Análisis ¿forense?

Hoy han venido los del servicio de informática a ver los PCs que nos han hackeado. Esperábamos a algún experto en análisis forense, para que examinara los equipos, evaluara la situación y encontrara los "regalitos" que nuestro intruso nos hubiera dejado para asegurarse la entrada al sistema, así como otras "cosillas" que se dejara para seguir escaneando equipos.

Y, parafraseando a Gila, si los que han venido eran "forenses", sería porque conducen un Ford. O al menos eso me ha parecido, porque se han limitado a mirar los logs de seguridad, tras lo que han llegado a la dificilísima conclusión de que nos han hecho un ataque por fuerza bruta al ssh... Y dicho esto, nos han preguntado qué pensamos hacer (vaciar el equipo e instalar un linux más actualizado, y endurecer la seguridad del ssh), y como les ha parecido bien, se han ido... sin mirar los otros 5 equipos afectados.

Por supuesto, una vez que Pepe Gotera y Otilio (era el "canijo" el que medio hacía algo), el jefe me ha encargado "borrar lo que ha metido el hacker". Y allá que voy.

A ver... el .bash_history... sí, se ha descargado las herramientas aquí... anda, una carpeta oculta dentro de otra carpeta oculta... y esto... parce un bouncer. Anda, un ./httpd... y este PC no llevaba ningún servidor web... te pillé. Y un ./sshd duplicado... mira, mira. Así que por eso tengo estos dos puertos abiertos. ¿Y desde dónde se ha lanzado todo esto?

ln -la... Huy, mira, si en este rc.d me sale un archivillo de otro color... ¿será...? sí, mira tú, es un script... que lanza "cositas" desde /usr/bin/.tmp, ale, otro directorio que me pulo. Pero antes, vamos a echar un ojo a lo que hay... y parece un sniffer ¡con un script para mandar los logs por email! ¡Y un par de módulos para el kernel para borrar su huellas! Pues claro que no había los ni .bash_history... Pues nada, a pulirme el directorio.

¿Y...? Si le cambiamos la clave del root... ¿se queda fuera? cat /etc/passwd... nada raro... cat /etc/shadow... ¿news con contraseña? Te pillé. Fuera contraseña... y éste usuario lo deshabilitamos, por si acaso, que en el otro equipo le había cambiado la contraseña.

Parece mentira, la de cosas que se encuentra uno sin tener ni idea de cómo se hace esto seriamente. Ahora sólo queda volver a conectar a la red el cacharro, y cruzar los dedos para que el lunes no hayan llegado más avisos de que anda escaneando puertos que no debe.