En las fases 0x00 y 0x01 aseguramos el perímetro.
Ahora miramos hacia dentro.
Si un atacante salta el muro, ¿te enterarás?
La “consciencia del sistema” se basa en tres pilares: Tiempo (cuándo), Registros (qué) y Procesos (quién).
0x00. Cronometría (NTP)
Sin una hora sincronizada, los logs no sirven como evidencia forense. Un ataque que ocurre a las 03:00 AM debe registrarse a las 03:00 AM, no en el futuro ni en el pasado.
sudo timedatectl set-timezone Europe/Madrid
sudo timedatectl set-ntp on
Verifica con timedatectl.
El estado “System clock synchronized: yes” es obligatorio.
0x01. Log Analysis & Hunting
Los logs en Linux son dispersos.
Usaremos herramientas clásicas y modernas para filtrar el ruido.
El enfoque clásico (/var/log)
Para vigilancia en tiempo real de accesos (SSH, sudo):
tail -f /var/log/auth.log
Para buscar intentos fallidos históricos:
grep "Failed" /var/log/auth.log
El enfoque moderno (Journalctl)
Systemd centraliza los logs en binario.
Es más potente para filtrar por servicios específicos:
# Ver logs solo del servicio SSH
journalctl -u ssh
# Ver logs del kernel (Boot actual)
journalctl -k -b
# Ver logs en tiempo real (Follow)
journalctl -f
0x02. Threat Hunting
Un atacante intentará elevar privilegios o esconder procesos. Aquí tienes dos comandos de “Caza” esenciales:
Los binarios con bit SUID permiten a un usuario normal ejecutar como root. Un atacante suele dejar una bash con SUID escondida.
Comando para encontrar TODOS los archivos con permisos SUID peligrosos (-4000):
find / -perm -4000 2>/dev/null
Análisis de Procesos:
- `ps aux` : Foto completa del estado actual.
- `pstree -p` : Árbol genealógico (detecta procesos hijos huérfanos sospechosos).
“Security is not a product, it’s a mindset.”
[ EOF ]