INFORME TÉCNICO – ANÁLISIS FORENSE

ssh2...Received disconnect from 67.19.122.170: 11: Bye ByeEl intruso se dedicó a crackear el ordenador de manera automática.A lo largo del fichero se ve todos los intentos realizados, segun ladificultad del password del root esto podría ser la causa de laintrusión.En la cabecera del primer mail se ve la fecha de inicio que es 21-01-2005 04:02:01. Revisando todo el fichero logra acceder el 29-01-200515:30:00. Las horas de inicio y fin no son exactas (es la hora de lallegada del mail). El día del acceso se deduce porque el mail ese díaavisa de la ausencia del fichero de log del SSH.El administrador debiera haberse percatado de que estaba padeciendoun ataque, tenía una cantidad de mails con más de 10.000 avisos deintentos de acceso fallidos.El intruso usó varias máquinas para acceder, otros servidoreszombie (como este):61.220.91.20 Taiwan63.247.140.66 Australia64.151.73.180 Australia67.19.122.170 Australia67.19.179.50 Australia81.181.141.21 Amsterdam148.231.192.8 Mexico159.148.91.124 Latvia195.159.120.8 Noruega203.131.125.156 Australia209.0.206.183 Colorado209.152.182.194 Colorado210.0.186.2 Australia211.251.242.68 Australia212.93.136.214 Romanía216.116.104.39 California218.151.155.35 Australia218.200.36.124 Australiainformación sacada de http://mendoza777.en.eresmas.com/localizador_de_ip.htmAl ver todas estas direcciones y los “saltos” que da me temo quetiene muchas máquinas zombies. Curiosamente una es de Romanía, quizá elintruso se impacientó y lo hizo desde su propio ordenador.RECAPITULANDORespondiendo a las preguntas iniciales ya sabemos:– Cómo accedió al sistema: crackeando una cuenta remota delservidor SSH– Desde dónde lo hizo: Listado de IPs previo)– Quién lo hizo: Su posible nacionalidad es Rumana– Cuándo lo hizo: 29-01-2005 aprox. 15:15:00– Qué hizo: instalar troyanos, enviarse datos sobre el host,dejar la máquina zombie...