Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Materia: Seguridad en Redes Tema: Detección de vulnerabilidades e intrusiones
Elaboró: Francisco Medina López 2015-‐2
1
Actividad No. 11: Reporte forense sobre intrusión a servidor GNU/Linux Escenario Una compañía le ha contratado para elaborar un reporte sobre una instrucción a un servidor GNU/Linux. El servidor hospeda una página para el intercambio de fotografías. Objetivo Elaborar un reporte forense sobre una posible intrusión a un sistema operativo GNU/Linux.
Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Materia: Seguridad en Redes Tema: Detección de vulnerabilidades e intrusiones
Elaboró: Francisco Medina López 2015-‐2
2
Desarrollo
1. Inicie una sesión remota como root en el servidor comprometido.
2. Cree un directorio de trabajo con el comando: mkdir /root/caso210415
3. Recopile información volátil del servidor con los siguientes comandos: a. (date ; w ; date ; who ; date ; last) >
/root/caso210415/usuarios.txt b. c. (date ; ps elfww ) > /root/caso210415/procesos1.txt d. (date ; ps auxww ) > /root/caso210415/procesos2.txt e. (cd / ; tar -‐cvzf /root/caso210415/evidencia.tgz
etc/hosts etc/fstab etc/passwd etc/shadow var/log/dmesg var/log/messages var/log/apache2) > /root/caso210415/tar.txt
4. Genera un valor hash (md5 y sha) de cada uno de los archivos generados.
5. Realiza un análisis de la información recopilada.
6. Elabora un reporte.