0x02: System Awareness

// MISIÓN: Situational Awareness

// TARGET: Logs, Time & Anomalies

// REF: Manual Logs & Journalctl

En las fases 0x00 y 0x01 aseguramos el perímetro. 

Ahora miramos hacia dentro. 

Si un atacante salta el muro, ¿te enterarás? 

La "consciencia del sistema" se basa en tres pilares: Tiempo (cuándo), Registros (qué) y Procesos (quién).

0x00. Cronometría (NTP)

Sin una hora sincronizada, los logs no sirven como evidencia forense. Un ataque que ocurre a las 03:00 AM debe registrarse a las 03:00 AM, no en el futuro ni en el pasado.

sudo timedatectl set-timezone Europe/Madrid
sudo timedatectl set-ntp on

Verifica con timedatectl. 

El estado "System clock synchronized: yes" es obligatorio.

0x01. Log Analysis & Hunting

Los logs en Linux son dispersos. 

Usaremos herramientas clásicas y modernas para filtrar el ruido.

El enfoque clásico (/var/log)

Para vigilancia en tiempo real de accesos (SSH, sudo):

tail -f /var/log/auth.log

Para buscar intentos fallidos históricos:

grep "Failed" /var/log/auth.log

El enfoque moderno (Journalctl)

Systemd centraliza los logs en binario. 

Es más potente para filtrar por servicios específicos:

# Ver logs solo del servicio SSH
journalctl -u ssh
Ver logs del kernel (Boot actual)
journalctl -k -b
Ver logs en tiempo real (Follow)
journalctl -f

0x02. Threat Hunting

Un atacante intentará elevar privilegios o esconder procesos. Aquí tienes dos comandos de "Caza" esenciales:

Los binarios con bit SUID permiten a un usuario normal ejecutar como root. Un atacante suele dejar una bash con SUID escondida.

Comando para encontrar TODOS los archivos con permisos SUID peligrosos (-4000):

find / -perm -4000 2>/dev/null

Análisis de Procesos:

• ps aux : Foto completa del estado actual.
• pstree -p : Árbol genealógico (detecta procesos hijos huérfanos sospechosos).

"Security is not a product, it's a mindset."

[ EOF ]

---