Contexto

Tenemos una máquina Ubuntu con un servidor FTP que incluye una backdoor. La vulnerabilidad es vsftpd 2.3.4 - Backdoor Command Execution, con código CVE-2011-2523, y sabemos que se explotó el 9 de mayo de 2022 sobre las 17:00.

Objetivos:

  1. Determinar la zona horaria del equipo afectado.
  2. Obtener la versión del sistema operativo.
  3. Obtener el PID del proceso de vsftpd.
  4. Averiguar la dirección IP del equipo afectado.
  5. Determinar la dirección IP del equipo atacante y el puerto en el que se ha instalado la puerta trasera.
  6. Averiguar si en el sistema quedó algún listado de comandos ejecutados por el atacante.
  7. Averiguar si el perpetrador accedió a algún archivo de datos.
  8. Determinar si en las capturas de red quedó algún rastro de los comandos ejecutados.
  9. Discernir a qué hora comenzó y terminó el ataque.

Ficheros:

  1. Imagen de disco
  2. Captura de memoria RAM durante el ataque.
  3. Captura de memoria RAM tras finalizar la conexión.
  4. Perfil de memoria
  5. Captura del tráfico de red.
  6. Fichero de hashes

Informes:

(Enlaces sólo para personal autorizado)

  1. Informe del forense