← Regresar a lecciones

  • linux

    • blue-team

  • privilege-escalation

  • ubuntu server,

En busca del impostor - navegando un servidor Ubuntu

¿Qué es un servidor web?
Ubuntu Server: la fortaleza bajo Linux
Pistas para encontrar tareas maliciosas
Comandos Linux básicos para navegar y buscar
Construye tu mindset

En toda historia de lucha y compañerismo, la traición es la sombra más oscura. Esa persona que confiaste, ese amigo o colega que trabajaba codo a codo contigo, de repente se vuelve el enemigo silencioso. No siempre la amenaza viene de fuera; a veces se oculta en el interior, disfrazada de confianza y amabilidad.

Hoy te enfrentarás a ese reto: descubrir al impostor que corrompe desde dentro,saboteando el sistema que todos defienden.

¿Qué es un servidor web?

Un servidor web es una máquina que aloja páginas y aplicaciones accesibles a través de Internet o redes internas. Cuando visitas un sitio, tu navegador solicita información a ese servidor, que responde con los archivos que muestran la página.

Ubuntu Server: la fortaleza bajo Linux

Ubuntu Server es una distribución de Linux diseñada para ofrecer estabilidad, seguridad y flexibilidad en servidores. A diferencia de una versión de escritorio, no tiene interfaz gráfica por defecto; todo se maneja a través de comandos.

Estructura típica de un servidor web Ubuntu

  • /var/www/ — Carpeta donde suelen alojarse los archivos del sitio web
  • /etc/apache2/ o /etc/nginx/ — Configuraciones del servidor web (Apache o Nginx)
  • /home/ — Directorios de usuarios
  • /root/ — Carpeta del superusuario (root), normalmente inaccesible sin privilegios

Servicios que podrían estar corriendo

  • Apache o Nginx: servidores web que gestionan las solicitudes HTTP
  • MySQL o PostgreSQL: bases de datos que almacenan la información
  • Cron: servicio que ejecuta tareas programadas automáticamente
  • iptables: herramienta para controlar reglas de firewall y filtrado de paquetes

¿Qué es crontab?

Crontab es un sistema para programar tareas que se ejecutan en momentos específicos o de forma periódica. Estas tareas pueden ser scripts que limpian archivos, actualizan bases de datos o, en manos equivocadas, causan daño.

¿Qué es iptables?

Iptables es una utilidad para configurar reglas de firewall en Linux.
Permite controlar qué conexiones entran y salen del servidor, bloqueando o permitiendo tráfico según criterios definidos.

Usuarios, roles y permisos en Linux

  • Cada persona o proceso tiene un usuario con permisos específicos.
  • El superusuario (root) tiene acceso total.
  • Los permisos controlan quién puede leer, escribir o ejecutar archivos y comandos.

Pistas para encontrar tareas maliciosas

  • Explora las tareas programadas con crontab -l o revisando /etc/crontab y /etc/cron.*
  • Inspecciona reglas inusuales en iptables con sudo iptables -L (aunque sin sudo puede ser limitado)
  • Busca scripts sospechosos o con permisos extraños dentro de los directorios comunes

Comandos Linux básicos para navegar y buscar

  • ls — listar archivos y carpetas
  • ls -a — listar incluyendo archivos y carpetas ocultos (los que empiezan con .)
  • cd — cambiar de directorio
  • cat — mostrar contenido de archivos
  • ps aux — listar procesos en ejecución
  • whoami — mostrar el usuario actual
  • id — mostrar el usuario y grupos actuales
  • find — buscar archivos con ciertos criterios

Debes usar tus ojos, tu lógica y tus comandos para recorrer el servidor, descubrir al impostor que está causando el daño y restaurar la web. No es solo una prueba técnica; es un ejercicio de paciencia, intuición y estrategia.

Construye tu mindset

"La mayor amenaza no siempre está fuera; a veces, el enemigo lleva tu misma cara."