{"id":22200,"date":"2025-03-06T00:05:00","date_gmt":"2025-03-06T03:05:00","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=22200"},"modified":"2025-02-26T18:17:32","modified_gmt":"2025-02-26T21:17:32","slug":"forense-digital-com-linux-tecnicas-praticas-parte-12","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/03\/basico\/forense-digital-com-linux-tecnicas-praticas-parte-12\/","title":{"rendered":"Forense Digital com Linux – T\u00e9cnicas Pr\u00e1ticas – Parte 12"},"content":{"rendered":"\n
\n
\n

An\u00e1lise de Ataques de For\u00e7a Bruta com Express\u00f5es Regulares no Linux<\/strong><\/p>\n

Ataques de for\u00e7a bruta s\u00e3o uma das t\u00e9cnicas mais comuns utilizadas por invasores para ganhar acesso n\u00e3o autorizado a sistemas. Esses ataques envolvem tentativas repetidas de login, geralmente via SSH ou FTP, at\u00e9 que uma credencial v\u00e1lida seja descoberta. Neste artigo, vamos explorar como as express\u00f5es regulares (regex) no Linux podem ser utilizadas para analisar logs e identificar padr\u00f5es de ataques de for\u00e7a bruta em uma m\u00e1quina que est\u00e1 sendo alvo de m\u00faltiplas conex\u00f5es SSH e FTP.<\/p>\n

\u00a0<\/h3>\n

1. Introdu\u00e7\u00e3o ao cen\u00e1rio<\/strong><\/p>\n

Imagine uma m\u00e1quina Linux que est\u00e1 recebendo um grande n\u00famero de tentativas de login via SSH e FTP. O administrador do sistema notou um aumento incomum no tr\u00e1fego de rede e suspeita que a m\u00e1quina esteja sendo alvo de um ataque de for\u00e7a bruta. Nosso objetivo \u00e9 analisar os logs do sistema para identificar padr\u00f5es de ataque, como IPs suspeitos, hor\u00e1rios de pico e credenciais testadas.<\/p>\n<\/div>\n<\/div>\n

\u00a0<\/p>\n

\n
\n

2. Analisando logs de SSH<\/strong><\/p>\n

Os logs de SSH s\u00e3o armazenados em\u00a0\/var\/log\/auth.log<\/code>\u00a0na maioria das distribui\u00e7\u00f5es Linux. Vamos come\u00e7ar analisando este arquivo para identificar tentativas de login mal-sucedidas.<\/p>\n

\u00a0<\/p>\n

2.1. Identificando Tentativas de Login Falhas<\/strong><\/p>\n

Para buscar todas as tentativas de login falhas, podemos usar o comando\u00a0grep<\/code> com a express\u00e3o “Failed password”:<\/p>\n

\n
grep<\/span> \"Failed password\"<\/span> \/var\/log\/auth.log

<\/strong><\/pre>\n<\/div>\n
Este comando retorna todas as linhas que cont\u00eam a mensagem “Failed password”, indicando tentativas de login mal-sucedidas.<\/p>\n
\u00a0<\/p>\n
2.2. Extraindo IPs suspeitos<\/strong><\/p>\n
Para identificar os IPs que est\u00e3o realizando as tentativas de login, podemos usar uma regex que capture endere\u00e7os IP:<\/p>\n
\n
grep<\/span> -oE<\/span> \"([0-9]{1,3}\\.){3}[0-9]{1,3}\"<\/span> \/var\/log\/auth.log |<\/span> sort<\/span> |<\/span> uniq<\/span> -c<\/span> |<\/span> sort<\/span> -nr

<\/span><\/strong><\/pre>\n<\/div>\n
Aqui, a regex\u00a0([0-9]{1,3}\\.){3}[0-9]{1,3}<\/code>\u00a0captura endere\u00e7os IP, e os comandos\u00a0sort<\/code>,\u00a0uniq -c<\/code>\u00a0e\u00a0sort -nr<\/code>\u00a0organizam os resultados por frequ\u00eancia, mostrando quais IPs est\u00e3o realizando mais tentativas.<\/p>\n
\u00a0<\/p>\n
2.3. Identificando Usu\u00e1rios Alvo<\/strong><\/p>\n
Para descobrir quais usu\u00e1rios est\u00e3o sendo alvo do ataque, podemos usar:<\/p>\n
\n
grep<\/span> -oP<\/span> \"Failed password for \\K[^\\s]+\"<\/span> \/var\/log\/auth.log |<\/span> sort<\/span> |<\/span> uniq<\/span> -c<\/span> |<\/span> sort<\/span> -nr

<\/span><\/strong><\/pre>\n<\/div>\n
Aqui, a regex\u00a0Failed password for \\K[^\\s]+<\/code>\u00a0extrai o nome do usu\u00e1rio ap\u00f3s a mensagem “Failed password for”.<\/p>\n
\u00a0<\/h3>\n
3. Analisando logs de FTP<\/strong><\/p>\n
Se o servidor FTP estiver em execu\u00e7\u00e3o, os logs podem estar em\u00a0\/var\/log\/vsftpd.log<\/code>\u00a0ou\u00a0\/var\/log\/xferlog<\/code>, dependendo da configura\u00e7\u00e3o. Vamos analisar esses logs para identificar tentativas de login falhas.<\/p>\n
\u00a0<\/p>\n
3.1. Buscando tentativas de login falhas<\/strong><\/p>\n
Para buscar tentativas de login falhas no FTP, use:<\/p>\n
\n
grep<\/span> \"FAIL LOGIN\"<\/span> \/var\/log\/vsftpd.log<\/strong><\/pre>\n<\/div>\n
Este comando retorna todas as linhas que cont\u00eam a mensagem “FAIL LOGIN”.<\/p>\n
\u00a0<\/p>\n
3.2. Extraindo IPs e Usu\u00e1rios<\/strong><\/p>\n
Para extrair IPs e usu\u00e1rios associados \u00e0s tentativas falhas, podemos usar:<\/p>\n
\n
grep<\/span> -oP<\/span> \"FAIL LOGIN: Client \\\"<\/span>\\K[^\\\"<\/span>]+\"<\/span> \/var\/log\/vsftpd.log |<\/span> sort<\/span> |<\/span> uniq<\/span> -c<\/span> |<\/span> sort<\/span> -nr

<\/span><\/strong><\/pre>\n<\/div>\n
Aqui, a regex\u00a0FAIL LOGIN: Client \\\"\\K[^\\\"]+<\/code>\u00a0captura o IP do cliente ap\u00f3s a mensagem “FAIL LOGIN: Client”.<\/p>\n
\u00a0<\/h3>\n
4. Correlacionando dados com Awk<\/strong><\/p>\n
Para uma an\u00e1lise mais avan\u00e7ada, podemos usar\u00a0awk<\/code> para correlacionar dados de diferentes logs. Por exemplo, para contar o n\u00famero de tentativas de login por IP e usu\u00e1rio:<\/p>\n
\n
awk<\/span> '\/Failed password\/ {print $(NF-3), $9}'<\/span> \/var\/log\/auth.log |<\/span> sort<\/span> |<\/span> uniq<\/span> -c<\/span> |<\/span> sort<\/span> -nr

<\/span><\/strong><\/pre>\n<\/div>\n
Este comando extrai o IP ($(NF-3)<\/code>) e o usu\u00e1rio ($9<\/code>) de cada linha com “Failed password” e conta as ocorr\u00eancias.<\/p>\n
\u00a0<\/p>\n
5. Identificando hor\u00e1rios de pico<\/strong><\/p>\n
Para identificar os hor\u00e1rios em que o ataque est\u00e1 mais ativo, podemos extrair o hor\u00e1rio das tentativas de login:<\/p>\n
\n
grep<\/span> -oP<\/span> \"Failed password.*\\K[0-9]{2}:[0-9]{2}:[0-9]{2}\"<\/span> \/var\/log\/auth.log |<\/span> uniq<\/span> -c

<\/span><\/strong><\/pre>\n<\/div>\n
Aqui, a regex\u00a0Failed password.*\\K[0-9]{2}:[0-9]{2}:[0-9]{2}<\/code>\u00a0captura o hor\u00e1rio das tentativas falhas.<\/p>\n<\/div>\n
\u00a0<\/p>\n
\n
6. Bloqueando IPs suspeitos<\/strong><\/p>\n
Ap\u00f3s identificar os IPs suspeitos, podemos bloquear temporariamente o acesso usando\u00a0iptables<\/code>:<\/p>\n
\n
iptables -A<\/span> INPUT -s<\/span> 203.0<\/span>.113.45 -j<\/span> DROP

<\/strong><\/pre>\n<\/div>\n
Este comando bloqueia o IP\u00a0203.0.113.45<\/code>. Para uma solu\u00e7\u00e3o mais permanente, considere usar ferramentas como\u00a0fail2ban<\/code>.<\/p>\n<\/div>\n
\u00a0<\/p>\n
\n
7. Conclus\u00e3o<\/strong><\/p>\n
Express\u00f5es regulares s\u00e3o uma ferramenta poderosa para an\u00e1lise forense em sistemas Linux, especialmente quando se trata de identificar e caracterizar ataques de for\u00e7a bruta. Ao combinar regex com ferramentas como\u00a0grep<\/code>,\u00a0awk<\/code>\u00a0e\u00a0iptables<\/code>, \u00e9 poss\u00edvel identificar padr\u00f5es de ataque, extrair evid\u00eancias e tomar medidas para proteger o sistema.<\/p>\n
No entanto, \u00e9 importante lembrar que a an\u00e1lise forense \u00e9 um processo complexo que requer a integra\u00e7\u00e3o de m\u00faltiplas t\u00e9cnicas e ferramentas. A pr\u00e1tica constante e a atualiza\u00e7\u00e3o cont\u00ednua s\u00e3o essenciais para se manter \u00e0 frente no campo din\u00e2mico da seguran\u00e7a cibern\u00e9tica.<\/p>\n<\/div>\n
\u00a0<\/p>\n
Refer\u00eancias Bibliogr\u00e1ficas<\/strong><\/p>\n
\n
    \n
  • \n
    Robbins, A. (2005).\u00a0Unix in a Nutshell<\/em>. O’Reilly Media.<\/p>\n<\/li>\n
  • \n
    Friedl, J. E. F. (2006).\u00a0Mastering Regular Expressions<\/em>. O’Reilly Media.<\/p>\n<\/li>\n<\/ul>\n
    Estas refer\u00eancias fornecem uma base s\u00f3lida para o uso de express\u00f5es regulares e t\u00e9cnicas de an\u00e1lise forense, complementando o conte\u00fado pr\u00e1tico apresentado neste artigo.<\/p>\n<\/div>\n
    \n
    \n
    \n
    \u00a0<\/div>\n<\/div>\n
    \n
    \u00a0<\/div>\n<\/div>\n
    \n
    \u00a0<\/div>\n<\/div>\n
    \n
    \u00a0<\/div>\n<\/div>\n<\/div>\n
    \u00a0<\/div>\n<\/div>\n<\/div>\n
    \u00a0<\/div>\n\n\n","protected":false},"excerpt":{"rendered":"
    An\u00e1lise de Ataques de For\u00e7a Bruta com Express\u00f5es Regulares no Linux Ataques de for\u00e7a bruta s\u00e3o uma das t\u00e9cnicas mais comuns utilizadas por invasores para ganhar acesso n\u00e3o autorizado a sistemas. Esses ataques envolvem tentativas repetidas de login, geralmente via SSH ou FTP, at\u00e9 que uma credencial v\u00e1lida seja descoberta. Neste artigo, vamos explorar como […]<\/p>\n","protected":false},"author":2,"featured_media":22196,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,109],"tags":[],"class_list":["post-22200","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-backtrack-brasil-series"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/22200","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=22200"}],"version-history":[{"count":3,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/22200\/revisions"}],"predecessor-version":[{"id":22203,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/22200\/revisions\/22203"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/22196"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=22200"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=22200"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=22200"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}