preguntas forenses de Linux (configuración ssh, actividad del usuario)

¡Bienvenido al mundo salvaje y maravilloso de los forenses! Así que tienes tus imágenes. Antes de hacer cualquier otra cosa, asegúrese de obtener una suma de comprobación de las imágenes de disco y también haga una copia de ellas. La copia significa que puede trabajar en ella en lugar del original, lo que le permite volver al estado original si cambia algo accidentalmente en el sistema. El hash le permitirá validar su copia de trabajo contra el original. Para este propósito, cualquier algoritmo de hash debería ser suficiente.

Para entender realmente lo que está sucediendo, o lo que sucedió, en un sistema, primero debes averiguar qué era. Es obvio que está viendo algún tipo de derivado de UNIX, probablemente un Linux, pero debe intentar determinar a qué familia pertenece. ¿Es un RedHat, un Debian, un BSD, Solaris, o incluso algo completamente fuera de lugar, como AIX o HP-UX?

El tipo de sistema que está inspeccionando determinará exactamente qué archivos de registro necesita navegar y cómo determina dónde se almacenan las configuraciones. El consejo para comenzar en /var/log es bastante bueno, esa es la ubicación de registro predeterminada para los sistemas Linux. Dependiendo del sabor específico, también puede encontrar información útil en /var/log/audit de los subsistemas de auditoría (si están instalados) o en los sistemas RBAC / MAC como SELinux o AppArmor.

Respondiendo a sus preguntas de configuración específicas, la información de la cuenta se almacena en varios archivos: /etc/passwd , /etc/shadow , /etc/group , /etc/gshadow . La construcción de cada uno es bien entendida y fácilmente investigada. Para otros servicios, los archivos de configuración específicos y su construcción requerirán tanto investigación como experiencia basada en la comprensión de su parte.

Realizar una investigación adecuada posterior al incidente requiere que uno tenga un conocimiento profundo del sistema que está analizando. No solo tendrá que entender qué archivos mirar, sino también qué archivos implican qué, cómo las diferentes configuraciones pueden interactuar entre sí, y (al grabar) cómo se construye realmente un sistema de archivos. Haber sido arrojado al extremo profundo, por así decirlo, será complicado, pero puede ser gratificante. No es sin mérito que el lema del equipo de seguridad ofensiva sea Try Harder ™. Si bien este trabajo no es exactamente ofensivo, los principios definitivamente se aplican aquí.

El archivo maestro para las cuentas de usuario es /etc/passwd . Si los hackers han tratado de ocultar sus pistas, es posible que no hayan creado una entrada en /etc/shadow . Es posible que ni siquiera hayan creado una entrada en /etc/passwd , sino en alguna otra base de datos. Esto les habría requerido agregar una entrada a la línea passwd en /etc/nsswitch.conf .

Las entradas en /etc/passwd y /etc/shadow aparecen en el orden en que se agregaron, si los piratas informáticos utilizaron las herramientas habituales para agregar cuentas. Por supuesto, pueden haber editado los archivos manualmente.

/etc/ssh/ssh_config (que puede estar ubicado directamente en /etc , esto depende de la distribución) es El archivo de configuración de todo el sistema para el cliente SSH. Hay un archivo correspondiente sshd_config para el servidor SSH. Compare estos archivos con el valor predeterminado de la distribución.

Si aún no lo sabes, debes averiguar de qué distribución se trata. Como tiene una máquina virtual que puede ejecutar (asegúrese de aislarla de la red y de guardar copias de la imagen original), probablemente muestre un mensaje en el momento del arranque. Con una imagen de disco, busque archivos como /etc/redhat_release , /etc/debian_version , etc. Tenga en cuenta que estos archivos pueden indicar un derivado (por ejemplo, /etc/debian_version también está presente en Ubuntu). Si hay un comando lsb_release o un archivo /etc/lsb-release , tiene la información precisa. Todo esto es asumiendo que nadie ha tratado de confundir las cosas.

/var/log probablemente contiene información útil, pero encontrarla puede ser difícil. La mayoría de las acciones tomadas por los piratas informáticos han sido registradas, pero pueden haber tratado de ocultar sus huellas. Sin embargo, pueden no haber sido exhaustivos. Es difícil eliminar todos los registros incriminatorios mientras se conservan los suficientes legítimos para no hacer que los registros sean sospechosos: si no hay registros durante mucho tiempo, faltan registros de los trabajos cron, etc., esto indica que alguien borró un período de tiempo.

Si los piratas informáticos editaron los archivos de registro, los rastros del contenido anterior pueden permanecer en los sectores no utilizados. Las herramientas de tallado pueden ayudarlo a encontrar estos sectores.

"Otros chanchullos" pueden incluir cosas como insertar un rootkit en el kernel (en cuyo caso no se puede confiar en los informes del sistema en vivo, pero la imagen del disco no se encontrará, al menos no directamente), ocultando una shell root de setuid en algún lugar, cambiando la contraseña a la cuenta raíz (o agregando una cuenta con uid 0 y otro nombre), ...