19.jpg)
Depurado y trazas
lsof list open files◦lsof –i ◦lsof /etc/passwd◦lsof apache
strace trace system calls and signals◦strace –p PID
ltrace a library call tracer◦ltrace command
![Page 20: Forense en windows - Resolución Reto I de Dragonjar](https://reader033.vdocumento.com/reader033/viewer/2022061521/557b7c9fd8b42afc0c8b50dd/html5/thumbnails/20.jpg)
El directorio /procPseudo sistema de ficherosPermite acceso a información de
procesos◦ /proc/version◦ /proc/sys/kernel/name◦ /proc/sys/kernel/domainame◦ /proc/cpuinfo◦ /proc/swaps◦ /proc/partitions◦ /proc/self/mounts◦ /proc/uptime◦ /proc/modules◦ /proc/PID/cmdline
![Page 21: Forense en windows - Resolución Reto I de Dragonjar](https://reader033.vdocumento.com/reader033/viewer/2022061521/557b7c9fd8b42afc0c8b50dd/html5/thumbnails/21.jpg)
Directorio /sysNuevo en kernel 2.6Saca información de /proc no
referente a procesos/sys/module módulos cargados
en el kernel/sys/block información de
dispositivos
![Page 22: Forense en windows - Resolución Reto I de Dragonjar](https://reader033.vdocumento.com/reader033/viewer/2022061521/557b7c9fd8b42afc0c8b50dd/html5/thumbnails/22.jpg)
Búsqueda de ficheros por fechas
Modificación◦find / -mtime 5 –xdev >mod.txt
Acceso◦find / -atime 5 –xdev > acc.txt
Creación◦find / -ctime 5 –xdev > cre.txt
![Page 23: Forense en windows - Resolución Reto I de Dragonjar](https://reader033.vdocumento.com/reader033/viewer/2022061521/557b7c9fd8b42afc0c8b50dd/html5/thumbnails/23.jpg)
Herramientas - malware / rootkits
Antivirus: clamav◦ freshclam◦ clamscan -i -r /
Detección de rootkits◦ Rkhunter: http://www.rootkit.nl/
rkhunter --update rkhunter --check Compara MD5 Uso de ficheros por defecto en rootkits comunes Permisos incorrectos en binarios Cadenas extrañas en módulos de kernel Ficheros ocultos en directorios extraños
![Page 24: Forense en windows - Resolución Reto I de Dragonjar](https://reader033.vdocumento.com/reader033/viewer/2022061521/557b7c9fd8b42afc0c8b50dd/html5/thumbnails/24.jpg)
rkhunter[root@dmz data]# rkhunter --check
[ Rootkit Hunter version 1.3.8 ]
Checking system commands...
Performing 'strings' command checks
Checking 'strings' command [ OK ]
Performing 'shared libraries' checks
Checking for preloading variables [ None found ]
Checking for preloaded libraries [ None found ]
Checking LD_LIBRARY_PATH variable [ Not found ]
Performing file properties checks
Checking for prerequisites [ Warning ]
/sbin/chkconfig [ OK ]
/sbin/depmod [ OK ]
/sbin/fsck [ OK ]
![Page 25: Forense en windows - Resolución Reto I de Dragonjar](https://reader033.vdocumento.com/reader033/viewer/2022061521/557b7c9fd8b42afc0c8b50dd/html5/thumbnails/25.jpg)
Herramientas – malware / rootkits
◦chkrootkit: http://www.chkrootkit.org/ chkrootkit Binarios modificados Logs de sniffers Ficheros de rootkits por defecto Tarjeta de red en modo promiscuo Ficheros de logs módificados (zappers)
◦unhide: http://www.security-projects.com/ unhide proc; unhide-tcp Procesos ocultos Puertos abiertos
![Page 26: Forense en windows - Resolución Reto I de Dragonjar](https://reader033.vdocumento.com/reader033/viewer/2022061521/557b7c9fd8b42afc0c8b50dd/html5/thumbnails/26.jpg)
Puertas traseras clásicasScripts de inicio:
◦/etc/init.d/*◦/etc/rc.local◦Permisos de esos ficheros.
Superdemonios: init.d / xinit.d◦/etc/initd.conf◦/etc/xinit.d/*
Módulos del kernel◦/etc/modules
![Page 27: Forense en windows - Resolución Reto I de Dragonjar](https://reader033.vdocumento.com/reader033/viewer/2022061521/557b7c9fd8b42afc0c8b50dd/html5/thumbnails/27.jpg)
Puertas traseras clásicas - IILa configuración de init:
◦/etc/inittabArchivos SETUID/SETGID
◦find / -type f -perm -4000 –ls◦find / -type f -perm -2000 -ls
Directorios extraños◦Uso de espacios: “.. “◦find . –type f –exec ls –i {} \; | sort –n
![Page 28: Forense en windows - Resolución Reto I de Dragonjar](https://reader033.vdocumento.com/reader033/viewer/2022061521/557b7c9fd8b42afc0c8b50dd/html5/thumbnails/28.jpg)
Verificación de firmasrpm --verify <paquete> / rpm -Vadpkg: debsums
◦No instalado por defecto◦Compara MD5 de archivos◦debsums -ca (compara bin y config)◦debsums –ce (solo configuración)
![Page 29: Forense en windows - Resolución Reto I de Dragonjar](https://reader033.vdocumento.com/reader033/viewer/2022061521/557b7c9fd8b42afc0c8b50dd/html5/thumbnails/29.jpg)
Recuperación de archivosAplicación kpartx ayuda a
montar una imagen en loopbackAplicaciones de la suite
“Sleuthkit”: ils, fls, icat, etc.Complicado en otros sistemas de
ficheros como ext3 o ext4Comando strings de la imagen
en búsqueda de cadenas típicas.
![Page 30: Forense en windows - Resolución Reto I de Dragonjar](https://reader033.vdocumento.com/reader033/viewer/2022061521/557b7c9fd8b42afc0c8b50dd/html5/thumbnails/30.jpg)
Cadenas típicasexploitpacketstormsnifferpasswordnmapcrack[…]
![Page 31: Forense en windows - Resolución Reto I de Dragonjar](https://reader033.vdocumento.com/reader033/viewer/2022061521/557b7c9fd8b42afc0c8b50dd/html5/thumbnails/31.jpg)
¿PREGUNTAS?
![Page 32: Forense en windows - Resolución Reto I de Dragonjar](https://reader033.vdocumento.com/reader033/viewer/2022061521/557b7c9fd8b42afc0c8b50dd/html5/thumbnails/32.jpg)
Gracias
Alejandro Ramoswww.securitybydefault.com