INFORME TÉCNICO – ANÁLISIS FORENSE

splashimage=(hd0,0)/boot/grub/splash.xpm.gztitle Red Hat Linux (2.4.18-3)...Sabiendo que se trata de Linux Red Hat (2.4.18-3) vamos a mirar elcontenido del fichero /etc/redhat-release (he aquí una particularidad deesta distribución).$ sudo less /etc/redhat-releaseRed Hat Linux release 7.3 (Valhalla)Siguiendo con las particularidades de esta distribución, vamosconocer las IPs que tenía esta máquina y su nombre de red para ello:$ sudo less /etc/hosts# Do not remove the following line, or various programs# that require network functionality will fail.127.0.0.1 finanzas localhost.localdomain localhost$ ls -l /etc/sysconfig/network-scripts/-rw-r—r-- 1 root root 133 2005-01-20 23:28 ifcfg-eth0-rw-r—r-- 1 root root 135 2005-01-20 23:29 ifcfg-eth0:1...$ less /etc/sysconfig/network-scripts/ifcfg-eth0DEVICE=eth0BOOTPROTO=staticBROADCAST=192.168.200.255IPADDR=192.168.200.128NETMASK=255.255.255.0NETWORK=192.168.200.0ONBOOT=yes$ less /etc/sysconfig/network-scripts/ifcfg-eth0:1DEVICE=eth0:1BOOTPROTO=staticBROADCAST=192.168.100.255IPADDR=192.168.100.188NETMASK=255.255.255.0NETWORK=192.168.100.0ONBOOT=yesYa tenemos el nombre de la maquina que es FINANZAS, la cual tenia 2IPS la 192.168.200.128 y la 192.168.100.188.Hemos recolectado la información necesaria para poder empezar ahacer camino (se hace camino al andar...).BUSCANDO POR DÓNDE EMPEZARPensando como si nos trataramos del intruso hemos de intentaranalizar su objetivo basico, una cuenta con permisos de administrador.Para ello hacemos un listado del directorio /etc y analizamos los