Forense caso 03

by (C) João Eriberto Mota Filho <eriberto (a) eriberto pro br>

Caso para estudo, ligado diretamente ao artigo perícia forense computacional, existente neste wiki.

Última atualização: veja o rodapé desta página.

Um administrador de rede recebeu a tarefa de disponibilizar um determinado serviço na Internet. Assim sendo, aproveitou o horário do expediente para, dentre outras coisas, já instalar um sistema operacional. O escolhido foi o Debian GNU/Linux versão 6.0 Squeeze. No entanto, como a vida desse admin é cheia de atividades e ele certamente levaria alguns dias para concluir o seu trabalho, ele já sabia que só conseguiria fazer uma instalação básica de sistema. Era o dia 03 de agosto de 2010.

Para tentar administrar remotamente a máquina na fase de instalação e configuração, o referido admin instalou um serviço SSH com senha 123456. A máquina já estava disponível na Internet. Um amigo falou: "cara, não faz isso; essa senha é manjada...". A resposta do admin foi: "é só por uns dois dias; ninguém vai saber que essa máquina existe".

Como já era de se esperar, a referida máquina foi detectada e invadida por hackers (crackers), além de ter permanecido no ar, com a senha frágil, mais dias do que o que fora dito nessa situação.

Com base nas informações fornecidas pelo texto anterior, tente levantar a cronologia do ataque e todas as ações realizadas por invasores e bots. Estão disponíveis a imagem da memória (8.4 MB comprimidos, 61 MB descomprimidos) e a imagem da partição de HD da máquina atacada (150 MB comprimidos, 954 MB descomprimidos).

O hash MD5 da imagem comprimida da memória é f8fc3ba6de54a0bb09606ce6d9b7f8cc. O hash MD5 da imagem comprimida da partição é e6bcc8ce8a34d5593aa3ae7b96a25a27.