// Proyecto: Registros de acceso de Apache Tomcat
// OS Entorno: Linux
0x00 — Introducción
DISCLAIMER
Los datos de este log contiene procesos maliciosos, direcciones IP, URLs de C2 y rutas de archivos que pertenecen a un repositorio público y es un escenario controlado.
En mi laboratorio, he estado trabajando sobre una muestra de incidentes centrada en el análisis de logs web procedentes de un servidor Apache Tomcat.
Este tipo de análisis es fundamental para los analistas de ciberseguridad, ya que nos permite reconstruir la línea temporal completa de un ataque, desde el reconocimiento inicial hasta la persistencia.
La evidencia principal se concentra en el archivo de logs de acceso. He detectado un compromiso severo caracterizado por ataques de fuerza bruta al panel de administración, seguidos del despliegue de una webshell en el servidor.
A continuación, desglosaré la metodología del atacante y los artefactos que he identificado.
0x01 — El Escenario
| Elemento | Detalle |
|---|---|
| Amenaza | Compromiso de panel de administración Tomcat y subida de Webshell (.jsp). |
| Objetivo del Ataque | Ejecución remota de código (RCE) y persistencia en el servidor. |
| Evidencia Base | web_attack_and_isp_webshell_localhost_access_log.txt |
| Misión | Trazar las direcciones IP, identificar la metodología de acceso y establecer un plan de contención efectivo. |
Al enfrentarme a un log masivo, mi primera acción es segmentar y perfilar el comportamiento de las direcciones IP involucradas.
He aislado tres direcciones IP principales: 192.168.105.83, 192.168.105.76 y 192.168.105.64.
La IP 192.168.105.83 es la responsable de iniciar el ataque.
El análisis de las peticiones revela un claro intento de compromiso sobre la ruta /manager/html, que corresponde al panel de gestión de aplicaciones de Tomcat.
Se observa un patrón de múltiples peticiones que devuelven un código HTTP 401.
Repentinamente, el código cambia a un HTTP 200 (OK) validado bajo el usuario 'admin'.
Todo apunta a un ataque de fuerza bruta sobre las credenciales de Tomcat que ha tenido éxito.
Posteriormente, la misma IP ejecuta un escáner altamente ruidoso, buscando directorios sensibles del sistema operativo (como boot.ini o etc/passwd) lo que sugiere la automatización de la recolección de información post-explotación.
0x03 — Persistencia y Ejecución de Webshell
El atacante cambia su vector y comienza a operar desde la IP 192.168.105.76
Aprovechando el acceso previo al manager de Tomcat, proceden a la subida de un archivo WAR malicioso, el cual se despliega en el servidor y expone un endpoint en la ruta /error/cmd.jsp
He comprobado que las peticiones POST enviadas al archivo cmd.jsp varían en la longitud de su respuesta en bytes (1636, 698, etc.)
Esta variabilidad es un indicador crítico de interacción activa el atacante está enviando comandos interactivos al servidor y recibiendo las salidas (stdout) correspondientes de la terminal del sistema comprometido.
El Favicon
- Durante la revisión para el IR Report, he detectado peticiones hacia el archivo favicon.ico por parte del atacante.
- Técnicamente, los scripts automatizados (como Nmap o dirbuster) no suelen solicitar este recurso estático; los navegadores web sí.
- Esta anomalía confirma que, tras la fase automatizada inicial, hubo un operador humano al teclado interactuando con la webshell a través de un navegador.
0x04 — Mitigación y Plan Post-Contención
Un error común durante la respuesta a incidentes de este tipo es aplicar bloqueos a nivel de red como única medida de contención.
Si simplemente bloqueamos la IP 192.168.105.76 en el Firewall, estamos tratando un síntoma, no la enfermedad.
He determinado que el adversario ya está rotando direcciones IP (vimos la .83, la .64 y la .76)
Dado que el atacante ya posee credenciales de administrador validadas y persistencia mediante archivos WAR, bloquear una IP específica no romperá el canal de C2.
El adversario cambiará a una cuarta IP y continuará explotando la ruta /error/cmd.jsp
Plan de Mejora y Remediación:
- Aislamiento y Observación: Aislar el servidor lógicamente para prevenir movimiento lateral sin apagarlo, preservando evidencias en memoria.
- Limpieza de Persistencia Eliminar todo rastro de archivos .war no autorizados y destruir el archivo /error/cmd.jsp del entorno de despliegue de Tomcat.
- Revocación de Credenciales: Proceder con el cambio inmediato y el hardening de la contraseña del usuario admin de Tomcat.
- Auditoría y Parcheado: Investigar por qué el ataque de fuerza bruta fue tan efectivo. ¿Se trataba de contraseñas por defecto? ¿El panel estaba expuesto públicamente sin MFA o restricciones de origen? Es mandatorio parchear y securizar el servicio.
[ EOF ] "Security is not a product, it's a mindset."