Incident Response, Security and Forensics"

.

jueves, 27 de noviembre de 2008

Creando scripts forenses con LogParser (II)

Identificando ataques por fuerza bruta

Pues eso, el titulo es de lo más sugerente, pero en esta ocasión vamos a utilizar dos scripts.

El primero nos va a contar el número de inicios de sesión incorrectos, de esta forma nos hacemos una idea de la cantidad de 'logones' por usuario. Este es el script y a continuación el resultado






El segundo script va un poco más alla y nos cuenta los logones incorrectos por usuario, horas y por dias.



Con estos dos scripts podemos estudiar si alguno de estos usuarios es utilizado por alguna herramienta automatizada que intenta por medio de diccionario u otro medio entrar al sistema.

En la anterior imagen, podemos comprobar que el Administrador,Anna y Luis, tienen demasiados fallos en el inicio de sesión, por lo que que habría que estudiar cual es el motivo. En el script podemos ajustar el tiempo para que lo muestre por minutos, dandonos una mejor visión.

0 comentarios: