|
|
|
Secciones
Obrar mucho, y hablar poco; que lo demás es de loco.
Barrapunto © 1999-2007. Contenido disponible bajo licencia Creative Commons Reconocimiento 2.5
Aviso legal
Barrapunto © 1999-2007. Contenido disponible bajo licencia Creative Commons Reconocimiento 2.5
Aviso legal
Breve análisis forense
(Puntos:3, Interesante)( http://barrapunto.com/~stivie/bitacora | Última bitácora: Sábado, 06 Septiembre de 2008, 23:16h )
1. Primeros síntomas entraños, de sospecha.
- Al entrar en el sistema: el comando "ls" dice que no tiene permisos para ser ejecutado por un simple usuario. Con los comandos "netstat" e "ifconfig" ocurre lo mismo, y otros varios..
- Inicio el Midnight Commander y me muestra directorios que no estaban "previstos"
- El comando "last" detecta 2 conexiones desde direcciones IP correspondientes a un dominio italiano, con las que yo no tengo nada que verl. Una a las 23:28 (0 minutos) y otra a las 9:26 (12 minutos). En los logs figura que se ha hecho root, tras un par de intentos fallidos de introducir la clave de mi cuenta (ojo, mi contraseña es complicada, no es ningun tontería), y después aparece que se ha hecho root (Lo siento, no tengo los logs a mano para cortar y pegar)
2. Acciones a tomar.
- Busco en mi escritorio un disquete que tenia guardado con utilidades básicas: ls, netstat, lsof (list open files), find ,who... Mi me imaginaba que algíún dia iba a hacer uso de él... Su función es evitar los troyanos
- Yo no uso Hashes MD5 (guardados en disquete a salvo,y actualizados), pero sería lo ideal para detectar los binarios que tienen troyanos.
3. El análisis.
- Investigué las posible puertas de entrada. Comandos que usé:
* usé el comando " ps" de mi disquete y lo primero que encontré fue un directorio llamado /lib/lblip.tk, con diversos archivos dentro: un sniffer, el servidor SSH (llamado xntps, así figuraba en la salida de ps). Y uno de los ficheros shell decia ser el archivo de instalación de "t0rnkit". Hice la búsqueda "t0rnkit en google y encontre en un enlace [barrapunto.com] el estudio de RootKit y su comportamiento. Los ficheros instalados por el rootkit son los siguientes:
/lib/libproc.a
/lib/libproc.so.2.0.6
/lib/libproc.so (enlace simbólico) /lib/libproc.so.2.0.6)
/lib/lidps1.so
/usr/include/file.h (ficheros que oculta "ls")
/usr/include/hosts.h (conexiones que se deben ocultar)
/usr/include/log.h
/usr/include/proc.h (procesos que oculta ps)
/lib/lblip.tk/shdcf2
/lib/lblip.tk/shhk.pub
/lib/lblip.tk/shk
/lib/lblip.tk/shrs
/usr/sbin/xntps (129.112.21.181 hardcoded into binary)
/lib/ldd.so/tks (sniffer)
/lib/ldd.so/tkp (parser)
/lib/ldd.so/tksb (long cleaner)
/dev/srd0 (que contiene md5sums de ficheros como: /sbin/ifconfig, /bin/ps, /bin/ls, /bin/netstat, /usr/bin/find, /usr/bin/top, /usr/sbin/lsof, /usr/bin/slocate, /usr/bin/dir, /usr/bin/md5sum, /bin/login )
* Los ficheros sustituidos por troyanos son (corto y pego):
/bin/ps
/sbin/ifconfig
/bin/netstat
/usr/bin/top
/usr/bin/slocate
/bin/login (extra bytes are added to match file sizes)
/bin/ls
/usr/bin/find
/usr/bin/dir
/usr/sbin/lsof
/usr/bin/md5sum
/sbin/syslogd
/usr/bin/pstree
* find / -perm -4000 Este comando suele ser recomendado en caso de "sospecha" de que te hayan "taladrado" el "chiringuito". No vi con él nada novedoso...
4. Último paso.
Normalmente para acabar, conviene proceder a la reinstalación del sistema: nunca se sabe si puede haber otra puerta trasera, además de la xntps que me colaron a mí. No se debe dejar un sistema hackeado nuevamente activo: siempre hay que reinstalar, poner parches y asegurarlo lo mejor posible.
5. Conclusión
Afortunadamente para mí, ya había leído algo sobre como actuar en sites como SET Ezine [set-ezine.org]. Concretando, existe un artículo de Paseante en SET nº 24 (creo que era ese número...) que me sirvió de cierta guía. Tambíen en Rediris hay información muy interesante de ejemplos a seguir para hacer un análisis forense [rediris.es], de un concurso que hubo hace unos meses (creo que salió la noticia aquí en Barrapunto).
Como se puede ver mi mécánica de análisis es mejorable, es la primera vez que hago algo así (a ver..¿cómo diablos me podía imaginar que mi Pentium 150 iba a ser taladrado xDDD?) pero reconozco que, aparte de perder mucho tiempo valioso para estudiar (si, estoy de examenes) me he divertido bastante, y algo he aprendido ;-)
Y, por cierto, si el espabilao que se me ha colao me lee por casualidad, le advierto que hay que mejorar esos métodos de intrusión };-)
Pues nada más, un saludete a todos, y espero haber saciado la curiosidad de más de un@.
PD: si queréis hacer alguna pregunta, intentaré responderla... lo antes posible ;-)