Contexto

Tenemos una máquina Ubuntu con un servidor SSH que ha sufrido un ataque tan sencillo como la fuerza bruta.

Objetivos:

  1. Obtener la zona horaria en la que está corriendo el sistema.
  2. Averiguar la dirección IP del equipo atacante.
  3. Averiguar las credenciales con las que ha logrado entrar.
  4. Obtener un listado de acciones realizadas por el atacante una vez comprometido nuestro servidor.
  5. Teniendo en cuenta que los usuarios son vagos a la hora de crear sus contrasñeas, y que eso no va a cambiar, discutir qué medidas de seguridad se pueden tomar en el equipo comprometido para que este ataque no vuelva a tener éxito.

Ficheros:

  1. Imagen de disco
  2. Captura de memoria RAM
  3. Perfil de memoria
  4. Fichero de hashes

Informes:

(Enlaces sólo para personal autorizado)

  1. Informe del forense