Barrapunto

Estaría bien que comentaras brevemente (o mejor extensamente ;-) los pasos que has seguido en el análisis forense de tu máquina, es decir, cómo has deducido la forma de entrada al sistema, el rootkit utilizado, los binarios sustituidos, etc...

Un saludo.

Podrías publicar el análisis técnico que hayas hecho ¿no?

Venga anda, lúcete un poquito :)

si aceptas un consejo, vete por http://necromantux.alfa21.com/ y agenciate la distro, la verdad para análisis forense tiene de todo...

otra cosa, lo que he montado por ssh no se usa sin ssh, las contraseñas importantes son de las chungas (mayúsculas, minúsculas, números y de 12 caracteres) y todas distintas, la seguridad te va en ello, en cambio las cuentas de mierda tienen todas la misma, total aunque me las revienten, quien quiere una cuenta de hotmail que recibe 200 spams diarios, y lo de parchear el kernel, en cuanto sale una nueva versión, corro lo que puedo, eso sí ya contarás más sobre el análisis forense, que nunca he hecho uno y la verdad siempre hay una primera vez (lo siento de verdad).

Me gustaría poner aquí el análisis forense del cacharro, tranquila y detenidamente, pero estoy falto de tiempo (examenes y preparativos varios...). En realidad, la intención de esta entrada en la bitácora era esa, exponer más o menos dicho análisis (muuy brevemente), pero ayer me pase la noche estudiando (entre visita y publicación en /.). Aquí pondré una exposición rápida:

1. Primeros síntomas entraños, de sospecha.
- Al entrar en el sistema: el comando "ls" dice que no tiene permisos para ser ejecutado por un simple usuario. Con los comandos "netstat" e "ifconfig" ocurre lo mismo, y otros varios..
- Inicio el Midnight Commander y me muestra directorios que no estaban "previstos"
- El comando "last" detecta 2 conexiones desde direcciones IP correspondientes a un dominio italiano, con las que yo no tengo nada que verl. Una a las 23:28 (0 minutos) y otra a las 9:26 (12 minutos). En los logs figura que se ha hecho root, tras un par de intentos fallidos de introducir la clave de mi cuenta (ojo, mi contraseña es complicada, no es ningun tontería), y después aparece que se ha hecho root (Lo siento, no tengo los logs a mano para cortar y pegar)

2. Acciones a tomar.
- Busco en mi escritorio un disquete que tenia guardado con utilidades básicas: ls, netstat, lsof (list open files), find ,who... Mi me imaginaba que algíún dia iba a hacer uso de él... Su función es evitar los troyanos
- Yo no uso Hashes MD5 (guardados en disquete a salvo,y actualizados), pero sería lo ideal para detectar los binarios que tienen troyanos.

3. El análisis.
- Investigué las posible puertas de entrada. Comandos que usé:
* usé el comando " ps" de mi disquete y lo primero que encontré fue un directorio llamado /lib/lblip.tk, con diversos archivos dentro: un sniffer, el servidor SSH (llamado xntps, así figuraba en la salida de ps). Y uno de los ficheros shell decia ser el archivo de instalación de "t0rnkit". Hice la búsqueda "t0rnkit en google y encontre en un enlace el estudio de RootKit y su comportamiento. Los ficheros instalados por el rootkit son los siguientes:

/lib/libproc.a
/lib/libproc.so.2.0.6
/lib/libproc.so (enlace simbólico) /lib/libproc.so.2.0.6)
/lib/lidps1.so
/usr/include/file.h (ficheros que oculta "ls")
/usr/include/hosts.h (conexiones que se deben ocultar)
/usr/include/log.h
/usr/include/proc.h (procesos que oculta ps)
/lib/lblip.tk/shdcf2
/lib/lblip.tk/shhk.pub
/lib/lblip.tk/shk
/lib/lblip.tk/shrs
/usr/sbin/xntps (129.112.21.181 hardcoded into binary)
/lib/ldd.so/tks (sniffer)
/lib/ldd.so/tkp (parser)
/lib/ldd.so/tksb (long cleaner)
/dev/srd0 (que contiene md5sums de ficheros como: /sbin/ifconfig, /bin/ps, /bin/ls, /bin/netstat, /usr/bin/find, /usr/bin/top, /usr/sbin/lsof, /usr/bin/slocate, /usr/bin/dir, /usr/bin/md5sum, /bin/login )

* Los ficheros sustituidos por troyanos son (corto y pego):
/bin/ps
/sbin/ifconfig
/bin/netstat
/usr/bin/top
/usr/bin/slocate
/bin/login (extra bytes are added to match file sizes)
/bin/ls
/usr/bin/find
/usr/bin/dir
/usr/sbin/lsof
/usr/bin/md5sum
/sbin/syslogd
/usr/bin/pstree

* find / -perm -4000 Este comando suele ser recomendado en caso de "sospecha" de que te hayan "taladrado" el "chiringuito". No vi con él nada novedoso...

4. Último paso.
Normalmente para acabar, conviene proceder a la reinstalación del sistema: nunca se sabe si puede haber otra puerta trasera, además de la xntps que me colaron a mí. No se debe dejar un sistema hackeado nuevamente activo: siempre hay que reinstalar, poner parches y asegurarlo lo mejor posible.

5. Conclusión
Afortunadamente para mí, ya había leído algo sobre como actuar en sites como SET Ezine [set-ezine.org]. Concretando, existe un artículo de Paseante en SET n 24 (creo que era ese número...) que me sirvió de cierta guía. Tambíen en Rediris hay información muy interesante de