Log analysis

Dans ce Sherlock very easy, vous allez vous familiariser avec les logs auth.log et wtmp d’Unix. Nous explorerons un scénario où un serveur Confluence a été touché par une attaque brute-force sur son service SSH. Après avoir obtenu l’accès au serveur, l’attaquant a effectué des activités supplémentaires, que nous pouvons suivre en utilisant auth.log. Bien que auth.log soit principalement utilisé pour l’analyse du brute-force, nous allons explorer tout le potentiel de cet artefact dans notre enquête, y compris les aspects d’élévation de privilèges, de persistance et même une certaine visibilité sur l’exécution des commandes.