Professional Documents
Culture Documents
B2014585 CF Lab03
B2014585 CF Lab03
LAB 03
ĐIỀU TRA CÁC HỆ THỐNG LINUX
(Linux forensics)
- Các sinh viên bị phát hiện sao chép bài của nhau sẽ nhận 0đ cho tất cả bài thực hành
của môn này.
- Bài nộp phải ở dạng PDF, hình minh họa phải rõ ràng chi tiết. Hình minh hoạ chỉ cần
chụp ở nội dung thực hiện, không chụp toàn màn hình.
1.7. Tìm kiếm thông tin và trả lời các câu hỏi bên dưới (chụp hình minh họa kết quả
thực hiện cho từng câu)
1.7.1. Trình duyệt chrome được cài đặt như thế nào:
- Trình duyệt Chrome đã được cài đặt sử dụng lệnh “apt install -y
google-chrome-stable”. Phiên bản được cài đặt là
100.0.4896.75-1.
- Sau khi đã được cài đặt, google-chrome-stable sau đó đã được
gỡ bỏ khỏi hệ thống sử dụng lệnh “apt remove -y
google-chrome-stable ”
$ cat ./var/log/apt/history.log | grep -i chrome
1.7.2. Thời gian trình duyệt chrome được cài đặt vào hệ thống:
- Trình duyệt Chrome được cài đặt vào ngày: 2022-04-06 lúc
02:39:17
$ cat ./var/log/apt/history.log | grep -i -B1 chrome
Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ
1.7.5. Thời gian lần cuối người dùng user2 đăng nhập vào hệ thống:
- Thời gian lần cuối người dùng user2 đăng nhập vào hệ thống là:
Thứ Tư, ngày 6 tháng 4 năm 2022, từ 02:14 cho đến 13:05, tổng
cộng là 10 giờ 50 phút.
last -f ./var/log/wtmp
2.2. Mount tập tin và xác địnhphân vùng Linux cần làm việc:
$ mkdir webserver
$ sudo ewfmount Webserver.E01 ./webserver
$ sudo mmls ./webserver/ewf1
2.3. Mount phân vùng Linux:
$ sudo kpartx -av webserver/ewf1
$ mkdir lab0302
$ sudo mount -o ro,noatime,noexec,noload /dev/VulnOSv2-vg/root
lab0302
$ cd lab0302
2.4. Tìm kiếm thông tin và trả lời các câu hỏi bên dưới (chụp hình minh họa kết quả
thực hiện cho từng câu)
2.4.1. Hệ điều hành và timezone của hệ thống?
- Hệ điều hành: Ubuntu
- Timezone: Europe/Brussels
$ cat ./etc/os-release
$ cat ./etc/timezone
2.4.2. Người dùng cuối đăng nhập vào hệ thống. Đăng nhập từ đâu?
- Người dùng cuối cùng đăng nhập vào hệ thống là “mail”, đăng
nhập từ địa chỉ IP 192.168.210.131 vào Thứ Bảy, ngày 5 tháng
10, từ 07:23 đến 07:24 (khoảng thời gian là 1 phút).
$ sudo last -f ./var/log/wtmp | head -n 20
Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ
2.4.3. Hiển thị thông tin những lần người dùng đăng nhập KHÔNG thành công
vào hệ thống. Từ thông tin có được có thể kết luận điều gì?
- Kết luận: tần suất cao của các lần thử đăng nhập không thành
công, đặc biệt là với tài khoản root, có thể chỉ ra một nỗ lực tấn
công brute-force.
$ sudo last -f ./var/log/btmp | head -n 20
Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ
2.4.4. Kiểm tra thông tin trong log file /var/log/auth.log để khẳng định
kết luận ở Câu 2.4.3.
- Kết luận, log files cho thấy có cả hoạt động hợp lệ lẫn nghi ngờ về
an ninh, bao gồm cả nỗ lực đăng nhập không thành công có thể là
tấn công brute-force, cũng như việc cài đặt và cấu hình dịch vụ
SSH.
$ sudo cat ./var/log/auth.log | grep "ssh"
Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ
2.4.5. Tiếp tục phân tích log file /var/log/auth.log, chuyện gì xảy ra sau
thời điểm bên dưới? Những người dùng nào có hành vi đáng ngờ trên hệ
thống (thời điểm Oct 5 13:13:53 )?
- Người dùng “mail” đã mở một phiên làm việc SSH vào hệ thống
(session opened for user mail by (uid=0)). => Ngườii dùng “mail”
đã đăng nhập thành công vào hệ thống qua SSH.
- Thông tin này phù hợp với những gì đã được phân tích từ file
/var/log/auth.log trước đó, trong đó có các nỗ lực đăng nhập từ xa
và các phiên đăng nhập thành công từ các địa chỉ IP này.
- Có dấu hiệu của việc đăng nhập từ tty1 và pts/1, cũng như pts/0,
đây là các terminal sessions trên Linux, với tty1 thường chỉ đến
console đăng nhập trực tiếp và pts/* chỉ đến các phiên đăng nhập
từ xa thông qua SSH hoặc Telnet.
- Các địa chỉ IP 192.168.210.131 và 192.168.56.101 xuất hiện, cho
thấy các kết nối từ xa đến hệ thống từ những địa chỉ này.
$ strings ./var/log/lastlog
2.4.7. Hiển thị thông tin các người dùng đáng ngờ ở 2.4.5
$ cat ./etc/passwd | grep 'mail\|php'
2.4.8. Hiển thị các lệnh người dùng mail đã thực thi. Có thể kết luận điều gì?
- Có thể kết luận rằng người dùng mail” đã có quyền truy cập vào
quyền root, thực hiện các lệnh và có thể đã cố gắng thay đổi mật
khẩu cho người dùng khác trên hệ thống. Việc người dùng “mail”
có khả năng sử dụng sudo su - để chuyển sang người dùng root
cũng cho thấy tài khoản này đã có toán quyền truy cập.
$ sudo cat ./var/mail/.bash_history
2.4.9. Hiển thị các lệnh người dùng root đã thực thi.
$ sudo cat ./root/.bash_history
Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ
- Sử dụng Google tìm thông tin về các lỗ hổng bảo mật của web
framework
- Phân tích log của Apache server để xác nhận:
$ cat ./var/log/apache2/access.log | grep
"POST"
Pháp y máy tính (CT297) - Trường CNTT&TT - Đại học Cần Thơ