Contexto
Tenemos una máquina Ubuntu con versión 20.04.1 en la red 192.168.1.134. Esta máquina dispone de un servicio phpMyAdmin vulnerable. Dicho servicio se encuentra en el puerto 3306 y es visible para el resto de equipos conectados a la misma red. Recientemente hemos tenido constancia de que el servidor ha sufrido ataques tales como:
- Intentos de login por fuerza bruta para obtener credenciales del servicio.
- Escaneos de la base de datos, probablemente haciendo uso de una herramienta automática conocida como sqlmap.
Objetivos:
- Obtener la zona horaria en la que está corriendo el sistema.
- Averiguar el nombre del equipo atacado, la distribución y versión de linux.
- Averiguar la dirección IP del equipo atacado.
- Identificar el puerto en el que está corriendo MySQL.
- Averiguar la dirección IP del equipo atacante.
- Obtener pruebas de que el equipo recibió peticiones con SQL injection.
- Averiguar sobre qué hora comenzó dicho ataque.
- Obtener pruebas de que el atacante intentó obtener el archivo /etc/passwd, y ver qué herramienta empleó para ello.
- Confirmar que la herramienta empleada para la inyección SQL automatizada era SQLMap.
- Obtener pruebas de que el atacante intentó entrar al MySQL por fuerza bruta, si tuvo éxito o no, y de tenerlo, con qué usuario ha entrado.
- Obtener pruebas de que el atacante creó un usuario en el MySQL para posteriores exfiltraciones.
Ficheros:
- Imagen de disco
- Captura de memoria RAM durante el incidente
- Captura de memoria RAM tras el incidente
- Perfil de memoria
- Fichero de hashes
Informes:
(Enlaces sólo para personal autorizado)
).