Cyberdefenders Hammered Walkthrough

 

Escenario:

Este desafío lo lleva al mundo de los sistemas virtuales y los datos de registro confusos. En este desafío, como analista de redes sociales, averigüe qué sucedió con este honeypot de servidor web utilizando los registros de un servidor posiblemente comprometido.

Preguntas

1.- ¿Qué servicio utilizaron los atacantes para acceder al sistema?

El servicio atacado por los atacantes fue el servicio SSH. La información se obtuvo del archivo auth.log. Para hacer el análisis filtré primero los valores del archivo auth.log y luego los analicé con Excel.

Con Excel filtré los resultados del archivo auth.log. 

Como se muestra en la imagen de varias IP se realizó fuerza bruta contra el servicio SSH.

2.- ¿Cuál es la versión del sistema operativo del sistema de destino? (una palabra)

La versión del sistema operativo es 4.2.4-1ubuntu3. La información se obtuvo del archivo kern.log. Este fichero registra todos los logs del kernel.

3.- ¿Cuál es el nombre de la cuenta comprometida?

El nombre de la cuenta comprometida es root. La información se obtuvo del archivo auth.log e hice el análisis con Excel. 

4.- Considere que cada IP única representa un atacante diferente. ¿Cuántos atacantes pudieron acceder al sistema?

Considerando que cada dirección IP única representa un atacante diferente, el número de atacante que pudieron acceder al sistema son 6.

Para llegar al resultado filtré por el campo resultado por "failed password" para obtener las direcciones IP atacante. Luego con las direcciones IP identificadas filtré por los campos IP, resultado. Donde campo IP seleccione las direcciones IPs de atacantes y luego por el campo resultado por "Accepted password" dando como resultado 6 direcciones IPs.

5.- ¿Qué dirección IP del atacante inició sesión exitosamente en el sistema la mayor cantidad de veces?

6.- ¿Cuántas solicitudes se enviaron al servidor Apache?

Al servidor apache se realizaron 365 solicitudes.

La respuesta apunta al archivo www-access.log y como se muestra en la imagen hubo 365 solicitudes.

7.- ¿Cuántas reglas se han agregado al firewall?

Se agregaron 6 reglas de firewall.

8.- Uno de los archivos descargados en el sistema de destino es una herramienta de escaneo. Proporcione el nombre de la herramienta.

La herramienta de escaneo descargada es nmap.

9.- ¿Cuándo fue el último inicio de sesión del atacante con IP 219.150.161.20? Formato: MM/DD/YYYY HH:MM:SS AM

La última vez que inición sesión del atacante con IP 219.150.161.20 fue 04/19/2010 05:56:05 AM

Para saber el año lo obtuve listando los archivos con el coamndo ls -l de Linux.

10.- La base de datos mostró dos mensajes de advertencia, el más importante y peligroso.

El mensaje de advertencia más importante y peligros es "WARNING: mysql.user contains 2 root accounts without password!". La información se obtuvo del archivo deamon.log.

11.- Se crearon varias cuentas en el sistema de destino. ¿Cuál fue creado el 26 de abril a las 04:43:15?

El usuario creado 28 de abril a las 04:43:15 fue wind3str0y. La información se obtuvo desde el archivo auth.log.

12.- Pocos atacantes utilizaban un proxy para ejecutar sus análisis. ¿Cuál es el agente de usuario correspondiente utilizado por este proxy?
El agente de usuario utilizado por el servidor proxy es pxyscand/2.1. La información se obtuvo del archivo www-access.log ubicado en el directorio Apache2.

Happy Hack!!!