invasao.com.br

I. Caso Empresa Invadida

Início: janeiro/2002
Resultado: Concluido
680 participantes

Em parceria com a faculdade Marista e com a Fuctura Tecnologia

HISTÓRIA

A empresa Cobras Advogando desconfia que o seu servidor, na matriz de Tocantins, esta com sérios problemas de segurança!

Algumas informações, como as contas de usuários da empresa, vazaram e se encontra em um fórum na internet em poder do hacker!

O invasor invadiu a máquina e criou meios de poder voltar depois. Para isso criou novas contas, copiou arquivos importantes do sistema e escondeu informações importantes (achamos um arquivo deixado por ele)

Você terá que descobrir todas as alterações que o invasor fez no sistema, e depois nos enviar (com as senhas inclusive) para que possamos “apagar” e corrigir o sistema, tornando mais seguro.

O responsável local, Fábio Souza, ainda não conseguiu descobrir e retirar um possível trojan instalado na máquina e pensa em formatar o servidor. Isso vai causar grandes prejuizos!

Chegou até o conhecimento da Fuctura Tecnologia uma carta de auxilio pedindo um teste para avaliar a situação do servidor e o que podemos fazer para sanar o problema.

Por onde começo?

Temos uma história por trás desse desafio. Você também precisa ficar atento para as informações postadas no fórum. Lembramos que tudo depende de o quanto você vai ser rápido, muitos podem ganhar os primeiros 50 pontos, mas a segunda parte é a mais fácil e só haverá 1 vencedor.

Pontos:

  1. Achar o server – 5 pontos (o primeiro leva 10 pontos)
  2. Descobrir as contas no site – 5 pontos (o primeiro leva 10 pontos)
  3. Descobrir o backdoor deixado pelo invasor – 10 pontos
  4. Descobrir como se logar com a conta criada pelo invasor – 15 pontos
  5. Descobrir como acessar o arquivo secreto que o invasor criou – 15 pontos.
  6. Descobrir o hacker, INFORMANDO o seu nome e demais dados – 50 pontos

O problema é que o servidor é iniciado pela manhã, pela tarde e pela noite, então o IP muda! Acreditamos que isso também não vai ser problemas para você porque sabemos qual faixa você deve procurar.

Para controlar o desafio criamos o e-mail especifico para esse desafio.
Atenção: a cada furo descoberto, ou assim que você entrar no servidor, envie um e-mail com o seu nome e nick e detalhes de como encontrou.

Informações Importantes

Segundo a avaliação feita no servidor da Cobras Advogando, temos a possibilidade de encontrar o hacker que invadiu o sistema da empresa!

Isso mesmo, você vai ter que rastrear o hacker e entregá-lo as autoridades! Se ele notar que esta sendo procurado irá destruir todas as informações e será impossível saber o responsável.

Para entrar no servidor você precisa encontrar as 10 contas e senhas. O desafio só será finalizado quando você enviar as informações completas dos envolvidos.

Algumas dicas foram levantadas por nosso instrutor no servidor da empresa:

  • O invasor criou novas contas
  • O invasor deixou código de porta dos fundos
  • O invasor fez cópias importantes de arquivos que quando lidos depois poderiam fornecer informações para um novo acesso privilegiado.- Os logs foram apagados pelo invasor, mas ele esqueceu de um que mencionava um arquivo chamado de “segredos.zip”

A empresa, ao contrário, limitou os recursos acessados quando estamos no shell do sistema. Nenhum compilador, ferramentas como telnet e rlogin, wget, lynx… tudo é impedido.

x –x– x

.:. E-mail Recebido (conclusão)

O hacker criou uma conta com o nome ferhacker e a senha eh internet. Na pasta /home/ferhacker existe uma cópia do arquivo shadow (o que me permitiu obter a senha para ferhacker). E existe um arquivo chamado obterroot que é o backdoor utilizado.
Existe também um arquivo chamado nota que possui a seguinte mensagem: “Fábio,
vamos ganhar muito dinheiro com esse esquema da empresa. Segue as senhas que eu mudei das contas.” E logo depois das contas tem “Fernando V.” .

Então eu acredito que o hacker seja o Fernando Villarim (webmaster da empresa) e acredito que esse Fábio seja o Fábio Souza (gerente de TI). Acredito que eles armaram algum esquema pra prejudicar a empresa…

Encontrei essas portas abertas no server:

201.9.147.30
|___ 1 TCP Port Service Multiplexer
|___ 11 Active Users
|___ 22 SSH Remote Login Protocol
|___ SSH-1.99-OpenSSH_3.8.1p1 Debian-8.sarge.4.
|___ 23 Telnet
|___ 79 Finger
|___ 111 SUN Remote Procedure Call
|___ 119 Network News Transfer Protocol
|___ 143 Internet Message Access Protocol
|___ 540 uucpd
|___ 635 RLZ DBase
|___ 1524 ingres
|___ 2000 ?
|___ 5742 Wincrash V1.03
|___ 12345 Win95/NT Netbus backdoor
|___ 54320 Back Orifice 2000

Atenção para as três ultimas que possivelmente indicam a presença de trojans.
Tentei encontrar o ip do hacker mas não o encontrei utilizando o comando “last” e não consigo achar os logs (ja que os mesmos foram apagados…). Como encontro o ip dele?

Esse arquivo segredos.zip também parece não existir no server (já tentei com find / -name segredos.zip e com find / -group ferhacker e com find / -user ferhacker) e não encontro o arquivo. Ele está lá ?

Gostaria de receber um email dizendo se estou no caminho certo e o que está faltando… se possível é claro!

(usuário do forum preferiu não se identificar).

Desafios Apresentados:

    Artigos relacionados
  1. II.Caso Site de Pedofilia
  2. IV. Terrorismo
  3. Banco deve indenizar cliente que teve conta invadida
  4. Empresa garante ter criado 1º carro submersível do mundo
  5. Desafio Hacker, introdução
1 Star2 Stars3 Stars4 Stars5 Stars
31 votos
Tags: , , , , ,
Categorias: Desafio Hacker

 


Pernambuco Fuctura Tecnologia