INFORMÁTICA FORENSE I

EJE 4

DETECTANDO CONEXIONES SSH EN LINUX

ESTUDIANTES
RAFAEL BOLAÑO MARTINEZ
JAVIER EDUARDO GOMEZ ARIAS

DOCENTE
CAMILO AUGUSTO CARDONA PATIÑO

FUNDACION UNIVERSITARIA DEL AREA ANDINA

VALLEDUPAR / 2023

1
 CONTENIDO
Introducción ………. 3
Desarrollo del eje ………. 4
Solución………. 5-9
Conclusiones ………. 10
Bibliografía ………. 11

2
 INTRODUCCION
En el vasto mundo de la informática forense, las conexiones SSH (Secure Shell)
en sistemas Linux representan un elemento esencial y a menudo crucial. SSH,
como protocolo de comunicación cifrada, es ampliamente utilizado para acceder y
administrar sistemas remotos de manera segura. Aunque su propósito principal es
legítimo y beneficioso, las conexiones SSH también pueden ser utilizadas por
actores maliciosos para acceder ilegalmente a sistemas, comprometer la
seguridad de datos sensibles o llevar a cabo actividades ilícitas en la red.
Este trabajo se sumergirá en el fascinante mundo de la informática forense
aplicada a las conexiones SSH en entornos Linux. Exploraremos cómo los
investigadores forenses se valen de herramientas y técnicas especializadas para
rastrear y analizar estas conexiones. Desde la identificación de actividades
sospechosas hasta la reconstrucción de eventos, este proceso nos permite
comprender quiénes accedieron a un sistema, cuándo lo hicieron y qué acciones
llevaron a cabo.
La importancia de esta investigación no puede subestimarse. En un mundo donde
la seguridad digital es una preocupación constante, la capacidad de seguir el
rastro de conexiones SSH maliciosas o potencialmente dañinas se ha convertido
en una defensa crítica para salvaguardar sistemas y datos. A lo largo de este
trabajo, descubriremos cómo los profesionales de la informática forense abordan
este desafío, brindando claridad en el mundo de las conexiones SSH en Linux y
contribuyendo a mantener la seguridad cibernética en la era digital.

3
 DESARROLLO DEL EJE
Objetivo:
El objetivo de este taller es que el estudiante sepa cómo se pueden detectar las
conexiones realizadas utilizando el servicio ssh en sistemas operativos Linux.
Descripción de la tarea:
Este taller es para desarrollarse en grupos de 2, máximo 4 estudiantes, los
integrantes de cada grupo deberán establecer conexiones ssh entre los
integrantes del grupo, después de esto deberán alcanzar el objetivo del taller.
Requisitos para la tarea:
• Realizar la lectura del eje 3.
• Tener una máquina virtual con cualquier versión de Linux recomendada
(Ubuntu). Si no cuentan con ella favor realizar la actividad propuesta llamada
simulación.
• Habilitar las conexiones ssh, si hay alguna duda por favor revisar el siguiente
video https://www.youtube.com/watch?v=7ky0goRfamY. El cual les ayudará en el
proceso.
Instrucciones:
• Organicen grupos de mínimo 2 personas y máximo 4.
• Establezcan las conexiones utilizando el protocolo ssh entre los integrantes del
grupo.
• Responder a las siguientes preguntas:
1. ¿Qué proceso identifica la conexión establecida usando el servicio ssh?
2. Con el comando w determinar ¿qué equipos están conectados?
3. Identificar IP fuente, puerto origen, IP destino, puerto destino. Utilizando el
comando netstat.
4. Verificar cómo el sistema detectó la conexión y cómo lo almacena en los logs
del sistema.
Se debe elaborar un documento mínimo 4 máximo 5, hojas, incluyendo
pantallazos y descripción de lo realizado en cada paso.

4
Solución:
Con nuestro grupo ya conformado procedemos a establecer las conexiones
utilizando el protocolo ssh, simulando el sistema operativo Ubuntu con VirtualBox,
el proceso es un caso simulado entre 4 equipos en el cual 3 de ellos intentan
acceder a un 4to equipo, este tipo de conexiones garantizan una conexión
encriptando la seguridad de extremo a extremo, y que se puedan establecer
conexiones a equipos que no sea posible su acceso local, también garantiza que
no sea posible la filtración de terceros a la red o al flujo de datos, para evitar que la
información caiga en manos de ciberdelincuentes, a continuación se verá el
análisis de cada una de las evidencias captadas durante una posible filtración no
autorizada a un equipo, lo que se quiere analizar es que día a día las tácticas de
ataques han ido cambiando y ya no solo se hacen a sistemas Windows, también a
sistemas basados en Linux, en el que aprovechan una brecha con el protocolo
SSH, a continuación veremos el análisis del material:
¿Qué proceso identifica la conexión establecida usando el servicio ssh?
Se realiza la conexión por medio del
protocolo SSH a través del comando
ssh <usuario>@<hostname>, se
especifica el puerto, ya que en
ocasiones el puerto no será el 22 lo
que sería ssh
<usuario>@<hostname>[:<puerto>]
Para este caso fue:
ssh forense1@ 52.247.65.37
Se utilizó la IP pública para poder
hacer la conexión, luego se solicita
credenciales y se obtiene el acceso,
se evidencia el acceso exitoso desde
una terminal, este acceso es muy
utilizado para controlar servidores a
través de Internet, y actualmente es
uno de los protocolos mas utilizados
por los ciberdelincuentes, con una
técnica que aprovechaban los
atacantes gracias a una versión
OpenSSH para mantener conexiones
con servidores, según un análisis de
WINDOWS DEFENDER en el que
lograron rastrear un inteligente OpenSSH, en el que aprovechan una puerta
trasera.

5
La brecha se utilizaba para robar credenciales, a lo que se le llamo Linux/Ebury y
venia de dos formas, en la primera se encontró que era una biblioteca maliciosa y
la otra un parche a los principales binarios de OpenSSH, en el análisis de
WINDOWS DEFENDER también se encontró que más de 25.000 servidores
fueron afectados y más de 10.000 siguen afectados y que todos fueron
comprometidos con la puerta trasera Linux/Ebury OpenSSH, Ebury es un troyano
SSH rootkit/Backdoor para sistemas operativos Linux y Unix con el fin de robar
credenciales de inicio de sesión SSH tanto de conexiones entrantes como
salientes, toda esa información que se recopila es enviada a otros servidores o
equipos controlados por los ciberdelincuentes. Este poderoso troyano proporciona
una puerta trasera para que los atacantes puedan mantener conexiones a los
equipos infectados, sin importar que los usuarios mantengan actualizando la
contraseña.
Con el comando w determinar ¿qué equipos están conectados?
- WHO
Con este comando logramos verificar cuantas
conexiones están establecidas en la terminal
de un equipo, lo interesante de este comando
es que nos da unos datos que se pueden
utilizar para establecer conexión con uno de
esos otros hosts conectados, se evidencian
porque aparecen en la terminal como pts/
(0,3,4,5), pts se refiere a pseudo terminal
existentes dentro de otra terminal, al igual que
también muestra la IP publica de cada equipo
conectado como se ve en la imagen, veremos
como se aprovecha el resultado del comando
who, con el comando pkill -9 –t pts/ (0,3,4,5)
depende de la cantidad de pseudo terminales
que hayan, con este comando se puede ir
terminando la conexión de cada host
conectado por SSH, en la ilustración se
evidencia como se fue sacando equipo por equipo, también se evidencia con el
comando WHO que al final solo nos muestra un solo equipo conectado a la
terminal, ese comando (pkill -9 –t pts./ (numero)) puede servir como herramienta si
la victima logra evidenciar anormalidades en el equipo y así terminar las
conexiones por SSH, establecidas en el equipo, también se fue probando con el
comando WHO para verificar conexiones establecidas.

6
En esta ilustración también se verifica unos archivos .TXT, el cual se valida con el
comando ls – c, Salió a partir de una prueba de dejar algún archivo dentro del
host, esta prueba se hace para verificar que si un intruso logra ingresar puede
dejar un archivo infectado y así contaminar una red.

Identificar IP fuente, puerto origen, IP destino, puerto destino. Utilizando el

comando netstat:
Para verificar la actividad en la red se utilizará el comando netstat con el indicador
–rn el cual nos arroja la siguiente información, que en detalle seria:

❖ Destination: Nos da resultado de las IP`s existentes en la red.

❖ Gateway: Las direcciones de las puertas de enlace de cada una de las IP`s
❖ Genmask: Las máscaras de red.
❖ Flags: en este se evidencian algunas letras tales como, U (ruta activa), G
(Utiliza puerta enlace) y H (El objetivo es un Host),
❖ MSS: Indica el tamaño predeterminado para las conexiones TCP a través
de la ruta.
❖ Window: Indica el tamaño predeterminado para las conexiones TCP a
través de esa ruta.
❖ Irtt: Indica el tiempo de ida y vuelta, el kernel lo utiliza para validar los
mejores parámetros del protocolo TCP.
❖ Iface: Interfaz por la que se enviaran paquetes para la ruta conectada, se
evidencia que todas están por la eth0.
En el escenario, se realiza una prueba de cambio de contraseña al usuario
forense1 el cual hace de víctima, el proceso se realiza sin que el usuario note del
cambio, el proceso se realiza para ver lo vulnerable que logra ser un equipo
cuando el atacante logra ingresar, se ve la magnitud del riesgo que corre un
usuario, las empresas o alguien en su equipo personal.

7
Verificar cómo el sistema detectó la conexión y cómo lo almacena en los
logs del sistema.

Se evidencian los resultados del comando cat auth.log, en el cual se encuentra

var/log, encontramos varios logs entre ellos auth.log que nos sirve para validar los
acceso exitosos y fallidos.

Como se logra evidenciar fue aceptada una conexión de la IP 181.50.255.9.

8
También se logra evidenciar el proceso que se realizó con el comando pkill, donde
se desconecta algunos equipos, estelog, es muy importante estas evidencias para
poder analizarlas y verificar la cantidad de conexiones que hizo un atacante a un
servidor o equipo personal con el fin de poder robar información.
Por último, se hace una prueba de mandar pagar el equipo el cual se logró
ingresar, y sale exitoso luego se cancela y se hace la desconexión de la terminal,
quedando cerrada la conexión.

9
 CONCLUSIONES
A lo largo de este trabajo, hemos explorado el emocionante y esencial campo de
la informática forense aplicada a las conexiones SSH en entornos Linux. Estas
conexiones, que sirven como pasarelas seguras para administrar sistemas
remotos, han demostrado ser tanto una bendición como una maldición en el
mundo digital. Aunque su propósito legítimo facilita la gestión y el mantenimiento
de sistemas, también pueden abrir la puerta a actividades maliciosas y amenazas
cibernéticas.
Nuestra investigación nos ha llevado a través de un viaje que comenzó con la
identificación de actividades sospechosas. Hemos explorado las técnicas y
herramientas especializadas que los expertos en informática forense emplean
para rastrear el origen y la naturaleza de las conexiones SSH en Linux. Hemos
visto cómo, mediante la recopilación de registros, análisis de patrones y
reconstrucción de eventos, los investigadores pueden pintar un cuadro claro de
quién, cuándo y qué acciones se llevaron a cabo en un sistema remoto.
En última instancia, este trabajo destaca la relevancia continua de la informática
forense en el panorama de la seguridad cibernética. Las conexiones SSH en Linux
representan solo una parte del vasto espectro de desafíos digitales que
enfrentamos. Sin embargo, a través del riguroso análisis y la dedicación de los
expertos en informática forense, podemos seguir descifrando los secretos de las
conexiones SSH, manteniendo así la integridad y la seguridad de los sistemas en
un mundo cada vez más conectado.

10
 REFERENCIAS

Areandina, u. (s.f.). PDF APRENDIZAJE EJE 4 INFORMÁTICA FORENSE I,

Miguel Quintero de: https://areandina.instructure.com/courses/38643

Manual de Linux, manejo y configuración de Álvaro Alea

https://areandina.instructure.com/courses/38643
INSTALAR Ubuntu 20.04 en VirtualBox 2021 por Redes Plus
https://www.youtube.com/watch?v=GEx046EHphI

Análisis forense en sistemas Linux – Obteniendo información de Security Art Work

https://www.securityartwork.es/2012/05/29/analisis-forense-en-sistemas-linux-
obteniendo-informacion-parte-1/
¿Cómo funciona el SSH? De Deyimar A. https://www.hostinger.co/tutoriales/que-
es-ssh

11