La Aventura de Aprender > Sistemas > Linux > 2.8 – [Reto] Matrix: Huellas en el Código

Print Friendly, PDF & Email

2.8 – [Reto] Matrix: Huellas en el Código

Autor:

ciberkaos

Tema:

Publicado:

Actualizado:

La Resistencia ha detectado alteraciones en el sistema.

Alguien ha entrado sin permiso. El sistema (Linux) registra todas las trazas, pero necesitan operadores capacitados para reconstruir lo ocurrido.

El alumno se convierte en Analista de Zion, encargado de rastrear la actividad de los usuarios creados en el Reto 1: neo, trinity, apoc, switch, smith.

El objetivo:

Descubrir quién ha accedido, cuándo, desde dónde, qué ha tocado, y si ha conseguido privilegios dentro de Matrix.

FASE 1 — La lluvia de código (logs en tiempo real)

Orden del Oráculo: observar el flujo del sistema en directo.

  1. Ver los mensajes del sistema en tiempo real: sudo journalctl -f
  2. Cambiar entre usuarios mientras journalctl está abierto (por ejemplo, su - trinity, luego exit).
  3. Detectar en el log: • el evento de autenticación • si el login se ha permitido o ha fallado

Resultado esperado: reconocer entradas como “session opened”, “session closed”, fallos PAM, etc.

:

Cada login es una “vibración en el código de Matrix”, y journalctl es la pantalla donde llueve el código verde.

FASE 2 — El rastro de entrada y salida

Aquí usamos last, who, w.

1. ¿Quién está conectado ahora mismo?

who
w

2. ¿Qué usuarios han entrado en el sistema en los últimos días?

last

3. ¿Se detectan accesos fallidos?

(En Distros Debian/Ubuntu)

sudo zgrep -i "failed" /var/log/auth.log*

Preguntas tipo misión:

  • ¿Trinity accedió ayer?
  • ¿Apoc intentó entrar varias veces y falló?
  • ¿Neo ha usado sudo recientemente?
  • ¿Smith existe en los logs aunque no debería moverse por el sistema?

FASE 3 — Sudo: quién ha manipulado Matrix

sudo journalctl -u sudo

o en Ubuntu también:

sudo grep 'COMMAND=' /var/log/auth.log

Descubrir si “Neo ha modificado normas de la simulación” o si “Smith ha intentado elevarse”.

Tareas:

  1. Ver qué comandos se han ejecutado con sudo.
  2. Identificar el usuario que los ejecutó.
  3. Detectar intentos de sudo fallidos.

Bonus para rizar el rizo:

sudo journalctl | grep sudo

FASE 4 — Huellas en el historial: El Código dejado atrás

Revisar qué comandos ha ejecutado cada usuario.

Para ello, entrar como cada uno:

sudo su - trinity
history

o inspeccionar los archivos:

  • ~/.bash_history

~/.zsh_history (si procede)

Preguntas narrativas:

  • ¿Quién creó un archivo dentro de /simulacion fuera de su hora de trabajo?
  • ¿Quién intentó entrar a /backdoor aunque no tenía permisos?
  • ¿Qué usuario ejecutó comandos sospechosos como sudo su?
  • ¿Acaso Smith intentó copiar algo desde mission-data?

FASE 5 — Localizar la intrusión: reconstrucción forense

“Durante la noche, uno de los usuarios ha intentado manipular el código de Matrix.

El sistema registró 3 accesos fallidos, un uso indebido de sudo y una entrada en /simulacion fuera del horario.” (Realiza con un usuario las acciones para mantener la ficción)

Tu misión es:

  1. Localizar esos eventos.
  2. Determinar qué usuario lo hizo.
  3. Extraer las líneas exactas de log donde ocurrió.
  4. Preparar un informe breve tipo forense: • usuario implicado • hora • evento • interpretación técnica

Aquí se cruzan:

  • journalctl
  • auth.log
  • last
  • history
  • permisos
Print Friendly, PDF & Email

Lecciones:

Más entradas