Сценарий
Внешний сотрудник подключился к внутреннему форуму с помощью гостевой WiFi-сети и украл креды суперпользователя. Для расследования предоставлены логи доступа к форуму и полный дамп базы данных в формате sqlite3.
Вопросы
- Какое имя пользователя внешнего сотрудника?
- Какой IP-адрес использовал внешний сотрудник?
- Какой идентификатор вредоносного поста?
- Какая полная ссылка, куда отправляются данные?
- Когда внешний сотрудник залогинился в систему под административной учеткой (в формате UTC)?
- На форуме в открытом виде содержится пароль для LDAP, какой он?
- Какой user agent администратора?
- Когда внешний сотрудник добавил себя в группу администраторов (в формате UTC)?
- Когда внешний сотрудник скачал резервную копию базы данных (в формате UTC)?
- Какой размер резервной копии базы данных, согласно логам доступа?
Расследование
Откроем базу данных и сразу перейдем в таблицу phpbb_users. В этой таблице обнаружим пользователя apoole1 и его IP-адрес 10.10.0.78. Идентификатор этого пользователя 52.
Выполним SQL-запрос, чтобы узнать идентификатор поста, оставленного внешним сотрудником.
select * from phpbb_posts where poster_id == 52;
Также посмотрим на сообщение, оставленное этим пользователем, и найдем ссылку на адрес стилера.
В таблице phpbb_config найдем LDAP-пароль.
В таблице phpbb_log видим логи аудита важных событий, среди которых время логина внешнего сотрудника как администратора и его добавление в группу администраторов, учитывая, что в базе данных значение указано в формате UTC.
IP-адрес администратора 10.255.254.2, по нему в логах найдем его user-agent.
По слову backup найдем размер файла резервной копии базы данных и дату ее загрузки, учитывая, что приведено время в формате UTC+01.
