FATOS
DA
VIDA...
Brasília, DF, 08 de agosto de
2010
Um administrador de rede recebeu a tarefa de
disponibilizar um determinado serviço na Internet. Assim sendo,
aproveitou o horário do expediente para, dentre outras coisas,
já instalar um sistema operacional. O escolhido foi o Debian
GNU/Linux versão 6.0 Squeeze. No entanto, como a vida desse
admin é cheia de atividades e ele certamente levaria alguns dias
para concluir o seu trabalho, ele já sabia que só
conseguiria fazer uma instalação básica de
sistema. Era o dia 03 de agosto de 2010.
Para tentar administrar remotamente a máquina na fase de
instalação e configuração, o referido admin
instalou um serviço SSH com senha 123456. A máquina
já estava disponível na Internet. Um amigo falou: "cara,
não faz isso; essa senha é manjada...". A resposta do
admin foi: "é só por uns dois dias; ninguém vai
saber que essa máquina existe".
Como já era de se esperar, a referida máquina foi
detectada e invadida por hackers (crackers), além de ter ficado
mais dias do que o que fora dito nessa
situação.
João Eriberto Mota Filho
Perícia
Forense
Computacional - Caso 03
Exercício:
com
base
nas
informações fornecidas pelo texto anterior,
tente
levantar a cronologia do ataque e todas
as ações realizadas por invasores e bots. Estão
disponíveis a imagem
da memória (8.4 MB comprimidos, 61 MB descomprimidos) e a imagem da partição de HD
da máquina atacada (150
MB comprimidos, 954 MB descomprimidos).
O hash MD5 da imagem comprimida da memória é
f8fc3ba6de54a0bb09606ce6d9b7f8cc.
O hash MD5 da imagem comprimida
da partição é e6bcc8ce8a34d5593aa3ae7b96a25a27.
