La detección de cualquier intrusión en su sistema es un paso muy importante hacia la respuesta a incidentes. La respuesta a incidentes es bastante amplia, pero siempre es mejor comenzar con algo pequeño. Mientras realiza la respuesta a incidentes, siempre debe concentrarse en los sistemas sospechosos y las áreas donde parece que podría haber una infracción. Haciendo uso de Incident Response, puede detectar una gran cantidad de ataques en el nivel primario.
El propósito de la respuesta a incidentes no es más que Live Forensics. La investigación se puede realizar para obtener cualquier evidencia digital. Este artículo se centra principalmente en cómo se puede realizar la respuesta a incidentes en un sistema Linux. Entonces, para comenzar con esta hoja de trucos, encienda su máquina Linux y abra la terminal para realizar estos comandos.
Tabla de Contenidos:
¿Cuál es la respuesta al incidente?
Cuentas de usuarios
Entradas de Logs o registros
Recursos de sistemas
Procesos
Servicios
Archivos
Red
¿Cuál es la respuesta al incidente?
Cuentas de usuarios
Entradas de Logs o registros
Recursos de sistemas
Procesos
Servicios
Archivos
Red
¿Cuál es la respuesta al incidente?
La respuesta a incidentes se puede definir como un curso de acción que se toma cada vez que ocurre un incidente de seguridad de la red o la computadora. Como respondedor de incidentes, siempre debe estar consciente de lo que debe y no debe estar presente en su sistema.
Los incidentes de seguridad que podrían superarse mediante:
- Examinando los procesos en ejecución
- Al tener conocimientos sobre el contenido de la memoria física.
- Recopilando detalles sobre el nombre de host, la dirección IP, los sistemas operativos, etc.
- Recopilación de información sobre los servicios del sistema.
- Identificando a todos los usuarios conocidos y desconocidos conectados al sistema.
- Inspeccionando las conexiones de red, los puertos abiertos y cualquier actividad de la red.
- Al determinar los distintos archivos presentes
Cuentas de usuarios
Como respuesta a incidentes, es muy importante investigar la actividad de la cuenta de usuario. Le ayuda a comprender los usuarios registrados, los usuarios existentes, los inicios de sesión habituales o inusuales, los intentos fallidos de inicio de sesión, los permisos, el acceso por sudo, etc. Los diversos comandos para verificar la actividad de la cuenta de usuario:
Para identificar si hay una cuenta en su sistema que pueda parecer sospechosa. Este comando cat generalmente recupera toda la información sobre la cuenta de usuario. Para hacerlo, escriba:
1 | cat /etc/passwd |
La opción "Setuid" en Linux es un permiso de archivo único. Entonces, en un sistema Linux, cuando un usuario desea realizar un cambio de contraseña, puede ejecutar el comando "passwd". Como la cuenta root esté marcada como setuid, puede obtener un permiso temporal de esta forma;
1 | passwd -S [User_Name] |
grep se utiliza para buscar en texto plano líneas que coincidan con una expresión regular. : 0: se utiliza para mostrar archivos "UID 0" en el archivo /etc/passwd.
1 | grep :0: /etc/passwd |
Para identificar y mostrar si un atacante creó un usuario temporal para realizar un ataque, escriba
1 | find / -nouser -print |
/etc/shadow contiene una contraseña encriptada, detalles sobre las contraseñas y solo es accesible para los usuarios root.
1 | cat /etc/shadow |
El archivo de grupo muestra la información de los grupos utilizados por el usuario. Para ver los detalles, escriba
1 | cat /etc/group |
Si desea ver información sobre los privilegios de usuarios y grupos que se mostrarán, se puede ver el archivo /etc/sudoers
1 | cat /etc/sudoers |
Entradas de Logs o registros
Para ver los informes del inicio de sesión más reciente de un usuario en particular o de todos los usuarios en el sistema Linux, puede escribir,
1 | lastlog |
Para identificar cualquier inicio de sesión o autenticación SSH y telnet curiosos en el sistema, puede ir al directorio /var/log/ y luego escribir
1 | tail auth.log |
Logs de SSH
Logs de Telnet
Para ver el historial de comandos que el usuario ha escrito, puede escribir historial con menos o incluso puede mencionar hasta el número de comandos que escribió en último lugar. Para ver el historial, puede escribir
1 | history | less |
Recursos de sistemas
Los recursos del sistema pueden decirle mucho sobre la información de registro del sistema, el tiempo de actividad del sistema, el espacio de memoria y la utilización del sistema, etc.
Para saber si su sistema Linux ha estado funcionando horas extras o para ver cuánto tiempo ha estado funcionando el servidor, la hora actual en el sistema, cuántos usuarios han iniciado sesión actualmente y los promedios de carga del sistema, puede escribir
1 | uptime |
Para ver la utilización de la memoria por parte del sistema en Linux, la memoria física y de intercambio utilizada en el sistema, así como los búferes utilizados por el kernel, puede escribir,
1 | free |
Como respondedor de incidentes para verificar la información detallada de la memoria RAM, el espacio de memoria disponible, los búferes y el intercambio en el sistema, puede escribir
1 | cat /proc/meminfo |
Como respuesta a incidentes, es su responsabilidad verificar si hay un montaje desconocido en su sistema, para verificar el montaje presente en su sistema, puede escribir
1 | cat /proc/mounts |
Procesos
Como respondedor de incidentes, siempre debe tener curiosidad cuando mira los resultados generados por su sistema. Su curiosidad debería obligarlo a ver los programas que se están ejecutando actualmente en el sistema, si es necesario ejecutarlos y si deberían estar ejecutándose, y el uso del uso de la CPU por estos procesos, etc.
Para obtener una visualización dinámica y en tiempo real de todos los procesos que se ejecutan en el sistema Linux, resumen de la información del sistema y la lista de procesos y sus números de identificación o hilos administrados por el Kernel de Linux, puede hacer uso de
1 | top |
Para ver el estado del proceso de su Linux y el sistema de procesos actualmente en ejecución y el PID. Para identificar procesos anormales que podrían indicar cualquier actividad maliciosa en el sistema Linux, puede usar
1 | ps aux |
Para mostrar más detalles sobre un proceso en particular, puede usar,
1 | lsof –p [pid] |
Servicios
Los servicios del sistema Linux se pueden clasificar en servicios de red y de sistema. Los servicios del sistema incluyen el estado de los servicios, cron, etc. y los servicios de red incluyen transferencia de archivos, resolución de nombres de dominio, firewalls, etc. Como respondedor de incidentes, usted identifica si hay alguna anomalía en los servicios.
Para encontrar cualquier servicio que se ejecute de forma anormal, puede utilizar
1 | service –-status-all |
El respondedor de incidentes debe buscar tareas y trabajos programados sospechosos. Para encontrar las tareas programadas, puede utilizar,
1 | cat /etc/crontab |
Para resolver problemas de configuración de DNS y aprovechar una lista de palabras clave con valores que proporcionan los distintos tipos de información de resolución, puede utilizar
1 | more /etc/resolv.conf |
Para verificar el archivo que traduce nombres de host o nombres de dominio a direcciones IP, lo cual es útil para probar cambios en el sitio web o en la configuración de SSL, puede usar
1 | more /etc/hosts |
Para verificar y administrar el filtrado de paquetes IPv4 y NAT en sistemas Linux, puede usar iptables y puede hacer uso de una variedad de comandos como:
1 | iptables -L -n |
Archivos
Como respuesta a incidentes, debe estar al tanto de cualquier archivo de apariencia anormal en su sistema.
Para identificar cualquier archivo demasiado grande en su sistema y sus permisos con su destino, puede usar
1 | find /home/ -type f -size +512k -exec ls -lh {} \; |
Siempre que se ejecuta cualquier comando, en el que se establece el bit SUID, su UID efectivo se convierte en el propietario de ese archivo. Entonces, si desea encontrar todos esos archivos que contienen el bit SUID, puede recuperarlo escribiendo el comando
1 | find /etc/ -readable -type f 2>/dev/null |
Como respuesta a incidentes, si desea ver un archivo anómalo que ha estado presente en el sistema durante 2 días, puede usar el comando,
1 | find / -mtime -2 -ls |
Configuraciones de la Red
Como respondedor de incidentes, debe estar atento a la actividad y configuración de la red. Es extremadamente vital identificar la imagen general de una red de sistema y su estado. Para obtener la información de la actividad de la red, puede utilizar varios comandos.
1 | ifconfig |
Para enumerar todos los procesos que están escuchando puertos con su PID, puede usar
1 | lsof -i |
Para mostrar todos los puertos de escucha en la red, use
1 | netstat -nap |
Para mostrar la caché ARP del sistema, puede escribir
1 | arp -a |
El $ PATH muestra una lista de directorios que le dice al shell qué directorios debe buscar archivos ejecutables, a fin de verificar los directorios que se encuentran en su ruta que puede usar.
1 | echo $PATH |
Conclusión:
Por lo tanto, uno puede utilizar estos comandos como respuesta a incidentes y mantener sus sistemas Linux alejados de la amenaza.
Autor: Jeenali Kothari es un entusiasta del análisis forense digital y disfruta de la redacción de contenido técnico.
Puedes contactarla aquí
Notas
Este artículo fue traducido literalmente al español por la cantidad de recursos que son prioritarios a la hora de tener una incidencia en un sistema linux, si desean consultar el artículo original, les dejo como siempre la fuente original de la misma;
No hay comentarios.:
Publicar un comentario