Invasao.com.br

 

Google
 

Matérias e tutoriais, Escolha em qual seção você deseja entrar!

1 Star2 Stars3 Stars4 Stars5 Stars
3 votos
Adicione a del.icio.us tecnorati blogblogs rec 6

I. Caso Empresa Invadida

 Março 18th, 2008

Início: janeiro/2002
Resultado: Concluido
680 participantes

Em parceria com a faculdade Marista e com a Fuctura Tecnologia

HISTÓRIA

A empresa Cobras Advogando desconfia que o seu servidor, na matriz de Tocantins, esta com sérios problemas de segurança!

Algumas informações, como as contas de usuários da empresa, vazaram e se encontra em um fórum na internet em poder do hacker!

O invasor invadiu a máquina e criou meios de poder voltar depois. Para isso criou novas contas, copiou arquivos importantes do sistema e escondeu informações importantes (achamos um arquivo deixado por ele)

Você terá que descobrir todas as alterações que o invasor fez no sistema, e depois nos enviar (com as senhas inclusive) para que possamos “apagar” e corrigir o sistema, tornando mais seguro.

O responsável local, Fábio Souza, ainda não conseguiu descobrir e retirar um possível trojan instalado na máquina e pensa em formatar o servidor. Isso vai causar grandes prejuizos!

Chegou até o conhecimento da Fuctura Tecnologia uma carta de auxilio pedindo um teste para avaliar a situação do servidor e o que podemos fazer para sanar o problema.

Por onde começo?

Temos uma história por trás desse desafio. Você também precisa ficar atento para as informações postadas no fórum. Lembramos que tudo depende de o quanto você vai ser rápido, muitos podem ganhar os primeiros 50 pontos, mas a segunda parte é a mais fácil e só haverá 1 vencedor.

Pontos:

  1. Achar o server - 5 pontos (o primeiro leva 10 pontos)
  2. Descobrir as contas no site - 5 pontos (o primeiro leva 10 pontos)
  3. Descobrir o backdoor deixado pelo invasor - 10 pontos
  4. Descobrir como se logar com a conta criada pelo invasor - 15 pontos
  5. Descobrir como acessar o arquivo secreto que o invasor criou - 15 pontos.
  6. Descobrir o hacker, INFORMANDO o seu nome e demais dados - 50 pontos

O problema é que o servidor é iniciado pela manhã, pela tarde e pela noite, então o IP muda! Acreditamos que isso também não vai ser problemas para você porque sabemos qual faixa você deve procurar.

Para controlar o desafio criamos o e-mail especifico para esse desafio.
Atenção: a cada furo descoberto, ou assim que você entrar no servidor, envie um e-mail com o seu nome e nick e detalhes de como encontrou.

Informações Importantes

Segundo a avaliação feita no servidor da Cobras Advogando, temos a possibilidade de encontrar o hacker que invadiu o sistema da empresa!

Isso mesmo, você vai ter que rastrear o hacker e entregá-lo as autoridades! Se ele notar que esta sendo procurado irá destruir todas as informações e será impossível saber o responsável.

Para entrar no servidor você precisa encontrar as 10 contas e senhas. O desafio só será finalizado quando você enviar as informações completas dos envolvidos.

Algumas dicas foram levantadas por nosso instrutor no servidor da empresa:

  • O invasor criou novas contas
  • O invasor deixou código de porta dos fundos
  • O invasor fez cópias importantes de arquivos que quando lidos depois poderiam fornecer informações para um novo acesso privilegiado.- Os logs foram apagados pelo invasor, mas ele esqueceu de um que mencionava um arquivo chamado de “segredos.zip”

A empresa, ao contrário, limitou os recursos acessados quando estamos no shell do sistema. Nenhum compilador, ferramentas como telnet e rlogin, wget, lynx… tudo é impedido.

x –x– x

.:. E-mail Recebido (conclusão)

O hacker criou uma conta com o nome ferhacker e a senha eh internet. Na pasta /home/ferhacker existe uma cópia do arquivo shadow (o que me permitiu obter a senha para ferhacker). E existe um arquivo chamado obterroot que é o backdoor utilizado.
Existe também um arquivo chamado nota que possui a seguinte mensagem: “Fábio,
vamos ganhar muito dinheiro com esse esquema da empresa. Segue as senhas que eu mudei das contas.” E logo depois das contas tem “Fernando V.” .

Então eu acredito que o hacker seja o Fernando Villarim (webmaster da empresa) e acredito que esse Fábio seja o Fábio Souza (gerente de TI). Acredito que eles armaram algum esquema pra prejudicar a empresa…

Encontrei essas portas abertas no server:

201.9.147.30
|___ 1 TCP Port Service Multiplexer
|___ 11 Active Users
|___ 22 SSH Remote Login Protocol
|___ SSH-1.99-OpenSSH_3.8.1p1 Debian-8.sarge.4.
|___ 23 Telnet
|___ 79 Finger
|___ 111 SUN Remote Procedure Call
|___ 119 Network News Transfer Protocol
|___ 143 Internet Message Access Protocol
|___ 540 uucpd
|___ 635 RLZ DBase
|___ 1524 ingres
|___ 2000 ?
|___ 5742 Wincrash V1.03
|___ 12345 Win95/NT Netbus backdoor
|___ 54320 Back Orifice 2000

Atenção para as três ultimas que possivelmente indicam a presença de trojans.
Tentei encontrar o ip do hacker mas não o encontrei utilizando o comando “last” e não consigo achar os logs (ja que os mesmos foram apagados…). Como encontro o ip dele?

Esse arquivo segredos.zip também parece não existir no server (já tentei com find / -name segredos.zip e com find / -group ferhacker e com find / -user ferhacker) e não encontro o arquivo. Ele está lá ?

Gostaria de receber um email dizendo se estou no caminho certo e o que está faltando… se possível é claro!

(usuário do forum preferiu não se identificar).

Desafios Apresentados:

Postado por: Fuctura Tecnologia

Tags: , , , , ,
Categoria(as): Desafio Hacker | Voltar para Home


> Discuta essa matéria Contribua com nossa equipe

Pernambuco Fuctura Tecnologia